Começando a entender o Teste de Intrusão (Pentest)
"Pentest" é uma abreviação para Penetration Test, que em português significa Teste de Intrusão. É um procedimento destinado a verificar se um sistema possui alguma vulnerabilidade.
Blackhat vs Whitehat
Na área de hacking, existem dois tipos principais de hackers: os Blackhats e os Whitehats.
Blackhat
Os Blackhats são aqueles que atuam sem ética, usando seus conhecimentos para benefício próprio. Por exemplo, invadir o sistema de uma empresa e criptografar seus dados com um ransomware, exigindo resgate para liberar as informações.
Whitehat
Por outro lado, os Whitehats são hackers éticos, que usam seus conhecimentos para prevenir ao máximo possíveis ataques realizados por Blackhats. Os Whitehats relatam as vulnerabilidades encontradas nos sistemas para os responsáveis pelos mesmos.
Tipos de pentest
Existem três tipos principais de pentest, diferenciados pelo nível de informação disponível sobre os alvos:
- Black Box: Sem conhecimento prévio sobre o alvo.
- Gray Box: Algum conhecimento sobre o alvo, mas nada extraordinário, como alguns dados ou credenciais.
- White Box: Conhecimento total sobre o alvo, incluindo acesso ao código fonte, credenciais e informações sobre a rede.
Quais são as fases de um pentest??
As fases de um pentest podem ser resumidas da seguinte forma:
- Definição de escopo: Acordo com o cliente sobre o que será testado, limites, tipo de teste (interno ou externo), e se será white, gray ou black box;
- Coleta de informações: Obtenção de informações sobre o alvo dentro do escopo permitido;
- Análise de vulnerabilidades: Uso de scanners e análises manuais para identificar vulnerabilidades.;
- Exploração: Tentativa de acessar o sistema por meio das vulnerabilidades identificadas;
- Pós-exploração: Exploração adicional após o acesso inicial, em busca de novas vulnerabilidades.;
- Relatório: Documentação das vulnerabilidades encontradas e apresentação para a empresa;
Conclusão
Este post é apenas um panorama inicial de conceitos sobre o mundo do pentest, compartilhando minha perspectiva como alguém que está começando a se interessar por essa área, se você tiver alguma recomendação ou dica de onde buscar conhecimentos adoraria ouvir!