Teste de invasão com dispositivos móveis

De muitas maneiras o processo é semelhante ao de um ambiente tradicional, mas com algumas pequenas diferenças ao longo do caminho.

Lembre-se que em matéria de segurança, os dispositivos móveis são tão diversos que são de uma quantidade desconhecida. Você também precisa ter em mente como os usuários desses dispositivos funcionam. Eles podem ser extremamente móveis e isso significa que os dados e comunicações podem estar fluindo em todas as direções e maneiras diferentes, ao contrário das configurações de escritório tradicional.

Então, como é o processo de teste quando os dispositivos móveis? Aqui está uma visão geral de como avaliar esses dispositivos.

Footprinting – Muitas das ferramentas de varredura que examinamos em nossa fase footprinting podem ser usado para localizar e identificar um dispositivo móvel conectado a uma rede. Uma ferramenta como o Nmap, por exemplo, pode ser usada para pegar a impressão digital de um sistema operacional em muitas condições e retornar informações quanto à sua versão e tipo.

Depois de encontrar os dispositivos móveis no ambiente, certifique-se de anotar suas informações como endereço MAC, endereço IP, versão, tipo e qualquer outra coisa de valor.

Scanning – Para dispositivos móveis conectados à rede que você está avaliando, use um software como o Kismet para descobrir quais redes sem fio os dispositivos estão procurando.

Exploitation – Use ataques de man-in-the-middle, spoofing, ARP poisoning e outros mecanismos para atacar um dispositivo. Use ataques de inserção de tráfego para identificar vulnerabilidades do lado do cliente de sistemas e dispositivos vulneráveis ??ou manipular o tráfego capturado para explorar servidores back-end.

Post Exploitation – Inspecione áreas de dados sensíveis em dispositivos móveis para informações tais como o SMS (Short Message Service) e os bancos de dados do histórico do navegador. Note que as ferramentas forenses estão disponíveis para telefones celulares podem extrair essa informação também.

Pentest usando o Android

Uma outra opção que é possível para você usar em pentests é um dispositivo móvel. Examinaremos as ferramentas que podem ser instaladas no Android e que podem aprimorar nossas capacidades para executar um teste completo.

Se você deseja tentar qualquer uma dessas ferramentas, você precisará fazer root no seu telefone e certifique-se de ter feito backup de seus dados.

Ferramentas de rede

  • IP Tools da AmazingByte é uma coleção de ferramentas usadas para fornecer informações sobre diferentes propriedades da rede, incluindo informações de roteamento, configurações de DNS, configuração de IP e muito mais.
  • LanDroid de Fidanov Networks é uma outra coleção de ferramentas da informação de rede bem como ferramentas de IP. Não é tão completo quanto o IP Tools, mas ainda é útil e bem projetado.
  • The Network Handbook da Smoothy Education é um conjunto de ferramentas e informações projetadas para auxiliar na solução de problemas de rede, mas também pode ser útil para obter informações sobre uma rede.
  • Fing da Overlook é um conjunto de ferramentas para análise de rede que inclui a capacidade de auxiliar na avaliação de segurança de rede, detecção de host e algumas ferramentas Wi-Fi.
  • Mobile NM por Gao Feng é uma versão móvel do poderoso scanner de portas e redes Nmap. A versão móvel opera essencialmente com as mesmas capacidades que o Nmap convencional.
  • Port Scanner por Catch 23 pode ganhar muitas das mesmas informações que o resto das ferramentas nesta lista, mas também inclui suporte para tecnologias como 3G e muito mais.
  • Network Discovery por Aubort Jean-Baptiste é semelhante ao Fing em muitos aspectos, mas com uma interface diferente.
  • Packet Capture por Grey Shirts é tipo Wireshark, mas não usa permissões de root para operar.
  • Packet Generator by NetScan Tools é um dos poucos crafters de pacotes disponíveis para o sistema operacional Android, e funciona de forma semelhante aos crafters de pacotes comuns como hping.
  • Shark for Root por Elviss Kuštans é essencialmente uma versão reduzida do Wireshark para Android. Ao contrário de alguns outros sniffers, este requer acesso root no dispositivo para funcionar corretamente. Você deve fazer o download do Shark Reader para examinar o tráfego capturado no telefone ou no tablet em que ele é executado.
  • O Scanner UPnP da GeminiApps pode digitalizar e detectar dispositivos Universal Plug and Play na rede. Isso significa que outros computadores, dispositivos móveis, impressoras e outros dispositivos podem ser revelados na rede.
  • Intercepter-NG é um conjunto de ferramentas de rede que tem a funcionalidade de várias ferramentas bem conhecidas separadas e oferece uma alternativa boa e única sobre outras ferramentas de sniffing.
  • NetCat para Android por NikedLab é simplesmente uma porta do NetCat original para o sistema operacional Android.
  • PacketShark da GL Communications é um aplicativo de sniffer de pacotes. Suas características incluem uma interface amigável de opções de captura, suporte a filtro, visualização de captura ao vivo e carregamento do Dropbox de arquivos capturados.
  • SharesFinder por srcguardian é um utilitário projetado para encontrar compartilhamentos de rede no segmento de rede local. Pode ser útil na localização de ações não seguras ou desprotegidas.

