quinta-feira, 28 de junho de 2018

COMO ENCOMENDAR UM TESTE DE PENTEST

COMO ENCOMENDAR UM TESTE DE pENTEST

Embora as pessoas que trabalham no setor de segurança de TI possam considerar essa questão tão trivial quanto “Como encomendar um carregador de telefone”, para muitos, escrever um pedido de compra para um teste de penetração pode ser como projetar uma usina nuclear.

O que todos esses nomes estranhos e abreviaturas significam?
O teste da caneta é o mesmo que uma auditoria?
O que será realmente testado e o que isso envolve?
Espero que eles não me façam perguntas ...

Estas são provavelmente as primeiras perguntas que ocorrem aos comerciantes ou trabalhadores de compras em uma onda de estresse. E essa é a razão pela qual decidimos ajudá-lo a responder a essas perguntas e ao mesmo tempo aliviá-lo do estresse de escrever uma descrição desse tipo de projeto. Vamos simplesmente mostrar-lhe como escolher e pedir um PENTEST LINUX como um profissional.

Teste de caneta ou auditoria

Como com todas as explicações, existem muitas definições diferentes neste caso também. É por isso que vamos tentar descrevê-los da maneira que OBSERVAMOS, como os hackers.

Auditoria - como o próprio nome sugere, pode ser comparado com precisão ao controle de impostos (que é opcional neste caso). Você convida uma equipe de especialistas para sua empresa ou servidor e fornece acesso, toda a documentação disponível e colabora com eles o máximo possível. Com base nesses documentos e acessos, eles desenvolverão um relatório sobre a segurança do seu servidor, soluções e empresa, e descreverão as etapas que você deve seguir para melhorá-los. Alternativamente, eles irão aconselhá-lo a cumprir algum regulamento.

Pen test - uma abreviação para o “teste de penetração”, é um ataque de hacking real controlado. Imagine publicar um desafio on-line como “Hack me!” A diferença está no fato de que os white hats assinaram um contrato com você, os termos e procedimentos do processo de teste foram acordados e você também assinou um acordo de não divulgação. Por um determinado período de tempo, eles realmente tentarão invadir seu aplicativo, empresa ou rede; no entanto, logo em seguida, eles demonstrarão suas vulnerabilidades não apenas na prática, mas também oferecerão uma solução de como corrigi-las.

Então, o que é melhor?

Como tudo na vida, ambos os métodos têm suas vantagens e desvantagens. No entanto, você é o único responsável pela escolha, pois precisa julgar o que é melhor para você e para as suas necessidades. Com toda a honestidade, os hackers preferem testes de penetração, pela simples razão: “Um exemplo prático vale mais que mil palavras. Você não pode argumentar contra isso ”. Essa é a razão pela qual este blog é dedicado O PENTEST ANDROID.

A escolha do tipo de teste da caneta depende, obviamente, do assunto a ser testado, se é

uma aplicação web
uma aplicação móvel
a infraestrutura
um dispositivo IoT
…

É muito importante esclarecer isso desde o início. Se você está apenas preparando a descrição do projeto e não é o próprio cliente, peça uma explicação sobre o que o assunto a ser testado realmente é. Posteriormente, você pode prosseguir para selecionar o tipo de teste de caneta. O Escritório Federal Alemão de Segurança da Informação produziu uma excelente visão visual para a escolha de um tipo concreto de teste de caneta:

Ele pode ser comparado aos labirintos das crianças que você pode encontrar em colchas de papel em buffets. Você pode simplesmente encontrar o caminho de cima para baixo respondendo às perguntas em linhas.

Base de Informação

Inclui as informações que os “atacantes”, ou seja, os testadores de penetração, usam para realizar o teste. Black Box - simplesmente disse, sem conhecimento prévio da aplicação. O teste é realizado sem o conhecimento de como o aplicativo é programado e em qual programa, ou sem dados no esquema de rede ou na maneira como ele funciona. A única informação que os testadores de penetração possuem é como o assunto a ser testado é usado por seus usuários regulares. A caixa preta é a forma mais comum de teste. Caixa branca - como você já deve ter adivinhado, essa é a situação oposta, se você decidir fornecer todas as informações disponíveis e / ou colaborar durante o teste.

