Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Pentest no próprio pc com máquinas virtuais não funcionam!

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    Artigo Pentest no próprio pc com máquinas virtuais não funcionam!

    PROVA DE QUE CONFIAR EM MÁQUINAS VIRTUAIS PARA PENTEST É SUICÍDIO PARA O PENTESTER PROFISSIONAL!

    Senhores, boa noite, em plena madrugada vou escrever explicando e provando pela experiência que pentest se deve fazer de computadores de fora da rede totalmente.

    Muitos hackerS e professores, erroneamente ensinam que para saber se seu computador está protegido, você deve instalar uma máquina virtual, instalar um sistema operacional e instalar neste ferramentas hackers para fazer o pentest, ou então instalar uma distribuição de pentest como o backtrack que eu inclusive sou fan e só uso ele. Basta testar com máquina virtual e está tudo perfeito. Será?

    Bem, vamos comparar a experiência que fiz e tive e tirem suas conclusões:

    Pentest usando máquina virtual com backtrack 4 instalado.

    Ferramentas hackers usadas:

    Nessus
    Nmap
    Nbtscan
    SMtpscan
    DNSscan
    Super Scan
    entre outros!

    Foi desativado o serviço de netbios, icmp, bloqueando com o comodo firewall que é o melhor firewall do mundo na minha opnião para home users todas as conexoes de entrada.
    Instalado IDS valhala honey pot e SAX2 (excelente honeypot paga). Entre outras configurações de segunrança para o windows 7 temos a seguir:

    O resultado é que mesmo, com todo este arsenal, o IDS identificou o scanning dos scanners
    Os scanners conseguiram se conectar as portas, mesmo estando ativado no firewall para bloquear todas e quais conexões de entrada. No meu caso apareceu aberta a porta 135 do serviço rpc e outras também com serviço rpc. identificado o sistema operacional windows pelos scanners.

    Agora, usando um outro computador, mas que está na mesma rede, usando um roteador, O RESULTADO, FOI O MESMO!

    Agora, olha que fantástico!


    Conectando meu computador alvo em meu modem.


    E o computador para fazer o pentest em uma rede wireless. A máquina de ataque está em uma rede diferene aqui amigos!


    TEMOS UMA ATAQUE REAL AQUI. NÃO É REDE VIRTUALIZADA E NÃO ESTÁ NA MESMA REDE.

    Sabem qual foi o resultado?

    Não consegue scannear com nmap, nem com nessus, nem com nada!
    Não consegue se conectar absolutamente a nenhuma porta.
    Não consegue saber qual sistema operacional está funcionando!

    O IDS nem identificou nada, por que não houve conexão!

    O computador atacado estava com as mesmas configurações de antes. E nada do ataque funcionar! Veja os procedimentos que usei para defender meu sistema!


    O firewall comodo, bloqueando todas as conexões de entrada além de outras regras mais rígidas.
    Serviçoes de acesso remoto foram desativados.
    Serviços de netbios desativados. Compartilhamento de arquivos desativado.
    Em fim, nada de identificação.

    Os scanners apenas conseguem saber se estou online, só isso, mas nada!


    Desativando as defesasFazendo o ataque com o computador vulnerável para testar a efetividades de ferramentas sendo usadas sozinhas como o IDS.

    Desativei o firewall, e ativei os serviços de net bios e todos os outros de acesso remoto e deixei só o IDS SAX2 e o valhala.

    Consegui então scannear as portas 135 e outras de serviço rpc.

    O VALHANA HONEYPOT, NÃO CONSEGUIU IDENTIFICAR O ATAQUE.

    O SAX2 HONEYPOT CONSEGUIU! Parabéns!

    A conclusão que podemos tirar disso tudo é que, o valhala, identifica ataques de máquinas virtuais, mas de outro computador, se você for atacado com stealth scan, ele não pega, e você naõ saberá que está sendo invadido.

    Muitas pessoas ficam iludidas com a eficiência do valhala por que TESTAM COM MÁQUINA VIRTUAL PARA SABER SE ELE FUNCIONA. Mas na vida real é diferente, a pergunta que devemos fazer é. será que em um ataque real de outra rede, meu ids vão funcionar? Meu firewall vai bloquear?

    O SAX2 está de parabéns conseguiu identificar, mas quando eu coloquei o firewall para bloquear todas as conexões de saída, ele nem identificou por que o nmap e nessus não conseguem scannear nenhuma porta!

    Com este relato inédito talvez, vocês aprendizes e até experientes, sabem que para ver realmente se tudo está protegendo, e se o seu pc ou rede está funcionando, É NECESSÁRIO FAZER O PENTEST DE UMA REDE TOTALMENTE DIFERENTE DA SUA, DE OUTRO COMPUTADOR!