Ferramentas de sequestro de sessão (session hijacking)

  • DroidSheep por Andreas Koch trabalha como um sequestrador de sessão para sites não criptografados e permite que você salve cookies / arquivos / sessões para análise posterior. Este não está disponível na Google Play Store e deve estar localizada através de uma pesquisa. O dispositivo deve ser root.
  • FaceNiff é uma aplicação que lhe permite sniffar e interceptar perfis de sessão web através de redes Wi-Fi. Esta ferramenta também não está disponível na Google Play Store e deverá procura-la.
  • SSLStrip para Android (Root) por NotExists é um aplicativo usado para segmentar sessões habilitadas para SSL e usar links não habilitados para SSL para sniffar seu conteúdo.

Negação de serviço (Denial of Service – DoS)

  • Low Orbit Ion Cannon (LOIC) por Rifat Rashid é uma ferramenta para rede de stress-testing causando um ataque de negação de serviço contra um aplicativo de destino. O LOIC executa um ataque de negação de serviço (DoS) (ou quando usado por vários indivíduos, um ataque DDoS) em um site de destino, inundando o servidor com pacotes TCP ou UDP com a intenção de interromper o serviço de um determinado host.
  • AnDOSid por Scott Herbert permite que os profissionais de segurança para simular um ataque de DOS. AnDOSid lança um ataque HTTP POST flood, onde o número de solicitações HTTP torna-se tão grande que o servidor de uma vítima tem problemas para responder a todos eles.
  • Easy Packet Blaster por Hunter Davis é outro utilitário que é simples de usar, mas pode muito efetivamente desligar um host de rede com o tráfego.

Scanners

  • WPScan para Android por Alessio Dalla Piazza é um scanner de vulnerabilidade black-box para WordPress escrito em Ruby que tenta encontrar vulnerabilidades de segurança conhecidas em instalações WordPress.
  • O App Scanner da Trident Inc. é um utilitário projetado especificamente para atacar aplicativos e suas potenciais vulnerabilidades.
  • CCTV Scanner é um aplicativo projetado para localizar câmeras em redes e fornecer informações sobre os dispositivos.
  • NetCut por Fortiz Tools é usado para testar a segurança de firewalls.

Ferramentas de SQL injection

  • DroidSQLi é uma ferramenta automatizada da injeção em bancos MySQL para o Android. Ele permite que você teste sua aplicação web baseada em MySQL contra ataques de injeção SQL.
  • Sqlmapchik por Maxim Tsoy é uma multi-plataforma GUI da ferramenta sqlmap. É usado principalmente em dispositivos móveis.
  • SQLite Editor por Weavebytes é uma ferramenta de alta qualidade e muito eficaz para avaliar e testar injeções SQL em aplicações web.

Ferramentas de Proxy

  • SandroProxy by sandrob é usado para enviar seu tráfego através de um proxy pré-selecionado para encobrir ataques ofuscantes.
  • Psiphon não é realmente uma ferramenta proxy, mas uma tecnologia VPN que pode ser usado para proteger o tráfego de e para um dispositivo móvel. Ele pode ser usado para proteger apenas o tráfego da web ou pode encapsular todo o tráfego em um dispositivo através do serviço.

Testes de aplicativos da Web

  • HTTP Injector por Evozi é usado para modificar pedidos de e para sites e é útil na análise de aplicações web.
  • A HTTP Tool da ViBO foi projetada para permitir que o testador execute solicitações HTTP personalizadas para avaliar como uma aplicação responde.
  • Burp Suite é simplesmente uma porta da mesma ferramenta versão desktop.

Leitores de arquivos de log

  • Syslog é usado para ler arquivos de log em um sistema móvel.
  • ALog leitor é outro leitor de arquivo de log.

Ferramentas Wi-Fi

  • Wifite é uma ferramenta de craqueamento automatizado sem fio para Android e a plataforma Linux. Ele pode quebrar WEP e WPA, bem como redes habilitadas para WPS.
  • AirMon by Maxters é um aplicativo para detectar, monitorar e pegar o tráfego sem fio.
  • WifiKill by Mat Development pode escanear uma rede e encerrar hosts sem fio que ele descobre.
  • Wigle Wi-Fi Wardriving de WiGLE.net é uma versão da mesma ferramenta para o ambiente desktop.
  • Kismet está disponível para Android e é uma versão da popular ferramenta Linux.