Agressividade

A questão de quão “violento” um LINUX PENTEST DO FAMILIA BSD deve ser durante o teste, no intervalo entre “observar mas não tocar” para “fazer o que você sabe”, é geralmente apropriado perguntar apenas em casos específicos se alvos realmente sensíveis estão sendo testados , como redes industriais. Se uma aplicação web ou móvel estiver prestes a ser testada, você definitivamente desejará permitir que os testadores de penetração experimentem todas as maneiras possíveis de hackear você. Porque então os atacantes vão tirar as luvas.

Âmbito do teste

A definição correta do escopo do teste, ou vice-versa, o que não deve ser testado, é um ponto-chave que precisa ser esclarecido desde o início. Antes de realizar o teste, os testadores de penetração perguntarão novamente sobre o escopo do teste, a fim de evitar mal-entendidos. É importante lembrar que, se o teste de caixa preta for executado (sem conhecimento), os testadores de penetração dependem da descrição do projeto fornecida por você. Eles não podem dizer facilmente se algum dos servidores com os quais o aplicativo se comunica pertence a um terceiro e somente usa seu domínio ou se há algum aplicativo no servidor que você não deseja testar.

Abordagem

Como acessar o teste? "Rápido e furioso", em outras palavras, sem medo de ser revelado, ou "discretamente como um ninja"? Na maioria dos casos, o cliente opta por não ocultar nada porque sabe do teste e da data de seu desempenho, e o objetivo é monitorar o comportamento do aplicativo. No entanto, há uma exceção ao testar um sistema IDS / IPS ou a resposta do departamento de segurança ao ataque de hackers. No entanto, deve-se ter em mente que, na versão “ninja”, os testadores de penetração precisarão de muito mais tempo.

Técnica

A escolha da técnica de “teste” depende, é claro, do assunto a ser testado. Na maioria dos casos, ele está sendo testado em uma rede, seja pela Internet ou pela sua rede local. As únicas exceções incluem casos em que dispositivos físicos (por exemplo, PLCs), pessoas ou técnicas de engenharia social precisam ser manipulados.

Ponto de partida

Finalmente, essa é uma questão organizacional que responde se é possível realizar o teste diretamente de nosso escritório confortável via Internet (ou conexão VPN) ou se o teste ocorrerá nas instalações do cliente. Por exemplo, se o acesso remoto não for possível por qualquer motivo. Claro, nós preferimos a primeira opção.

Mas como será o teste realizado? O que será testado e como? Quais vulnerabilidades podem ser detectadas? Vamos tentar responder isso nas seguintes linhas.

Métodos

A escolha do método que determina o procedimento e o escopo do teste depende do assunto a ser testado. Há extensos artigos e discussões disponíveis sobre os métodos individuais e suas vantagens e desvantagens. Por simplicidade, listaremos apenas os mais apropriados para a maioria das pessoas dentro da categoria.

Aplicativos da web

Guia de teste do OWASP (v4) * - Às vezes chamado de OTGv4. Se você gostaria de testar seu aplicativo da web, esta é a melhor escolha para você.

Aplicações móveis

OWASP Mobile Security Testing Guide * - OWASP MSTG - Este é um método de teste abrangente para as plataformas Android e iOS, cujos testes estão em conformidade com o padrão OWASP MASVS (se você usá-lo).

A infraestrutura

Manual de Metodologia de Teste de Segurança de Código Aberto - OSSTMM - Você pode encontrar essa abreviação em quase todos os pedidos de testes de penetração de infra-estrutura. No entanto, este é um método formal, não um guia de teste. Você não pode atrapalhar algo simplesmente mencionando-o na coluna Métodos.

