Projeto IOT Segurança da Informação Daryus

[pic 1]

RELATÓRIO DE INTRUSÃO

Pós Graduação em Cyber Security – Faculdade Impacta/Daryus

ATAQUE EM IOT & ICS/SCADA

Professor Decio Yoshihiro Seo Avaliação final da matéria Ataque em Décio Seo.

Avaliação final Turma 17.

ÍNDICE

SUMÁRIO EXECUTIVO        03

NARRATIVA DO ATAQUE        04

CORPO TÉCNICO        04

ÉTICA E LEGISLAÇÃO        04

DIREITO DIGITAL        05

METODOLOGIA UTILIZADA        05

FERRAMENTAS E TÉCNICAS        06

KALI LINUX        06

ESCOPO        07

INFORMAÇÕES SOBRE O ALVO        08

INTRUSÃO        09

ENSAIO DE INTRUSÃO COM USO DO SHODAN E/OU EXPLOIT-DB        09

ENSAIO DE INTRUSÃO – IDENTIFICAÇÃO DE CONFORMIDADE        11

ENSAIO DE INTRUSÃO – DVR STAND ALONE DE CFTV        13

ENSAIO DE INTRUSÃO – ATAQUE DoS EM CÂMERA IP        17

PÓS EXECUSSÃO DO PENTEST        19

RELATÓRIO - PENTEST IOT

25 de Junho de 2020

Por Thiago Alvarenga, Fábio e Ademilson.

SUMÁRIO EXECUTIVO

O grupo Pentesters Ofensivo contratado para este projeto tem o intuito de aplicar o conhecimento adquirido na matéria de Intrusão de IOT. Com a intenção de explorar dispositivos vulneráveis em empresas, trata-se de um Pentest (teste de invasão) do tipo Black Box (Caixa Preta), ou seja, sem conhecimento prévio da infraestrutura a ser explorada.

O Relatório logrou êxito em alcançar seu objetivo central, o de aplicar as técnicas de Pentester em IOT e neste linear, foi explanado sob cada ponto de atenção, uma escala de calor indicando em quais técnicas ocorreu um incidente grave.

Usando o Kali Linux como sistema operacional principal aos vetores de ataques, algumas outras ferramentas puderam revelar fragilidades em sistemas críticos, veja a seguir.

• Ataque de disponibilidade em Câmeras IP (DoS);
• Ataque em DVR Stand Alone;
• Ataque a dispositivos com senhas vulneráveis;
• Identificação de não conformidades em dispositivos que não receberam atualizações;

NARRATIVA DO ATAQUE

O PENTEST foi realizado no primeiro trimestre de 2020 e explana sobre os resultados de um Pentest em Infraestruturas de redes com dispositivos expostos. Será avaliado os seguintes itens de controle de segurança:

1. Falta de mecanismos de atualização de firmware ou S.O. de softwares embarcados;
2. Uso de componentes desatualizados ou inseguros;
3. Proteção a privacidade insuficiente;
4. Transferência insegura de dados e Armazenamento;
5. Falta de gerenciamento dos dispositivos;
6. Padrões de configuração inseguras;
7. Falta de controles de segurança física;

Destarte, vale frisar que a maioria das técnicas utilizadas foram testadas manualmente para evitar

falsos positivos.

CORPO TÉCNICO

• Thiago Alvarenga
• Flavio Lima
• Ademilson Alves

ÉTICA E LEGISLAÇÃO

Os objetivos deste projeto será colocado terá um PoC (prova de conceito), nesta ceara o seguinte código de conduta será adotada:

• Integridade: A integridade desta pesquisa de campo tem fundamentos sólidos, lapidados dentro da ética do que é certo e errado, do limite firmado entre o contratante e o objetivo principal.
• Objetividade: O corpo técnico hora evidenciado, visa manter a objetividade em alcançar apenas o que está dentro dos padrões legais e arguidos em contrato.
• Confidencialidade: Pertinente apenas ao contratante, todos os dados obtidos neste projeto será protegido e guardado para fins de análise futuro e estará em poder do contratante.

DIREITO DIGITAL

A relação jurídica e o direito digital está sempre em evolução, com uma ênfase maior ao universo digital que se transforma com uma maior rapidez. Isto quer dizer que novas tecnologias surgem rapidamente e moldam a sociedade com uma frequência mais rápida comparando-a com a esfera judicial, desta forma, o princípio da legalidade roga que não há crime sem lei anterior que o defina. Nos dias atuais, pode-se dizer que o Brasil é pioneiro neste quesito, temos o Marco Civil regido pela Lei 12.965/2014; o DECRETO Nº 9.637/18 que institui a Política Nacional de Segurança da Informação; a LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012 que versa sobre a tipificação dos delitos informáticos; a LEI Nº 13.709/18 - Lei Geral de Proteção de Dados Pessoais que entrará em vigor neste ano, além de outras leis.

Destarte, é válido reafirmar que este projeto não infringiu nenhum lei, todas práticas foram feitas em laboratório respeitando sempre um contrato de prestação de serviços em detrimento aos interesses entre empresa, restrito, a prestação do serviço contratado. Ao fim que se destina, toda prestação de serviços deste cunho terá um Anexo com um Temo de Confidencialidade. Neste relatório pode ser evidenciado no Anexo I.

METODOLOGIA UTILIZADA

As técnicas utilizadas foram aplicadas em ambientes virtualizado utilizando uma Vmware Workstation Pro v12, será utilizado um S.O. Kali para as fazes de intrusão, SHODAN e Metasploit.

Há um conjunto de normas quando o assunto é segurança da informação, um em especial ao PCI – DSS (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento) um dos focos da análise é a de demonstrar a fragilidade da confidencialidade e a integridade das informações.

FERRAMETNAS E TÉCNICAS

Logo abaixo há uma lista das principais ferramentas utilizadas, estas técnicas serão aplicadas de forma prioritária, em uma infraestrutura virtualizada.

1. Hydra - poderosa ferramenta para Bruteforce (quebra de senhas);
2. Metasploit – Framework para exploração e intrusão cibernética;
3. Python 3x – Linguagem de Programação de Alto Nível com o seu compilador;
4. Shodan – Ferramenta de pesquisa direcionada a dispositivos de rede com uma variedade de filtros, conhecido como buscador de banners de dispositivos;

Outras ferramentas não mencionadas poderão ser usadas afim de complementar ou avançar com o objetivo de intrusão.

...