centro de instruÇÃo de guerra eletrÔnica cap qoav...
TRANSCRIPT
CENTRO DE INSTRUÇÃO DE GUERRA ELETRÔNICA CAP QOAV IGOR MARTINS SILVA
PROPOSTA DE METODOLOGIA PARA TESTES DE INVASÃO NAS REDES INTERNAS DO EXÉRCITO BRASILEIRO
Brasília 2016
CAP QOAV IGOR MARTINS SILVA
PROPOSTA DE METODOLOGIA PARA TESTES DE INVASÃO NAS REDES INTERNAS DO EXÉRCITO BRASILEIRO
Trabalho de Conclusão de Curso apresentado ao Centro de Instrução de Guerra Eletrônica como exigência parcial à obtenção do título de Especialista em Guerra Cibernética. Orientador: Maj Cristiano Rolim
Brasília 2016
TERMO DE APROVAÇÃO
CAP QOAV IGOR MARTINS SILVA
PROPOSTA DE METODOLOGIA PARA TESTES DE INVASÃO NAS REDES INTERNAS DO EXÉRCITO BRASILEIRO
Trabalho de Conclusão de Curso apresentado ao Centro de Instrução de Guerra Eletrônica como exigência parcial à obtenção do título de Especialista em Guerra Cibernética. BANCA EXAMINADORA
____________________________Maj Cristiano Rolim Pereira- Presidente
_____________________________1º Ten Vinicius Luis Paludeto
_____________________________ 2º Sgt Márcio Antônio Lawisch
Brasília, de julho de 2016.
DEDICATÓRIA À minha amada esposa Nathalia, por toda a luz que traz ao meu caminho.
AGRADECIMENTOS
Antes de tudo, agradeço a Deus pela benção da vida.
Agradeço à minha família, que suportou minha ausência durante as longas
horas dedicadas a este trabalho.
Agradeço ao Major Cristiano Rolim, por sua orientação e atenção dispendidas.
Agradeço aos militares do Centro de Instrução de Guerra Eletrônica por ter
dedicado espaço à Força Aérea Brasileira em seus assentos acadêmicos. Esse gesto
não será esquecido.
"Para se proteger de um hacker, você tem que pensar como um hacker."
RESUMO Este trabalho cuida de propor uma metodologia de teste de invasão para as redes
internas do Exército Brasileiro. A insegurança crescente no espaço cibernético impõe
a necessidade de estabelecer meios que sejam capazes de mitigar as ameaças do
mundo moderno. Dentre as estratégias existentes para fazer frente aos riscos que se
impõem à segurança da informação, destacam-se os testes de invasão, uma vez que
tratam de reproduzir de maneira mais fidedigna possível as ações de um agente
adverso sobre a rede a ser avaliada. Algumas metodologias abertas já foram
propostas no mercado como a OSSTMM, ISSAF, NIST, PTES, OWASP e outras.
Entretanto, a adoção integral de uma dessas metodologias para os testes de invasão
a serem executados sobre as redes do Exército Brasileiro não atende às suas
particularidades. Dessa forma, após apresentar uma análise e comparação de
metodologias existentes, este trabalho elabora uma proposta de metodologia de teste
de invasão ajustada às especificidades das redes internas do EB.
Palavras-chaves: Segurança da Informação, Teste de Invasão, Teste de Penetração,
Pentest, Metodologia, Redes de Computador.
ABSTRACT
This paper is meant to propose a methodology for penetration test to be applied on
Brazilian Army’s internal networks. The growing insecurity in cyberspace imposes the
need to establish measures that are able to mitigate the threats of the modern world.
Among the existing strategies to face the risks to information security, penetration tests
are highlighted since they reproduce more faithfully as possible the actions of an
adverse agent on the network to be assessed. Some open source methodologies have
been proposed in the industry like OSSTMM, ISSAF, NIST, PTES, OWASP and
others. However, the full adoption of these methodologies for penetration testing to be
performed on the Brazilian Army’s internal networks does not address its peculiarities.
Thus, after presenting an analysis and comparison of existing methods, this paper
draws up a proposal for penetration testing methodology adjusted to the specific
features of Brazilian Army’s internal networks.
Keywords: Information Security, Penetration Test, Pentest, Computer Networks.
SUMÁRIO
1 – Introdução .......................................................................................................... 10
2 – A importância da segurança da informação para o Exército Brasileiro ............... 13
3 – Avaliações de segurança em Tecnologia da Informação.................................... 17
3.1 Diferenças entre verificações e testes de segurança ...................................... 18
3.2 Técnicas de avaliações de segurança em Tecnologia da Informação ............ 20
3.3 Testes de invasão .......................................................................................... 21
3.3.1 Tipos de teste de invasão ............................................................................ 22
3.3.2 Metodologias para teste de invasão ............................................................ 23
4 – Mapeamento sistemático sobre testes de invasão da Faculdade de Informática
da Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS) ....................... 26
4.1 Características das metodologias de avaliação de segurança ........................ 29
4.1.1 OSSTMM ..................................................................................................... 29
4.1.2 ISSAF .......................................................................................................... 32
4.1.3 PTES ........................................................................................................... 34
4.1.4 NIST Guidelines .......................................................................................... 36
4.1.5 OWASP Testing Guide ................................................................................ 37
4.2 Comparação entre metodologias de testes de invasão................................... 38
5 – Proposta de metodologia de teste de invasão para as redes internas do EB ..... 42
5.1 Planejamento.................................................................................................. 43
5.2 Execução ........................................................................................................ 46
5.3 Pós-execução ................................................................................................. 51
6 – Conclusão .......................................................................................................... 53
REFERÊNCIAS BIBLIOGRÁFICAS ......................................................................... 55
APÊNDICE A – MODELO DE RELATÓRIO DE TESTE DE INVASÃO .................. 57
10
1 – Introdução
Aqueles com olhar mais crítico são capazes de apontar os enormes desafios
que emergem em decorrência da revolução digital por que passa a sociedade do
século XXI. As funcionalidades advindas do desenvolvimento de novos softwares e
hardwares trouxeram em seu bojo sérias ameaças à segurança das informações em
poder das organizações. Entretanto, não só a confidencialidade de dados sensíveis
se encontra ameaçada, mas também o próprio funcionamento de infraestruturas
críticas dependentes do espaço cibernético.