Indústria / ICS / SCADA

Securea
- Ainda não existe um método de teste abrangente para esses sistemas. Atualmente estamos trabalhando nisso.

* Por favor, preencha a coluna Métodos com o nome completo do método ou sua abreviação. Se você escrever apenas OWASP, é como se você deseja obter LEGO para o Natal. A abreviatura OWASP refere-se a uma organização sem fins lucrativos que abrange a publicação de vários desses métodos. Existem apenas dois deles nesta seção.

O que pensar antes do teste de penetração

Preço - Se você deseja preparar uma oferta de preço ou está iniciando um procedimento de seleção, a primeira coisa que o pen tester solicitará é uma visualização do aplicativo (eventualmente seu guia do usuário) ou outra descrição de sua funcionalidade (melhor com imagens). Para poder determinar a carga de trabalho e o escopo do assunto a ser testado, precisamos conhecer o tipo de aplicativo e sua funcionalidade. Com base nessas informações, é possível definir uma estimativa de tempo (e, portanto, financeira) muito precisa, bem como verificar os termos da descrição do projeto. Assim, se alguém responder imediatamente à sua oferta / proposta sem estar interessado no tipo de pedido ou teste solicitado, a qualidade do resultado desta oferta deve ser questionada.

Não faça um teste no ambiente de produção - não é uma boa ideia. Embora tentemos evitar atividades “destrutivas”, às vezes o aplicativo pode ser desativado ou os dados de outros usuários são modificados inadvertidamente (excluídos). Portanto, realizamos testes em outro ambiente (por exemplo, em uma caixa de areia), mas isso deve ser idêntico ao ambiente de produção (e conter dados de teste). Também não é desejável implantar novas versões no ambiente durante o teste, pois isso afeta os resultados do teste. Há outras razões descritas nos seguintes pontos.

Faça um backup - Um backup deve ser feito antes do teste de penetração, idealmente um instantâneo do sistema operacional e do banco de dados. Durante o teste, uma enorme confusão é feita no aplicativo, portanto, é mais fácil restaurar todo o ambiente. O mesmo se aplica ao teste de aplicativos móveis com um backup da web.

Vamos querer o ambiente para nós mesmos - Se possível, vamos querer manter o ambiente de testes para nós mesmos. Isso é especialmente verdadeiro para aplicativos da web. A razão por trás disso é a facilitação de testes e a minimização de complicações. Nesse caso, sabemos que todas as condições que ocorrem durante o teste são causadas por nós e não por outra pessoa. Além disso, não precisamos nos preocupar que afetemos inadvertidamente os testes de outra pessoa.

Data de realização - Ao planejar a data de implementação, deve-se prever que o teste da caneta seja normalmente realizado por dois testadores de caneta e, portanto, reserve um período de tempo suficiente para eles. Nem todas as tarefas podem ser executadas simultaneamente. Cinco vezes mais pessoas não testam uma coisa cinco vezes mais rápido.

O que nós exigimos de você

Pessoas de contato

- Vamos precisar de duas pessoas de contato disponíveis durante o período de implementação do teste da caneta. Contato técnico - uma pessoa que podemos contatar se o aplicativo parar de funcionar ou se precisarmos de uma consulta técnica. Contato de escalonamento - uma pessoa que pode ser contatada com urgência em caso de ocorrência de vulnerabilidades graves que possam comprometer o ambiente de produção. Nesse caso, recomendamos que você faça uma correção imediatamente e não espere por um relatório nosso.

Acesso

- Os testadores de pen precisam de acesso a redes, aplicativos, VPN e assim por diante. Portanto, especialmente em grandes organizações onde processos complicados são implementados, é bom considerar este fato antecipadamente para garantir tempo suficiente para fornecer acesso.

serviços web

- Se os serviços da Web forem o assunto a ser testado, você também precisará preparar solicitações de amostra funcionais além da descrição da chamada (por exemplo, WSDL) ou dos projetos de teste (SoapUI) diretamente.