    Por que é necessário simular um ataque real para testar sua segurança!

    Muitos vídeos no you tube os ataques são à máquinas virtuais, mas na realidade, sem ser com máquinas virtuais não funcionam!

    E as vezes um tipo de defesa de firewall funcionam na simulação de máquinas virtuais, mas quando o ataque é feito de outra rede os firewalls não funcionam! Ou o mesmo acontece para IDS, como aconteceu com o valhala que não identificou o ataque onde as portas scannear apareceram no scanner nmap e nessus, mas o valhala não identificou. E eu testei com scan invisível, com agressivo que é facilmente identificável. Mas nada do valhala funcionar!

    OUTROS DETALHES ALARMANTES!

    Configurei o FIREWALL DO WINDOWS, DA SYMANTEC OU NORTON, E OUTROS
    Programei eles para bloquear todas as conexões de entrada.

    Fiz o mesmo ataque e:

    O nmap e nessus identificou as portas!
    COMO É QUE VOCÊ MEU AMIGO PAGA R$ 100 POR ANO POR UMA DROGA DESSA!

    O comodo firewall que é grátis, só permitiu que o nmap e nessus identificasse meu computador alvo como online, só isso, nada de nenhuma porta, nada de nenhum serviço, nada de identificação de sistema operacional algum. FANTÁSTICO SIMPLESMENTE É GRATUITO!


    CONCLUSÃO

    Se quer ser um hacker, e fazer pentest, compre e tenha dois computadores e use redes totalmente isoladas umas das outras. NÃO USE MÁQUINAS VIRTUAIS POR QUE O TESTE PODE SER ENGANOSO! Me agradeçam pois muitos iniciantes pensam que máquinas virtuais simulam igualmente um ataque real. TOTALMENTE ERRADO ISSO, E TEM GENTE ENSINANDO ISSO POR TODO O LUGAR! EU JÁ CAI NESTE CONTO, MAS AGORA ANIQUILAR ESTA MIRAGEM QUE ENGANA VÁRIOS PROFISSIONAIS DE SEGURANÇA!

    Faça o pentest, para testar todos as ferramentas.
    Eu scannei com o firewall ativado para testar o firewall.
    Depois sem o firewall para saber o que acontecia, mas com o ids ligado para ver se ele funciona mesmo, E o valhala, por exemplo não passou no teste e eu não uso aquilo mais!
    Scanneei de novo, sem nada ativo para saber que portas aparecem , para saber se algum serviço que desativei, aparece no scan, POIS ASSIM SABERIA QUE NÃO FUNCIONOU A DESATIVAÇÃO E ENTÃO RESOLVERIA O PROBLEMA.

    Então, senhores, queREm ser um pentesters? TENHA DOIS PCS, E DUAS REDES ISOLADAS ONDE VOCÊ USA CADA COMPUTADOR EM CADA UMA ISOLANDO-OS, PARA ATACAR DE VERDADE E COM BRUTALIDADE. SÓ ASSIM, PODERÁ GARANTIR A SEGURANÇA!

    NÃO SIMULE NADA, ATAQUE DE VERDADE! MÁQUINAS VIRTUAIS E USAR A MESMA REDE MASCARAM O PENETRATION TEST!

    Amigos hackers, é com enorme prazer que lhes passo esta informação pois compartilhar o bem com vocês é a minha missão.

    Um abraço do WarMachine
    WarMachine - Ethical Hacker - White Hat
    Assembly/C/C++/C#/Java/Asp Programmer

    Saiba invadir para não ser invadido. Quem faz o mal não tem idéia de quanto mal faz a si mesmo. Seja do bem. Seja um profissional de segurança e use os conhecimentos para defesa de sistemas de informação.
    Similar Threads

  • Font Size
    #2
    Olá.

    Ótimo artigo, li até a metade, interessante, estarei terminando agora.
    Obrigado por compartilhar!

    Até mais,
    Script.
    "Compartilhe, agradeça, motive, engrandeça!"
    "Faça o bem, sem ver a quem!"
    "Conhecimento não é crime. Crime é o que vem depois dele, seus atos!"
    "Não deixe mais que seu opressor o domine!"