O cenário descrito anteriormente exige do Exército Brasileiro (EB) a adoção de
um conjunto de medidas sistemáticas com o propósito de fazer frente a esses
desafios. Dentre as várias ações proativas de implementação necessária, destaca-se
a premência de aplicação de testes de invasão às suas redes internas a fim de
proteger os conhecimentos sensíveis e as infraestruturas críticas, conquanto não
exista ainda uma metodologia estabelecida para que os profissionais especialistas em
defesa cibernética possam levar a cabo esse tipo qualificado de análise de
vulnerabilidade.
O problema que o presente trabalho pretende abordar é descobrir qual seria a
metodologia mais adequada para balizar os testes de invasão a serem aplicados
sobre as redes internas do EB. As pesquisas bibliográficas preliminares levadas a
efeito não foram capazes de revelar nenhuma metodologia para testes de invasão que
tivesse sido produzida em âmbito acadêmico nacional. Os trabalhos identificados se
restringiram a fazer uma análise das metodologias escritas por pessoas ou grupos de
estudos estrangeiros e que não necessariamente atendem às peculiaridades do EB.
A hipótese levantada é que a metodologia apresentada ao final deste trabalho,
fruto de uma análise comparada das metodologias abertas existentes para testes de
invasão, atende melhor às especificidades da rede interna do EB do que a adoção
integral de alguma dessas estratégias.
Portanto, o esforço empreendido justifica-se em razão da necessidade de
tornar as redes internas do EB mais seguras e melhor preparadas para os desafios
que surgem a reboque da constante evolução tecnológica. Estabelecer uma
metodologia para testes de invasão serve como referencial teórico inicial ao
11
profissional de defesa cibernética do EB na execução de testes de invasão, levando-
o a fazer um uso mais racional das ferramentas existentes no mercado e a aproveitar
melhor o tempo. Outro efeito desejado é a padronização de relatórios finais de testes
de invasão para que possam se tornar mais compreensíveis aos órgãos gerenciais e
passíveis de serem submetidos posteriormente a novos estudos científicos que gerem
métricas de eficiência e eficácia.
Dessa forma, o objetivo geral dessa obra constitui-se em apresentar uma
metodologia para testes de invasão a serem aplicados sobre as redes internas do EB,
levando em conta as suas particularidades. Para atingi-lo, os seguintes objetivos
específicos serão trabalhados:
Reconhecer a importância de submeter as redes do EB a testes de
invasão em face das ameaças atuais que se impõem à segurança da
informação;
Descrever e comparar as metodologias abertas para testes de invasão
existentes na literatura sobre o assunto;
Descrever as fases que compõem a proposta de metodologia para teste
de invasão a serem aplicadas sobre as redes internas do EB.
Para isso, o paradigma metodológico aplicado ao presente estudo foi o
hipotético-dedutivo, tendo como fontes de pesquisas documentos e materiais
bibliográficos que tratam sobre segurança das informações e testes de invasão.
Destarte, o primeiro capítulo aborda os riscos atuais à segurança da informação
sob responsabilidade do EB, tendo por base um reconhecido relatório mundial sobre
os principais ataques identificados ao longo do ano de 2015 pelas principais empresas
de segurança da informação.
O segundo capítulo se propõe a explicar as principais características do teste
de invasão no contexto das avaliações de segurança. Assim, cuida de diferenciá-lo
dos demais tipos de testes ao mesmo tempo em que mostra suas vantagens e
desvantagens.
O terceiro capítulo cuida de apresentar e comparar as metodologias abertas
mais citadas na literatura acadêmica sobre o assunto. Dessa forma, fica mais fácil de
entender o papel a ser exercido por uma metodologia ao mesmo tempo em que se
obtém matéria-prima para a produção da proposta de metodologia a ser apresentada.
12
O quarto capítulo tem por objetivo descrever a metodologia de teste de invasão
que atenda especificamente às necessidades do Exército Brasileiro. Portanto, são
descritas em detalhes as fases que devem compô-lo e suas principais características.
Por fim, a conclusão encerra o presente trabalho fazendo um apanhado geral
do caminho percorrido pelas pesquisas realizadas e reafirmando que as metodologias
abertas existentes são incapazes de se adequar às particularidades da rede interna
do EB, fazendo com que a proposta final apresentada seja a opção mais adequada
dentre as existentes.
13
2 – A importância da segurança da informação para o Exército Brasileiro
Para melhor compreender o valor da informação, é possível recorrer ao livro “A
Terceira Onda” (ALVIN TOFFLER, 1980) no qual o autor defende que a humanidade
estaria passando por uma verdadeira revolução nas suas estruturas sociais em
decorrência do desenvolvimento das tecnologias da informação. Depois da “primeira
onda”, representada pela revolução agrícola, e da “segunda onda”, a qual tomou forma
com a revolução industrial, a era da computação constitui-se como a “terceira onda”,
permitindo manipular as informações de modo tão eficiente e eficaz que a sociedade
transformaria sua maneira de produzir riquezas, de transmitir conhecimentos e, até
mesmo, de fazer guerra.
Apesar de decorridas mais de três décadas desde a publicação do citado livro,
a ideia não perdeu sua atualidade. O tempo serviu para comprovar que as
observações de Alvin Toffler eram, e continuam sendo, bastante pertinentes. Por isso,
a preocupação com a segurança da informação desempenha um papel preponderante
no âmbito da produção industrial, do comércio, da saúde e dos conflitos armados,
para ficar com alguns exemplos mais relevantes.
Não obstante, as informações como matérias-primas essenciais têm sido alvos
constantes da cobiça de atores adversos. É o que se depreende do relatório sobre
violações de dados publicado em 2016 1 , o qual foi produzido pela empresa de
telecomunicações americana Verizon em conjunto com diversos órgãos públicos e
empresas de segurança do mundo inteiro. Dentre seus parceiros, à guisa de exemplo,
é possível citar o Departamento de Segurança Interna dos Estados Unidos, SANS
Securing the Human, Fortinet, Imperva e o Kaspersky Lab. Tal documento vem sendo
produzido desde 2008, portanto encontra-se na nona edição, e já se consolidou como
referência no que tange à segurança da informação. Os dados ali contidos são os
resultados do processamento sobre as violações detectadas e relatadas por esses
colaboradores no período de janeiro a dezembro do ano anterior. Alguns de seus
números e gráficos merecem aqui reprodução a fim de corroborar com a tese do alto
valor da informação.
1 VERIZON. 2016 Data breach investigations Report. Disponível em <http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/>. Acesso em 20 abr. 2016.
14
No que diz respeito à localidade dos alvos, percebe-se, pela figura a seguir
apresentada, a ubiquidade das violações de dados ocorridas em 2015.
Figura 1 - Países que tiveram incidentes de violação de dados em 20152
Infere-se, portanto, que todos os continentes foram afetados de alguma forma
por violações de dados. Particularmente o Brasil figura como vítima desses ocorridos,
o que não poderia ser diferente em razão da sua forte integração ao espaço
cibernético.
Outro ponto levantado pelo relatório que merece espaço na presente discussão
é a apresentação de vítimas por setores da economia. Nesse quesito, o setor público
assume uma indesejada liderança. Do total de 64.199 incidentes conhecidos, 73,6%
recaíram sobre entidades governamentais. Para se ter uma ideia da magnitude do
papel que o setor público possui como vítima, vale citar que o segundo lugar ficou com
o setor de entretenimento (4,2%) seguido pelo setor financeiro (2,1%). No entanto,
deve-se levar em consideração que o setor público possui protocolos e legislações
que exigem o relato desses tipos de violações.
O cenário fica ainda mais preocupante quando se leva em consideração a
motivação para os atos de violação de dados. Destaca-se a motivação financeira com
80%, enquanto a espionagem é responsável por 10%. Nesse ponto, ganha ainda mais
força o argumento de que os dados são ativos intangíveis de valor elevado.
2 Ibid., pg. 3.
15
Figura 2 - Motivação para as violações3
Quando se leva em consideração o tempo decorrido entre a violação dos dados
e a constatação do evento pelas equipes de segurança, os números não são menos
surpreendentes. O gráfico a seguir apresenta o descompasso que existe entre a
velocidade para se obter acesso indevido e a demora da percepção:
Figura 3 - Tempo para comprometimento e descoberta de violações de dados4
Significa dizer que, de forma geral, os dados levam pouco tempo para serem
comprometidos (na ordem de minutos, predominantemente), enquanto a exfiltração
costuma durar dias até ser interrompida.
3 Ibid., pg. 7. 4 Ibid., pg. 10.
16
Destarte, resta comprovado o valor da informação como ativo intangível de
primeira ordem o que se depreende do fato de os dados serem alvos constantes de
ataques com propósitos financeiros e de espionagem em diversos pontos do globo
terrestre. Há questões preocupantes sobre o tema como o pouco tempo necessário
para que os dados sejam comprometidos, embora a detecção e interrupção da
exfiltração não caminhem na mesma velocidade.
Mas qual a relevância dessas conclusões para o Exército Brasileiro? Ora,
sendo instituição integrante das Forças Armadas (FA) e tendo atribuição constitucional
de defender a soberania da pátria, os poderes constituintes e a garantia da lei e da
ordem, as informações que lhe dizem respeito e que estão sob sua custódia podem
ser extremamente sensíveis e carecem de cuidado especial.
A título de exemplo, os projetos estratégicos do EB que estão elencados no
Plano de Articulação e Equipamento da Defesa (PAED) – Projeto Sistema Integrado
de Monitoramento de Fronteiras (SISFRON), Projeto Guarani e Projeto Proteger –
possuem detalhes técnicos que interessam a diversos atores. Empresas fornecedoras
de produtos de defesa anseiam por ter acesso a esses dados técnicos com o propósito
de se posicionarem melhor no mercado concorrencial. Outras FA ou mesmo o crime
organizado transfronteiriço, da mesma forma, gostariam de acessar esses dados a
fim de obterem vantagens táticas, operacionais e estratégicas.
Grande parte desses dados sensíveis reside em dispositivos de
armazenamento digitais como servidores e computadores pessoais. Daí se extrai a
importância da proteção desses ativos da informação contra investidas de atores mal-
intencionados. Uma estratégia pertinente para atender essa questão são os testes de
segurança da informação que passam a ser abordados no tópico seguinte, sendo o
teste de invasão o que melhor reproduz os ataques de agentes adversos.