Aplicação móvel

- Se o aplicativo móvel for o assunto a ser testado e ainda não estiver publicado, precisaremos de um pacote de aplicativos ou de seu código-fonte (se necessário).

Exemplo

Nunca solicite um teste de penetração da seguinte maneira:

Senhoras e senhores,

Gostaria de lhe pedir uma oferta para o teste de segurança do nosso site de intranet.

Consiste em dois servidores: Apache e Mysql.

Uma data possível de testes é da próxima segunda a quarta-feira.

Atenciosamente,

Cliente

Procedimento de seleção para um teste de penetração da web do módulo LOL, aplicação QWERTY dentro do projeto IMHOLOL

Descrição: Esta é uma aplicação divertida do departamento PWND para gerenciar clientes HEH usando HAHA

Gama: 42 formulários

Tecnologias usadas: Apache, Linux, HTML

Requisitos de teste: OWASP, OSSTMM, CWE, NIST, CVE, CISSP

Data de realização: 1 a 5 de novembro de 2017

Perguntas adicionais não são possíveis.

Companhia E

E, finalmente, apenas uma prévia do tipo de pedido que gostaríamos de receber de você:

Senhoras e senhores,

Eu gostaria de pedir que você fizesse uma oferta para o teste de penetração do aplicativo da web AWESOMEAPP.

Você pode experimentar o aplicativo de demonstração em https://demo.awesomeapp.sk, login demo: demo

Exigimos um teste de penetração de caixa preta em conformidade com o Guia de teste do OWASP.

O teste deve ser realizado em um ambiente de teste especial disponível on-line em novembro.

Para perguntas adicionais, não hesite em entrar em contato comigo.

Atenciosamente,

Super cliente

Estamos ansiosos para suas ordens;)

COMO PINTAR UM MURAL DE PAREDE DE GALÁXIA EM UMA SALA DE JOGOS COM TEMA DE ESPAÇONAVE

franc5sc6 PINTOR , PINTOR BH 0 Comments

Neste post estamos mostrando como pintar um mural de parede de galáxias que será a parede focal da sala de jogos temáticos de nossa espaçonave com o pintor bh.

Temos DIY projeto número um da nossa sala de jogos temáticos espaçonave verificado a nossa lista! Como você deve ter adivinhado, gostamos de ter uma parede em cada sala que projetamos ser nossa parede focal. Fizemos uma parede de tijolos falsos , um mural de arte em quadro - negro , uma parede de tábuas de madeira , uma parede de shiplap e agora queríamos experimentar um mural brilhantemente pintado. Estamos animados em compartilhar nossa maneira de pintar um tutorial de parede de galáxias.

Estávamos pensando em como incorporar a cor na sala de jogos com tema de espaçonave que estamos projetando sem ser brega ou avassaladora. As paredes da sala são cinzentas, então esperávamos que nossa parede focal pudesse sutilmente adicionar uma cor agradável ao espaço.

Nós conversamos sobre a pintura de uma parede naval ou sotaque preto, mas Brent teve a idéia de fazer a parede focal ser a janela da nave espacial e através da janela você pode ver o espaço com cores frias como azuis e roxos e muitas estrelas distantes para crie profundidade.

Eu amei essa ideia e quando ele me mostrou sua foto de inspiração eu sabia que era a direção que tínhamos que seguir. Então Brent começou a fazer o trabalho de artista e os resultados foram melhores do que eu poderia imaginar.

E ele está compartilhando sua técnica para obter esse visual, então não deixe de conferir o vídeo e os passos abaixo se você estiver interessado em como pintar um mural da parede da galáxia com o PINTOR EM BH

COMO PINTAR UMA PAREDE DE GALÁXIA

SUPRIMENTOS

Preto de Noite SW 6993 Paint (1 Galão em Cashmere Baixa Brilho Brilho)
Pintura de alto reflexivo branco SW 7757 (tamanho da amostra)
Honorável azul SW 6811 Paint (tamanho da amostra)
Dignity Blue SW 6804 Paint (tamanho da amostra)
Flyway SW 6794 Paint (tamanho da amostra)
Dewberry SW 6552 Paint (tamanho da amostra)
Totalmente roxo SW 6983 Paint (tamanho da amostra)
Kimono Violet SW 6839 Paint (tamanho da amostra)
Roxo Apaixonado SW 6981 Tinta (Tamanho da Amostra)
Praças de papelão
Rolo de pintura da espuma de 6 ″

INSTRUÇÕES LER

Nós encontramos uma foto para inspiração, então primeiro as primeiras coisas que precisávamos para descobrir quais cores de tinta comprar que combinariam com as cores em nossa foto de inspiração do espaço exterior.

Descobrimos que a maneira mais fácil de encontrar uma paleta de cores a partir de uma foto é usar o aplicativo Sherwin-Williams ColorSnap® Visualizer . Abrimos o aplicativo, clicamos no botão explorar cores e, em seguida, fizemos a correspondência com um botão de foto para enviar nossa foto.

O ColorSnap® Visualizer cria automaticamente uma paleta de cores a partir da foto. Nós ajustamos nossa paleta de cores arrastando os pontos coloridos até encontrarmos uma cor para cada uma das seções da foto da galáxia.

Nossa Paleta de Cor para Parede Galaxy:
Fundo: Preto da Noite SW 6993
Estrelas: Branco Reflexivo Alto SW 7757
Azul Escuro: Azul Honourable 6811
Azul: Azul Dignidade SW 6804
Azul Claro: Flyway SW 6794
Roxo Escuro: Dewberry SW 6552 Roxo
: Totalmente Roxo SW 6983 & Kimono Violet SW 6839
Roxo Claro: Roxo Apaixonado SW 6981

O pai de Courtney era bom o suficiente para pintar a cor de fundo preto. Depois que secou, despejamos uma pequena quantidade da nossa cor azul mais escura (Azul Honrado) em um grande pedaço quadrado de papelão. Usando nossa foto como referência, aplicamos a tinta azul escura com um rolo de espuma de 6 polegadas.

Antes que o azul mais escuro secasse, em seguida aplicamos todas as cores que tocariam as cores azuis mais escuras. Fazendo-o antes que secasse, poderíamos misturar as cores organicamente com o rolo de espuma .

Começamos com o azul claro (Flyway) no centro e passamos para o roxo mais escuro (Dewberry) no topo.

Uma vez que a parede inteira foi coberta com o azul escuro, o roxo escuro e o azul claro, nós misturamos as outras variações azuis e roxas. Para misturar as cores nós as sobrepusemos na borda.

Antes de pintar as estrelas, deixamos todas as cores de fundo secar por 24 horas. As estrelas são ótimas para criar profundidade quando aplicadas em brilhos variados.

Começamos na área azul-escura novamente com a mesma tinta azul-escura, mas misturamos algumas gotas de tinta branca. Em seguida, pintou uma variedade de tamanhos de pontos em toda a área azul escura.

Nossa regra geral é que a tinta da estrela deve ser sempre mais clara do que a cor de fundo e ter a mesma tonalidade. Assim as estrelas azuis vão no fundo azul e as estrelas roxas vão no fundo roxo.

Pontos brancos podem ir a qualquer lugar na parede, mas a área azul clara no centro da parede recebe apenas estrelas azuis ou brancas mais claras do que o fundo.

O mural da galáxia realmente prepara o palco para esta sala e está nos deixando animados com o resto dos projetos de bricolage que planejamos para o espaço.

