Pentest
Para entendermos melhor do que se trata, bom começaremos pelo "começo"... | ||
O texto abaixo foi retirado do site https://hackersec.com/o-que-e-pentest/ devido a ser exatamente o meu ponto de entendimento, transparecer e explicar perfeitamente a idéia do que é o Pentest. | ||
"Cada dia mais ouvimos falar em Pentest, porque o mundo conectado é uma realidade consolidada e irreversível, e a cada dia surgem novas soluções que visam promover um maior conforto, facilidade e agilidade no dia-a-dia das pessoas e empresas, especialmente serviços financeiros. | ||
Entretanto, a cada nova solução que incluímos em nossa rotina, sedemos aos desenvolvedores daquele serviço nossos preciosos dados pessoais. Então surge um questionamento importante: que garantias você tem de que seus dados estão protegidos? Ou que não estão sendo usados para outras coisas além do que você concordou? E quem garante que outros dados não estão sendo compartilhados sem seu conhecimento ou se os que você cedeu são realmente necessários? Agora imagine o estrago que isso poderia causar. | ||
O Pentest, ou Teste de Penetração numa tradução literal, tem como objetivo central detectar e explorar vulnerabilidades em um sistema para validar a eficácia dos mecanismos de segurança e melhorá-los. Esse processo permite uma avaliação também das consequências que essas falhas possam causar, quais as soluções de mitigação, quais novos problemas podem surgir após uma intervenção nas falhas entre outras coisas. | ||
Por tanto, Pentest não tem ligação com invasões deliberadas com o intuito único de expor gratuitamente desenvolvedores, empresas e pessoas, a visão sempre é melhorar a segurança, além de ser um ramo que cada vez mais abre espaço para novos profissionais no mercado de trabalho. | ||
Existem 3 tipos de pentest, chamados comumente de White Box, Black Box e Grey Box. | ||
White Box ou Caixa Branca, é o teste mais amplo dos 3 tipos, nele o pentester (como é chamado o profissional dessa área) tem conhecimento prévio do ambiente a ser explorado, conhece os detalhes da rede, IPs, senhas, níveis de usuário, infraestrutura, segurança, etc. Não é um tipo muito requisitado pelas empresas já que não simula uma situação real de ataque. | ||
Black Box ou Caixa Preta, é o teste com maior capacidade de simular uma situação real, pois assim como se espera que um hacker mal-intencionado não tenha conhecimento prévio nenhum do ambiente a ser invadido, o pentester também não terá nenhuma informação, um chamado “teste cego”. | ||
O Gray Box ou Caixa Cinza, mistura um pouco dos dois, onde o pentester tem algumas informações limitadas sobre o que será testado e em que ambiente, no entanto, são bem menos informações em relação ao primeiro tipo. Não é muito requisitado pelas empresas. | ||
Todos os três podem ser utilizados para diversas aplicações a serem testadas, como aplicações Web, serviços de rede, redes sem fio, engenharia social e até hardwares. | ||
Mesmo ainda havendo algum preconceito sobre esses testes, principalmente por serem realizado por pessoas com conhecimento hacking, os benefícios são compensadores. Ajuda as empresas a conhecerem o nível de maturidade da sua segurança, corrigir falhas que possam causar prejuízos às vezes incalculáveis a corporação e seus clientes, ajuda a zelar pela reputação daquele negócio e principalmente ajuda a mostrar que segurança não é gasto, é investimento." |