17
3 – Avaliações de segurança em Tecnologia da Informação
Após constatar a importância da segurança da informação frente à crescente
ameaça no mundo moderno, torna-se imprescindível reconhecer a necessidade de
que organizações e indivíduos estabeleçam mecanismos de proteção aos seus ativos
informacionais. Entretanto, esses mecanismos estabelecidos exigem uma constante
verificação da sua eficiência. É para atender a esse ponto que são realizadas as
avaliações de segurança. Mas o que vem a ser essas avaliações e quais as espécies
que existem?
Uma avaliação de segurança é o processo de determinar o quão efetiva é
uma organização em atingir seus objetivos de segurança. Assim, para que essas
análises sejam efetivas, é preciso seguir alguns passos, quais sejam:
a) Definir o que se quer proteger. Os elementos levantados são chamados
de ativos. Os mecanismos de proteção para esses ativos são os controles que serão
testados para identificar suas limitações;
b) Identificar a área em que estão localizados os ativos, a qual deve
englobar os mecanismos de proteção, os processos e os serviços estabelecidos em
razão dos ativos. É nesse ambiente que as interações ocorrem. Essa área, então, é
chamada de zona de engajamento.
c) Levantar os elementos que estejam fora da zona de engajamento, mas
que sejam necessários para manter os ativos operacionais. Isso deve incluir
elementos que possam estar fora de influência direta – como eletricidade, água, ar,
informação, legislação e regulação – e também elementos que possam ser
controlados – como umidade, temperatura, claridade, parcerias, contratantes, etc.
Esse conjunto de elementos, controláveis ou não, forma o escopo.
d) Identificar os equipamentos que serão necessários para a análise do
escopo.
e) Determinar qual informação é esperada de cada análise. Para isso, a
espécie da análise deve ser definida para cada avaliação.
f) Estar certo de que a avaliação foi conduzida em conformidade com as
regras de engajamento, que nada mais são do que orientações garantidoras de que
o processo foi conduzido adequadamente e sem gerar desentendimentos ou falsas
expectativas.
18
Logo, as avaliações de segurança não têm o objetivo de substituir os
mecanismos de segurança estabelecidos para proteção dos ativos; tão somente
pretendem verificar sua eficiência.
Quanto às espécies existentes de avaliações de segurança, são muitas as
classificações existentes nos documentos especializados sobre o assunto. Sabe-se
que não existe classificação correta ou errada; existem as úteis e as inúteis para o fim
a que se destinam. Portanto, qualquer classificação somente será proveitosa à medida
em que permitir uma melhor compreensão da abordagem pretendida.
Dessa forma, a classificação que mais se adequa à pretensão do presente
trabalho – trabalhar os conceitos de teste de invasão – é aquela apresentada pelo
National Institute of Standards and Technology do governo americano em sua Special
Publication 800-1155, a qual se passa a apresentar.
De acordo com essa publicação, as análises de segurança podem ser
divididas em três categorias: entrevistas de segurança, verificações de segurança
e testes de segurança. A entrevista de segurança é o processo de conduzir
discussões com indivíduos ou grupos de uma organização para facilitar o
entendimento, alcançar clareza ou identificar a localização de evidências.
Quanto à verificação de segurança, esta é o processo de checar, inspecionar,
revisar, observar, estudar ou analisar um ou mais objetos de análise a fim de facilitar
o entendimento, alcançar clareza ou obter evidências.
Por sua vez, o teste de segurança é o processo de submeter um ou mais
objetos de análise a condições específicas com o propósito de comparar o
resultado/comportamento obtido com aquele esperado.
O presente trabalho se propõe a abordar apenas as espécies verificações e
testes de segurança. Isso porque o propósito de apresentar uma metodologia de teste
de invasão passa pela necessária distinção entre esses dois tipos de avaliações. Para
tanto, o próximo tópico cuida de traçar bem as diferenças entre essas duas espécies.
3.1 Diferenças entre verificações e testes de segurança
5 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. National Institute of Standards and Technology special publication 800-115. Disponível em: <http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf >. Acesso em 25 abr. 2016.
19
Verificações envolvem primordialmente a revisão de documentos como
políticas, procedimentos de operação padrão, planos de segurança, requisitos,
diagramas de arquitetura, documentação de engenharia, inventários de ativos,
configurações de sistemas, logs do sistema e regras. São conduzidos para certificar
se um sistema está adequadamente documentado e para obter uma visão dos
aspectos de segurança que somente estão disponíveis por meio de documentações.
Esses documentos a serem avaliados englobam os projetos, instalações,
configurações, operação e manutenção de redes e sistemas. Sua revisão e verificação
cruzada garante a conformidade e consistência. Por exemplo, os requisitos de
segurança de um ambiente devem servir como um norte para as documentações
como planos de segurança de sistemas e procedimentos de operação padrão de
forma que os avaliadores possam se certificar de que todos os planos, procedimentos,
arquiteturas e configurações estejam em conformidade com os requisitos e políticas
aplicáveis. Um exemplo é a revisão de regras de firewall para garantir conformidade
com as políticas de uso da internet como o uso de mensagens instantâneas,
compartilhamento de arquivos utilizando os protocolos peer-to-peer (P2P) e outras
atividades proibidas.
De forma geral, durante as verificações não há interação direta com sistemas
e redes do ambiente sob avaliação a não ser para obter registros, documentações ou
conjuntos de regras. Mas mesmo esses acessos devem ser realizados por agentes
habilitados a fim de evitar que roteadores e firewalls, por exemplo, tenham suas
configurações alteradas inadvertidamente.
Por outro lado, os testes de segurança proveem uma interação mais direta
com redes e sistemas para identificar vulnerabilidades e podem ser executados por
toda a organização ou em um sistema específico. O uso de varreduras e técnicas de
invasão podem fornecer informações valiosas sobre potenciais vulnerabilidades e
prever a probabilidade de um agente adverso explorá-las. Os testes também permitem
que a organização meça o nível de conformidade em áreas como gerenciamento de
aplicação de correções (patches), políticas de senhas e gerenciamento de
configurações.