Pentesting Suites

  • DSploit Scripts by jkush321 é um conjunto de ferramentas que podem facilmente mapear sua rede, obter as impressões digitais dos sistemas operacionais de hosts e os serviços em execução, buscar vulnerabilidades conhecidas, crackear os procedimentos de logon de muitos protocolos TCP e executar ataques man-in-the-middle como sniffing de senhas e manipulação de tráfego em tempo real.
  • ZANTI é um kit de ferramentas de diagnóstico de rede abrangente que permite auditorias complexas e testes de invasão com o apertar de um botão. A zANTI oferece uma ampla gama de varreduras totalmente personalizáveis para revelar tudo, desde tentativas de autenticação, backdoor e ataques de força bruta a banco de dados, DNS e protocolos específicos, incluindo pontos de acesso rogue.
  • Hackode por Ravi Kumar Purbey é outro conjunto de ferramentas muito parecido com zANTI e dSploit em escopo e poder.

Ficando anônimo

  • O Orbot é um aplicativo de proxy gratuito do Tor Project que capacita outros aplicativos para usar a Internet com mais segurança. O Orbot usa o Tor para criptografar o tráfego da Internet e depois o esconde saltando através de uma série de computadores em todo o mundo.
  • O Orweb do Guardian Project é um navegador web particular projetado especificamente para trabalhar com o Orbot e é gratuito. Pode ser um pouco lento, mas oferece um alto grau de proteção e a maneira mais anônima de acessar qualquer site, mesmo que seja normalmente bloqueado, monitorado ou na Web oculta.
  • Incognito é um navegador da web criado para navegação privada. Pode não ser tão seguro e privado como Orweb, mas ainda é uma ótima opção para se ter disponível.

Contra medidas

Semelhante à proteção de desktops, servidores, redes e outros equipamentos, você pode dar alguns passos básicos para tornar os dispositivos móveis mais resistentes aos ataques. O que está incluído aqui é uma orientação básica, mas não uma lista abrangente de tudo o que pode ser feito:

  • A definição de senhas em todos os dispositivos móveis é um requisito para todos os dispositivos que serão conectados a uma rede corporativa e / ou armazenam dados confidenciais. Vale a pena notar que a ativação de certos recursos, como a criptografia, exigirá a configuração de uma senha antes que eles funcionem.
  • Senhas fortes são recomendadas em todos os dispositivos. Esta etapa é de particular importância porque muitos dispositivos móveis permitem que você use métodos diferentes para desbloquear o dispositivo diferente das senhas. Muitos dispositivos permitem definir códigos PIN, gestos e senhas alfanuméricas regulares.
  • Instale aplicativos antimalware para impedir a propagação e a infecção de malware. Idealmente, o aplicativo antimalware deve escanear não só o dispositivo, mas também aplicativos recém-instalados e e-mail para efeito máximo.
  • Use a criptografia em todos os dispositivos sempre que possível para proteger o armazenamento interno e os cartões SD. Esta é uma parte essencial da proteção de dados em um dispositivo no caso de ser perdido ou roubado. Observe que alguns dispositivos mais antigos e sistemas operacionais mais antigos não oferecem suporte à criptografia.
  • Certifique-se de que o dispositivo esteja sempre atualizado com as atualizações de software mais recentes. Isso pode ser problemático porque dispositivos que são subsidiados por empresas sem fio, como a AT&T, nem sempre recebem as atualizações mais recentes até muito depois de serem lançadas. É o caso com dispositivos subsidiados que rodam Android. O Google lançará atualizações para o sistema, mas os provedores podem liberá-las para seus usuários depois de até um ano ou mais.
  • Evite instalar aplicativos de fontes desconhecidas. Nem todos os aplicativos que podem ser instalados em um dispositivo devem vir do Google ou da Apple. Muitos podem ser baixados de vários sites. Embora muitas dessas aplicações sejam legítimas, outras podem conter malware ou causar outros problemas.
  • Faça uma cópia de segurança do dispositivo regularmente.
  • Evite fazer root ou jailbreaking em um dispositivo. Embora possa parecer atraente para obter mais poder e controle sobre um dispositivo, fazendo isso introduz riscos de segurança.
  • Ative wipe remotos, se possível. Esse recurso, se disponível, deve estar habilitado em dispositivos que contenham dados confidenciais e que possam ser perdidos ou roubados.
  • Verifique os aplicativos antes de fazer o download. Alguns aplicativos podem ser prejudiciais ao seu dispositivo móvel, seja por levar malware ou direcioná-lo para um site mal-intencionado que pode coletar suas informações confidenciais.

Sugestões de livros:

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA Security+, EXIN EHF, EXIN ISO 27001, MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

One Response to “Teste de invasão com dispositivos móveis”

  1. Thiago disse:

    Meu Deus! VC é D+
    Quanto conhecimento, sem falar no currículo invejável. Quem me dera ser seu aprendiz. ?

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *