Diferenças entre pentest em ambiente real e ambiente simulado

26 de September de 2022

Se você possui alguma certificação, chegou aqui apenas por curiosidade ou “pwnou” alguns laboratórios simulados, mas não sabe como funciona um pentest em um ambiente da vida real, você chegou no artigo correto. Neste tópico abordarei quais são algumas diferenças de um ambiente simulado e um ambiente real e quais são as ferramentas mais utilizadas para realizar o pentest.

Prazo de serviço

Primeiramente, vale ressaltar que em um ambiente real você vai ter um prazo que o cliente vai te dar para realizar o pentest, assim, você deverá ter um ótimo planejamento e gerenciamento de tempo e também ter ferramentas ao seu lado que irão te auxiliar em cada etapa e procedimento, não em questão de automatizar com mass scanners, mas sim no que eu chamo de semi-automação, onde você vai utilizar sua própria estratégia para buscar um vetor de ataque e, aí sim, utilizar uma ferramenta para automatizar a exploração nesse vetor encontrado. Além disso também, existem outras diferenças que serão citadas a seguir.

Ambientes simulados não possuem entradas DNS

Em um ambiente simulado, por exemplo, não teremos nameservers nem registros DNS, ou seja, o ambiente não vai ter domínio e subdomínios reais, geralmente você vai atacar diretamente o IP do alvo, o máximo que pode acontecer é o próprio autor do laboratório pedir para você adicionar um hostname na tabela de hosts do seu sistema para simular um domínio ou subdomínio. Dessa maneira, fica impossível de você fazer uma enumeração passiva e crawling do ambiente, por exemplo, obtendo dados do website através da Wayback Machine, Alien Vault, whois, registros TXT e outros, apenas sendo possível um recon ativo. Vale ressaltar que tudo isso que citei anteriormente vale para a maioria dos laboratórios existentes, mas é possível sim imitar um ambiente real se o autor simular um servidor DNS e mandar você adicionar na tabela de DNS do seu sistema ou deliberadamente deixar dados para recon passivo na engine do Google.

Ambientes reais são mais complexos

Os ambientes reais são mais complexos do que os ambientes simulados em questão de possuírem mais recursos a serem explorados, ou seja, em um ambiente real você terá o dobro ou o triplo do que tem em um ambiente simulado como mais vulnerabilidades, mais vetores de ataque a serem explorados, mais páginas, mais portas abertas, infraestrutura maior e etc. Contudo, não desanime, pois a metodologia aprendida em laboratórios e certificações é a mesma utilizada em ambientes reais só que com mais vetores a serem explorados.

Ambientes reais necessitam de mais precauções

Geralmente as plataformas de ambientes simulados possuem a funcionalidade de reverter o laboratório para o seu estado inicial, assim, se você quebrar alguma funcionalidade durante a exploração você pode reverter a máquina e ela estará novinha em folha. Já, infelizmente, isso não se aplica aos ambientes reais, pois neles, se você quebra alguma funcionalidade ou engatilha um DoS, vai fazer com que a empresa e seus clientes sejam prejudicados por horas, ou seja, é recomendado que você primeiro execute uma exploit em um Docker ou em um ambiente simulado e depois executar no ambiente da empresa após se certificar que sua Prova de Conceito está okay.

Ambientes reais precisam de um relatório final

E, finalmente, os ambientes reais precisam de um relatório final, ou seja, além de fazer toda a enumeração e exploração do ambiente, você precisa fazer um relatório para ser entregue ao seu cliente. Sempre coloque o máximo possível de informações sobre tal vulnerabilidade como CVE, risco, descrição, mitigação, saídas de terminal, Prova de Conceito, screenshots de cada etapa e etc. Além disso tenha um sumário executivo, gráficos e resumos elaborados e evite detalhes que sejam desnecessários para o cliente.