Embora os testes possam fornecer uma visão mais precisa da postura de
segurança de uma organização do que a obtida por meio de verificações, aqueles são
mais intrusivos e podem impactar em redes e sistemas no ambiente sob avaliação. O
nível de impacto potencial depende dos métodos específicos de teste utilizados, os
20
quais podem interagir com os alvos de diversas formas. Sempre que existir essa
interação direta com redes e sistemas, existe a possibilidade de um desligamento
inadvertido ou uma condição de negação de serviço. Portanto, as organizações
devem deixar claro o nível de aceitação de risco à que estão dispostas ao decidir a
qual avaliação se submeter.
Por fim, os testes não oferecem uma avaliação compreensiva da postura de
segurança de uma organização e, frequentemente, tem um escopo mais restrito em
razão das limitações de recursos, principalmente por causa do tempo disponível. Os
agentes adversos, contudo, possuem o tempo que for preciso para explorar e invadir
um sistema ou rede. Enquanto as organizações costumam evitar os testes que
possam impactar suas operações ou disponibilidades, os atacantes externos não
estão preocupados com essas limitações e se utilizam das técnicas que entenderem
necessárias. Como resultado, os testes têm menos probabilidade do que as
verificações de encontrar fraquezas relacionadas às políticas de segurança e
configurações. Em muitos casos, combinar testes e verificações podem entregar um
resultado mais preciso da segurança da organização.
3.2 Técnicas de avaliações de segurança em Tecnologia da Informação
Ainda utilizando a publicação NIST 800-115 como referência, o documento
cita a existência de dezenas de técnicas para verificações e testes de segurança, mas
trabalha com uma divisão em três categorias de técnicas, quais sejam:
a) Técnicas de revisão: são técnicas de verificação usados para avaliar
sistemas, aplicações, redes, políticas e procedimentos a fim de descobrir
vulnerabilidades e geralmente são conduzidas manualmente. Elas incluem revisão de
documentação, logs, conjuntos de regras e configurações;
b) Técnicas de identificação e análise do alvo: são técnicas de teste de
segurança capazes de identificar sistemas, portas, serviços e potenciais
vulnerabilidades. Podem ser executadas manualmente, mas, em geral, são
executadas utilizando-se de ferramentas automatizadas. Incluem descobrimento de
redes, portas, identificação de serviços, varreduras de vulnerabilidades, varreduras de
redes sem fio e verificação de segurança de aplicações;
21
c) Técnicas de validação de vulnerabilidade do alvo: são técnicas de
testes de segurança que validam a existência de vulnerabilidades e podem ser
executadas manualmente ou com o auxílio de ferramentas automatizadas,
dependendo das técnicas utilizadas e das habilidades da equipe. A validação de
vulnerabilidade do alvo inclui quebra de senhas, testes de invasão, engenharia social
e testes de segurança sobre aplicações.
Uma vez que nenhuma dessas técnicas é capaz isoladamente de fornecer um
retrato fiel da postura de segurança da informação em uma rede ou sistema, elas
devem ser trabalhadas de forma conjunta para garantir a robustez das avaliações.
A primeira das três técnicas se adequa mais ao modelo de auditoria, ao passo
que a segunda técnica está mais relacionada com os testes de segurança passivos.
É na terceira técnica, validação de vulnerabilidade do alvo, que os testes de invasão
se enquadram. Para entender melhor as características dos testes de invasão, o
próximo tópico traz maiores detalhes sob seus principais aspectos.
3.3 Testes de invasão
Segundo Farkhod Alisherov A e Feruza Sattarova Y6, o teste de invasão é um
dos métodos de avaliação de sistemas mais antigos em tecnologia da informação.
Ainda no começo da década de 1970, o Departamento de Defesa Americano utilizava-
se dessa estratégia para demonstrar as fraquezas na segurança e para iniciar o
desenvolvimento de programas para a criação de sistemas mais seguros.
Nos testes de invasão, o avaliador imita ataques do mundo real com o intuito
de identificar métodos de evasão dos dispositivos de segurança de uma aplicação,
sistema ou rede. Frequentemente envolve a execução de ataques reais sobre dados
e sistemas reais e se utiliza de técnicas e ferramentas comumente utilizadas por
agentes adversos. Os testes de invasão buscam por combinações de vulnerabilidades
em um ou mais sistemas que possam ser exploradas para obter um acesso mais
qualificado do que seria alcançado por meio da exploração de uma única
vulnerabilidade.
6 FARKHOD, Alisherov A.; FERUZA, Sattarova Y. Methodology for penetration testing. International Journal of of Grid and Distributed Computing Vol.2, Nº 2, Coreia do Sul. Junho de 2009.
22
Esse tipo de teste pode ser útil para determinar:
a) Quão bem um sistema tolera padrões de ataques do mundo real;
b) O nível provável de sofisticação que um atacante necessita para
comprometer o sistema com sucesso;
c) Medidas de proteção adicionais capazes de mitigar os riscos;
d) A habilidade da defesa em detectar ataques e responder
adequadamente.
Dessa forma, os testes de invasão são inestimáveis. Contudo, são muito
trabalhosos e requerem grande experiência dos profissionais para minimizar os riscos
envolvidos na sua execução. Sistemas podem ser danificados ou se tornar
inoperantes. Apesar desses riscos poderem ser controlados, eles nunca são
totalmente eliminados. Por isso, os testes de invasão devem ser precedidos de análise
criteriosa, de notificação a outra parte e da elaboração de um planejamento.