    Comment


    • Font Size
      #3
      Excelente post

      Excelente as suas colocações meu caro. Estou plenamente de acordo.
      O que acontece é que poucas pessoas se interessam realmente em testar aquilo que usam. Confesso que as vezes cometo esse erro tb. Com isso nos mostra o quanto é importante testar aquilo que usamos e principalmente aquilo que compramos.
      Eu tive diversas experiências também em cursos da Off-Sec e senti as mesmas dificuldades quando se está em redes diferentes. Na verdade o curso nos dá uma noção geral das ferramentas, como usá-las e para que servem. Acho que o diferencial cada um tem que buscar por si mesmo. Assim como vc, outros aprendizes como eu mesmo, temos que "sair da caixa" como se diziam os próprios instrutores da Off-Sec. Muitos problemas serão encontrados no caminho de pentester, porém cabe a ele procurar outras soluções para transpô-los.
      Vc ainda nos mostrou e isso eu posso dizer que eu já sabia, que muita coisa que compramos e pagamos caro por sinal, são meramente ferramentas ilusórias. Vc testa, eu testo, mas 99% dos compradores simplesmente compram e instalam, muitas vezes com a configuração default para não se ter trabalho.
      Muito bom o seu post. Serve para alertar àqueles que pensam que são hackers fazendo pentests em suas próprias VM e esquecem que quando saem de seu universo dificuldades serão encontradas e não saberão como resolvê-las. Ser hacker não é saber fazer um defacement, muitas vezes usando ferramentas prontas como o próprio Havij, entre outras, ou apenas mandar um email-bomb, ou mesmo enviar um trojan que ele pegou pronto, seguiu uma receita de bolo e se acha "o cara". Ser hacker é muito que isso. Ser hacker é tb saber se manter no anonimato. Não querer ser o foco das atenções. Não prejudicar pessoas. Usar seu conhecimento de forma sábia. É saber o que está fazendo. É conhecer o ambiente em que está atuando. Eu sempre digo àqueles que usam receitas de bolo que "muitas vezes quando entram em um sistema ficam como aquele cachorro que late para um carro e quando esse carro ele sabe mais o que faz".
      Eu venho aprendendo muito com GH e acho interessante posts como o seu, até mesmo para abrir os olhos de todos que se interessaram e pararam uns minutinhos para ler. Geralmente, a maioria quando olha um post muito grande assim, nem se interessa em saber do que se trata, pois é muito cansativo e eu não tenho tempo para tudo isso.

      Fica aqui novamente meus parabéns,
      Estou aprendendo e muito com GH como já disse,
      E procuremos sempre buscar o conhecimento,
      Afinal conhecimento não é crime...
      Um grande abraço
      Willie_Coiote

      Comment


      • Font Size
        #4
        Cara, muito obrigado pela dica, isso vale ouro. Felizmente vou poder seguir esse caminho das pedras.

        Comment


        • Font Size
          #5
          Verdade veio, o Comodo é fera msm...
          Toda vez q aparece um "Permitir" e "Bloquear" do Comodo no note da minha irmã, ela me chama...
          Ai, um dia eu estava fazendo um pentest no note da minha irmã, ai eu vi q não dava em nada, ai ela mandou um grito q tinha aparecido um "Permitir" e "Bloquear", fui ver e era o Comodo Informando q o IP do meu AP estava tentando se conectar no note.
          Pra quem usa Windows o Comodo é muito bom.

          <<Belo post>>

          Comment


          • Font Size
            #6
            Bom a unica coisa que concordo com o este post é que COMODO é um poderoso Firewall free!
            sigpic



            Comment


            • Font Size
              #7
              Só a nível de esclarescimento. Os testes realizados em máquinas virtuais funcionam perfeitamente. o que pode acontecer em muitos dos casos e falta de conhecimento ou de uma pesquisa aprimorada de certas pessoas que não conseguem utilizar uma ferramenta com destreza.
              A mesma coisa acontece com uma calculadora, se você não souber usá-la, obetrá resultados corretos, porém não certos para a sua aplicação. O que recomendo antes de se basiarem em únicas tentativas de algum usuário, é testarem e PESQUISAREM à respeito para que não venham a cometer atos de ignorância como esse post. Garanto a vocês que em 10 anos de trabalho, sempre consegui utilizar as máquinas virtuais para PenTes sem algum problema(claro que erros são comuns).

              Faço minhas as palavras de PraTes.

              Att,
              Black_Link
              Last edited by Black_Link; 10-07-2011, 14:18.
              CONHECIMENTO NÃO É CRIME.
              sigpic

              Comment


              • Font Size
                #8
                Amigos, usar máquinas virtuais para fazer pentest funciona com certeza, o que não concordo é fazer um pentest USANDO UMA MÁQUINA VIRTUAL DO SEU PC, E ESCANEAR O PRÓPRIO PC COM ESTA MÁQUINA VIRTUAL. Talvez o black link não tenha entendido isso. Agora, fazer um pentest com uma máquina virtual, mas escanear outro computador FORA DA SUA REDE. Funcioná perfeitamente.