Temos mais algumas coisas para incorporar nesta parede antes que ela esteja completamente pronta, mas ela já capturou a atenção de um ano de idade. Ele gosta de se arrastar até lá e passar as mãos pelas estrelas. E quando o sol entra pelas persianas, cria um efeito de estrela cadente que é apenas um bônus adicionado aleatoriamente! PINTOR BH

segunda-feira, 11 de junho de 2018

Novas invenções tecnológicas que você precisa conhecer

daniellifestream 0 Comments

A tecnologia está no DNA de empresas competitivas. Todos os processos de negócios, em algum grau, são ou podem ser influenciados por inovações tecnológicas que são desenvolvidas continuamente e todos os anos se apresentam como novos produtos e serviços.

Para as empresas, há soluções que podem ser implementadas hoje, de maneira simples, para melhorar a produtividade em várias áreas. Para as pessoas, as novas soluções indicam mais um passo rumo à consumerização, levando conforto e comodidade a um novo patamar. Conheça algumas novas invenções tecnológicas que devem ganhar destaque ao longo do ano.

sexta-feira, 8 de junho de 2018

xploitz

franc5sc6 xploitz , 0 Comments

Devido à dos meios de comunicação a palavra "hacker" tem uma má reputação. A palavra evoca pensamentos de usuários de computador mal-intencionados que encontram novas maneiras de assediar pessoas, fraudar corporações, roubar informações e talvez até destruir a economia ou começar uma guerra se infiltrando em sistemas de computadores militares. Embora não haja como negar que existem hackers por aí com más propositos eles representam apenas uma pequena percentual da comunidade de hackers. O termo hacker de Notebook apareceu pela primeira vez em desde meados da década de 1960. Um hacker de um programador - alguém que hackeou código de Notebook Os hackers se tornavam visionários que podiam visualizar novos maneiras de usar computadores, estabelecendo programas que ninguém mais poderia conceber.

Eles foram os pioneiros da indústria de cursos construindo desde baixas aplicações até sistemas operacionais. Nesse sentido, pessoas como Bill Gates, Steve Jobs e Steve Wozniak eram todos hackers - eles viam o potencial do que os computadores poderiam fazer e criaram maneiras de conseguir esse potencial. Um traço unificador com base desses hackers era um solida senso de interesse xploitz, às vezes beirando a obsessão. desses hackers se orgulhavam não apenas de sua capacidade de criar novos aplicativos mas também de aprender como outros programas, e metodos funcionavam. Quando um projeto acontecia um bug - uma seção de código Nem tão boas que impedia o projeto de dar certo da maneira correta - os hackers constantemente criavam e distribuíam vida infantil seções de código denominadas patches para corrigir o problema. Alguns conseguiram conquisstar um trabalho que alavancasse suas habilidade sendo pagos por este que fariam de graça. Na convizinha seção, entenderemos os sacadas dos hackers no mercado xploitz À parâmetro que os smartphones progrediram os engenheiros de computação começaram a interligar condicionado individuais em um sistema. Logo, o termo hacker tinha um novo definição - uma pessoa usando smartphones para ser explorado uma internet à qual ele não pertencia. Normalmente, os hackers não tinham nenhuma intenção maliciosa.

Eles só queriam saber como as redes de cursos funcionavam e viam qualquer barreira no meio dos mais a empresa e essa conhecimento como um problema Na verdade, esse ainda é o caso hoje. Embora tenham a maioria histórias sobre hackers mal-intencionados sabotando sistemas de computador, infiltrando redes e disseminando vírus de máquina a maioria dos hackers é apenas curiosa - eles querem conhecer todas as complexidades do mundo dos cursos, Alguns utilizam seu conhecimento para melhorar empresas e governos a estruturar melhores medidas de segurança. Outros podem vestir suas competencias, para ampliando carregamentos antiéticos. xploitz Neste artigo, iremos investigar técnicas corriqueiros que os hackers utilizam para se infiltrar nos metodos Examinaremos a cultura hacker e os Diversos tipos de hackers, além de aprender sobre hackers estrelas, alguns dos quais entraram em divergência com a lei.

Artigos para Professores

quinta-feira, 28 de junho de 2018