Após a definição do teste de invasão, merecem destaque suas classificações
mais citadas na literatura.
3.3.1 Tipos de teste de invasão
Conforme comentado anteriormente, não existem classificações corretas ou
erradas, mas úteis e inúteis em razão do que se quer compreender ou explicar. Dentre
as classificações encontradas na literatura sobre testes de invasão, as classificações
mais utilizadas para facilitar a compreensão e sua aplicação usam como critério o
conhecimento da defesa e do atacante sobre as condições do teste e a localização do
avaliador em relação à rede.
Quanto ao critério de conhecimento do alvo e da defesa sobre as condições
do teste de invasão, é possível citar as seguintes possibilidades:
a) Caixa preta: Os avaliadores iniciam o teste sem conhecimento anterior
das defesas, dos ativos ou canais do alvo. O único dado disponível é o
nome da organização-alvo. Esse tipo de teste tem a característica de ser
uma maneira eficiente de treinar equipes de exploração. Por outro lado,
nem todas as possíveis vulnerabilidades da rede serão checadas e o
tempo exigido será maior.
23
b) Caixa cinza: Os avaliadores possuem algum conhecimento sobre a rede
a ser testada, mas esse conhecimento não é completo. Dessa forma, os
trabalhos já se iniciam em melhores condições para a equipe de teste.
c) Caixa branca: Os avaliadores têm perfeita consciência da rede a ser
testada, ou seja, conhece serviços disponibilizados, mecanismos de
proteção, etc. Dessa forma, abre-se uma oportunidade para uma avaliação
mais abrangente capaz de identificar o maior número possível de
vulnerabilidades. Também é a modalidade em que o tempo necessário é
mais reduzido, pois sabe-se de antemão os canais a serem testados
Quanto ao critério de localização do avaliador em relação à rede, são duas as
possibilidades:
a) Interno: Os avaliadores iniciam seus testes a partir do mesmo segmento
de rede em que se encontram os ativos a serem testados.
b) Externo: Os avaliadores iniciam seus testes a partir de uma rede diferente
daquela em que se encontram os ativos a serem testados.
Feitas as considerações em relação às possíveis classificações encontradas
na literatura sobre testes de invasão, é preciso apresentar algumas metodologias
propostas para a sua execução.
3.3.2 Metodologias para teste de invasão
Levando em consideração que o teste de invasão é uma atividade que
demanda tempo, recursos humanos e financeiros, torna-se obrigatório por parte da
equipe de avaliação o uso de um roteiro que seja capaz de racionalizar os esforços
empregados. Esse mapa ordenado das ações a serem executadas é conhecido como
metodologia e frequentemente assume a forma escrita e tem valor de um documento.
O uso dessa metodologia traz maior segurança para a equipe de avaliação e, também,
para a organização-alvo. Por ser um roteiro documentado, as metodologias têm os
seguintes benefícios:
a) Fornecer estrutura e consistência aos testes de invasão, o que diminui os
riscos envolvidos; e
24
b) Diminui o tempo necessário para a conclusão dos trabalhos em razão da
racionalização dos recursos;
Existem duas espécies de metodologias: comerciais e abertas. As
metodologias comerciais são propostas por empresas que vendem seus roteiros de
avaliação de segurança seja por meio de cursos e treinamentos, seja por meio de
serviços de teste de invasão. A título de exemplo, pode-se citar a EC-Council e a
SANS Information Security que possuem metodologias próprias e as utilizam em seus
cursos preparatórios para certificações; e a metodologia da empresa SAVANTURE
seria um exemplo de metodologia empregada em serviços de avaliação de segurança.
As metodologias abertas, por sua vez, são documentos disponíveis para o
público em geral e podem ser facilmente encontradas em fontes abertas. Mesmo
sendo divulgadas gratuitamente, algumas dessas metodologias são reconhecidas
pela qualidade com que abordam o assunto. Existem aquelas que são mais voltadas
para aspectos gerenciais, enquanto outras são mais focadas em aspectos técnicos.
Como o propósito do presente trabalho é a sugestão de uma metodologia de
teste de invasão para as redes internas do EB, serão levadas em consideração
apenas as metodologias abertas mais citadas na literatura acerca do tema. Não existe
uma metodologia melhor do que a outra em absoluto. É preciso observar as
características da rede em avaliação para construir uma metodologia que seja a mais
adequada possível e atenda às necessidades da equipe de avaliadores.
As metodologias abertas mais conhecidas são:
a) OSSTMM (Open Source Security Testing Methodology Manual): é a
metodologia que detém um padrão internacional para testes de segurança,
mantida pela ISECOM (Institute for Security and Open Methodologies).
Suas definições são construídas em torno do conceito de “escopo”, que
representa todo o ambiente de segurança operacional de possível
interação com qualquer ativo.
b) ISSAF (Information Systems Security Assessment Framework): A
representação da metodologia se dá como um framework capaz de
modelar os requisitos de controle interno para a segurança da informação,
direcionado para avaliar a segurança de redes, sistemas e aplicações.
Integrando o framework com um regular ciclo de vida de negócio, é
possível fornecer precisão, completude e eficácia requeridos para
executar avaliações de segurança em uma organização.