                O que não é bom fazer é usar a máquina para escanear o próprio computador, provavelmente havará falhas. Mas pode dar certo também, para acho que simular um ataque real fora da rede, com certeza funcionará.
                WarMachine - Ethical Hacker - White Hat
                Assembly/C/C++/C#/Java/Asp Programmer

                Saiba invadir para não ser invadido. Quem faz o mal não tem idéia de quanto mal faz a si mesmo. Seja do bem. Seja um profissional de segurança e use os conhecimentos para defesa de sistemas de informação.

                Comment


                • Font Size
                  #9
                  Amigo se você configurou sua VM em Bridged sua VM vai ser reconhecida como uma maquina fisica mais se esta em NAT logicamente não pois ele usara a banda que chega ate ao seu computador e é criado uma sub rede entre seu computador e a VM.

                  Quanto ataque externos se o Modem/Router não estiver devidamente configurado para fazer Ip Forward ele ira atacar o Modem/Router e não o computador alvo. Sendo assim o computador alvo não receberar nenhum tipo de requisição

                  Obs: Não li todo o Post, pois estou com pressa pois vou para o curso que eu faço aqui caso faltou algo a TENTAR esclarecer deixe um post que quando eu chegar vou TENTAR responder

                  Comment


                  • Font Size
                    #10
                    Bom pelo que eu entendi qunado vc fez o pentest no próprio pc, voçê conseguiu conectar nas portas e tal... Quando o ataque veio de outra rede não conseguiu nada....
                    Isto não é normal, provavelmente seu firewall apenas bloqueou ataques de outra rede, e a rede local não, por isso
                    na rede local vc conseguiu escanear. Se bem configurado só o firewall do windows já daria o resultado correto, recomendo a vc fazer o scan novamente bloqueando conexão da rede local.

                    Comment


                    • Font Size
                      #11
                      A máquina virtual estava em modo NAT como o amigo falou, e o firewall devidamente configurado, fiz todo tipo de configuração, e mesmo assim, foi possível ver as portas. Mas fora da rede, ai, o comodo funcionou.

                      Bom, de fato, eu acho que outro computador, em outra rede, é de fato um ataque realístico, por isso eu preciso não usar máquina virtual para atacar o próprio pc como pentest.


                      Mas, eu já ataquei servidores, e consegui acesso como superadministrador USANDO MÁQUINAS VIRTUAIS COM BACKTRACK!


                      Então pessoal, a máquina virtual é perfeita!
                      Para fazer ataques a outros computadores, mas testar o seu computador com uma VM, mas esta está no próprio computador, eu verifiquei em centenas de testes, divergências, são tantas que nem dá para colocar aqui.
                      WarMachine - Ethical Hacker - White Hat
                      Assembly/C/C++/C#/Java/Asp Programmer

                      Saiba invadir para não ser invadido. Quem faz o mal não tem idéia de quanto mal faz a si mesmo. Seja do bem. Seja um profissional de segurança e use os conhecimentos para defesa de sistemas de informação.

                      Comment


                      • Font Size
                        #12
                        Amigo, é claro que o scan e o ataque não ira funcionar devidamente se a sua VM estiver em modo NAT ela deve estar em Bridged.

                        Tente mudar para Bridged para conectar a sua rede e adquirir um ip interno na sua rede

                        Comment


                        • Font Size
                          #13
                          tanto brige como Nat deu divergencias. Eu já tinha testado todos os modos com a máquina virtual. Mas eu só fiz com o windows 7 ultimate, pode ser que com outros sistemas operacionais, não de divergencias.

                          Mas mesmo assim, o ideal é fazer um ataque real, na minha opnião.

                          Vocês já viram um curso de hacker chamado, universidade Hacker?, o Pentester que ministra o curso, faz o pentest de computador separado da rede também. Foi neste curso que me chamou a atençoa para fazer pentests sempre de fora do computador, para simular um ataque real, sem chances de erros como aconteceu comigo e com alguns amigos da security focus, que também me relataram isso.
                          WarMachine - Ethical Hacker - White Hat
                          Assembly/C/C++/C#/Java/Asp Programmer

                          Saiba invadir para não ser invadido. Quem faz o mal não tem idéia de quanto mal faz a si mesmo. Seja do bem. Seja um profissional de segurança e use os conhecimentos para defesa de sistemas de informação.

                          Comment


                          • Font Size
                            #14
                            Maquinas virtuais funcionam perfeitamente como um laboratório de testes, a maior prova e indiscutivel prova disso é a criação e constante atualização de ambientes como o Damn Vulnerable Linux, Damn Vulnerable Web App entre tantos outros...

                            Comment


                            • Font Size
                              #15
                              Interessante, vlw

                              Comment

                              X
                              Working...
                              X