25
c) PTES (The Penetration Testing Execution Standard): Com foco em
aspectos técnicos, a metodologia PTES detalha instruções de como
executar as tarefas que são requeridas para testar precisamente o estado
da segurança em um ambiente. A intenção do modelo é não estabelecer
padrões engessados para um teste de invasão, e a comunidade de
analistas e profissionais de segurança responsável por sua criação trata a
ideia de que as diretrizes para o processo de avaliação da segurança de
um ambiente devem ser de fácil compreensão para as organizações.
d) NIST Guidelines (National Institute of Standards and Technology): A
metodologia proposta pela NIST foi inicialmente introduzida como GNST
(Guideline on Network Security Testing), reproduzida na publicação
especial 800‐42, e a sua última versão continuada é apresentada na
publicação especial 800-115 como Technical Guide to Information Security
Testing and Assessment. A elaboração deste modelo é considerada como
a primeira que introduz um processo detalhado e formal para a escrita de
relatórios.
e) OWASP Testing Guide (Open Web Application Security Project): As
orientações da metodologia disposta no OWASP Testing Guide são
organizadas em três grandes blocos: a etapa introdutória que trata os pré‐
requisitos para testar as aplicações web e também o escopo do teste, a
etapa intermediária que apresenta o OWASP Testing Framework e suas
tarefas e técnicas relacionadas às diversas fases do ciclo de vida de
desenvolvimento de software, e a etapa conclusiva que descreve como as
vulnerabilidades são testadas através da inspeção de código e dos testes
de invasão.
Após esses breves comentários sobre as metodologias abertas mais citadas
na literatura, torna-se imprescindível uma apresentação mais cuidadosa e detalhada
que servirá de base para a elaboração da proposta de metodologia de teste de
invasão para as redes internas do EB. É o que se passa a fazer no capítulo seguinte,
tendo como suporte teórico o estudo de Daniel Dalalana Bertoglio, Avelino Francisco
Zorzo que produziram um mapeamento sistemático sobre testes de invasão.
26
4 – Mapeamento sistemático sobre testes de invasão da Faculdade de Informática da Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS)
Antes de passar à elaboração da proposta de teste de invasão, torna-se
imprescindível discorrer sobre as metodologias abertas existentes, bem como realizar
uma análise comparativa entre elas. Para tanto, o presente trabalho se vale de um
trabalho produzido pela Faculdade de Informática da Pontifícia Universidade Católica
do Rio Grande do Sul, escrito por Daniel Dalalana Bertoglio e Avelino Francisco
Zorzo7.
O referido estudo, cujo formato é de um mapeamento sistemático, efetuou
coleta inicial de 1019 artigos sobre o tema, representados por 964 artigos distintos
que foram avaliados e, ao final, chegou a 50 estudos primários (conceitualmente
inovadores) que foram avaliados de modo qualitativo e quantitativo. O resultado foi
uma classificação das ferramentas e metodologias utilizadas no contexto de um teste
de invasão.
Seu objetivo principal era fornecer uma visão geral sobre testes de invasão,
apresentando seus cenários de aplicação, modelos, metodologias e ferramentas a
partir dos trabalhos que foram publicados sobre o assunto.
Resta esclarecer o que vem a ser um mapeamento sistemático: trata-se de
um estudo realizado a fim de encontrar e agregar evidências disponíveis sobre um
tema específico. Portanto, ele fornece uma visão geral sobre um assunto, identifica a
quantidade, qualidade, tipo de pesquisas e os resultados disponíveis. Sua motivação
é aprofundar o conhecimento sobre metodologias, cenários e ferramentas que estão
no contexto de testes de invasão.
O mapeamento sistemático diferencia-se da revisão sistemática à medida que
esta última tem o objetivo de além de identificar, também analisar, avaliar e interpretar
todas as pesquisas disponíveis para uma questão determinada. O mapeamento
sistemático, por outro lado, tem a vantagem de fornecer uma abordagem mais
abrangente e concisa em relação aos estudos primários existentes sobre o tema
investigado.
As perguntas propostas pelo estudo em tela são as seguintes:
7 BERTOGLIO, Daniel Dalalana; ZORZO, Avelino Francisco. Um mapeamento sistemático sobre testes de penetração. Porto Alegre: Faculdade de Informática PUC-RS, 2015.
27
1) Quais são as principais ferramentas utilizadas em testes de
invasão?
2) Quais os cenários de execução de testes de invasão?
3) Quais as metodologias existentes para testes de invasão?
4) Quais os principais desafios em testes de invasão?
Um primeiro olhar sobre essas questões é capaz de identificar que
especialmente o item 3 interessa ao presente estudo.
Para responder a essas perguntas, a Faculdade de Informática da PUCRS
seguiu um método que merece ser apresentado. Os artigos utilizados como referência
foram obtidos a partir de bases de dados que atendiam a dois critérios: deveriam
possuir mecanismos de busca com palavras-chave e ser especializadas em ciência
da computação. Dessa forma, foram selecionadas ACM Digital Library, IEEE Xplore,
SCOPUS e Springer Link8.
A expressão de busca utilizada para a pesquisa foi construída da seguinte
maneira:
((“penetration test” OR “penetration testing” OR “pentest”) AND (tool OR tools
OR software OR suite) AND (model OR process OR framework OR methodology OR
standard) AND (environment OR context) AND (“open research topics” OR challenges
OR “open problems”))
O próximo passo foi a eliminação de redundâncias. Como as buscas foram
realizadas em bases de dados distintas, alguns resultados redundantes foram
eliminados.
Em seguida, houve uma seleção intermediária em que o título e o resumo de
cada estudo retornado foram lidos. Superada essa etapa, passou-se para a seleção
final, em que os estudos foram lidos de forma completa. Tanto para a seleção
intermediária quanto para a final foram utilizados critérios de exclusão e de inclusão.
Os critérios de inclusão estão listados a seguir com o código IC, enquanto os critérios
de exclusão estão listados como EC:
IC1. O estudo principal discute uma ou mais ferramentas dentro do
processo de teste de invasão;
IC2. O estudo principal propõe um modelo/processo/framework/
metodologia de teste de invasão;
8 dl.acm.org; ieeexplore.ieee.org; scopus.com; link.springer.com
28
EC1. O estudo principal não está relacionado diretamente a testes de
invasão;
EC2. O estudo apresenta algum modelo/processo/framework/
metodologia de teste de invasão, mas não fornece informações
suficientes sobre seu uso;
EC3. O estudo não contém algum tipo de avaliação para a
demonstração de resultados, tais como: estudo de caso, experimentos
ou exemplos de utilização.
Para eliminar as dúvidas ou conflitos quanto à aplicação dos critérios citados,
um terceiro especialista em testes de invasão leu os estudos e discutiu a inclusão do
artigo na seleção final.
Por fim, dentre os textos separados pela seleção final, foi avaliada a qualidade
de cada artigo. Essa análise seguiu critérios de qualidade como uma forma de
mensurar a relevância de cada um deles. Os critérios definidos foram:
QA1. O estudo apresenta uma contribuição ao tema de testes de
invasão?
QA2. Existe algum tipo de avaliação com análise/discussão em cima
do uso de modelos ou ferramentas de testes de invasão?
QA3. O estudo descreve as ferramentas ou modelos utilizados?
Para cada pergunta foi utilizado o seguinte escore: Y (sim) = 1; P
(parcialmente) = 0,5; N (não) = 0. Dessa forma, o escore poderia resultar em: 0 ou 0,5
(limitado), 1 (regular), 1,5 (bom), 2 (muito bom) e 2,5 ou 3 (excelente).
Baseado nisso, a classificação teve como aspectos de avaliação:
QA1. Y: a contribuição está explicitamente definida no estudo; P: a
contribuição está implícita; N: a contribuição não pode ser identificada
e não está claramente estabelecida;
QA2. Y: o estudo tem explicitamente uma avaliação aplicada (por
exemplo, um estudo de caso, um experimento ou outro); P: a avaliação
é um pequeno exemplo; N: nenhuma avaliação foi apresentada;
QA3. Y: as ferramentas ou modelos são claramente especificados; P:
as ferramentas ou modelos são ligeiramente especificados; N:
ferramentas ou modelos não podem ser identificados.
29
Portanto, essa foi a metodologia aplicada pelo estudo da Faculdade de
Informática da PUCRS que conseguiu extrair o que há de melhor qualidade sobre os
testes de invasão na literatura mundial e lhe permitiu enumerar as metodologias mais
reconhecidas, bem como produzir uma crítica comparada. Os resultados alcançados
são apresentados nos próximos tópicos.
4.1 Características das metodologias de avaliação de segurança
Muitas das metodologias detalhadas neste tópico não são usadas
exclusivamente para os testes de invasão. Porque são utilizadas também para outras
espécies de avaliações de segurança, este tópico recebeu o título acima. Entretanto,
as características elencadas a seguir encaixam-se perfeitamente aos testes de
invasão.
As metodologias que aparecem nos estudos melhor qualificados segundo os
critérios já mencionados no tópico anterior são: OSSTMM (WILLIAMS, 2012), (HOLIK,
2014) (LIU, 2012) (PRANDINI, 2010) (DIMKOV, 2010), ISSAF (PRANDINI, 2010),
PTES (LIU, 2012), NIST (PRANDINI, 2010) e OWASP Testing Guide (WILLIAMS,
2012), (HOLIK, 2014) (LIU, 2012).
4.1.1 OSSTMM
É um padrão reconhecido internacionalmente para avaliações de segurança.
A organização responsável pela sua elaboração e atualização é a ISECOM (Institute
for Security and Open Methodologies). Suas definições são constituídas ao redor do
conceito de escopo, que representa todo o ambiente de segurança operacional em
que seja possível existir interação com qualquer ativo. Esse escopo é composto por
três classes: COMSEC (Communications Security Channel), PHYSSEC (Physical
Security Channel) e SPECSEC (Spectrum Security Channel). Essas classes são
divididas em cinco canais antes de serem utilizadas pelo avaliador:
Humano. Trata todos os elementos humanos de comunicação onde a
interação pode ser tanto física como psicológica;
30
Físico. Lida com todos os elementos tangíveis de segurança de
natureza física ou não-eletrônica. Trata os elementos onde a interação
requer esforços físicos ou uma energia de transmissão para manipular.
Sem fio. Trata todas as comunicações eletrônicas, sinais e frequências
que tem um espectro eletromagnético conhecido.
Telecomunicações. Compreende todas as redes de
telecomunicações, digitais ou analógicas, onde as interações ocorrem
através de linhas de redes telefônicas.
Redes de dados. Representa todos os sistemas eletrônicos e redes
de dados onde as interações ocorrem através de cabos estabelecidos
e linhas de rede com fio.
Dentro desses canais são descritos dezessete módulos para suas análises.
Esses módulos, por sua vez, são divididos em quatro fases: fase regulatória, fase de
definições, fase de informações e fase de teste de controles interativos.
A fase regulatória envolve os módulos de Revisão de Estado, Logística e
Verificação de Detecção Ativa e representa a direção a ser tomada, a experiência que
o avaliador necessita para realizar os testes, os requisitos de auditoria, o escopo e
suas restrições.
Por sua vez, a fase de definição é a principal em todo o processo, pois é
responsável pela definição do escopo do teste. Na maioria das vezes, definir o escopo
constitui-se uma tarefa complexa já que não é evidente o que o avaliador precisa
procurar, quais as consequências em encontrar erros e que tipo de testes ele deve
executar. A composição dessa fase é constituída pelos módulos Visibilidade de
Auditoria, Verificação de Acesso, Verificação de Confiança e Verificação de Controles.
Já a fase de informação é a responsável por organizar o processo de coleta
de informações, sendo composta pelos módulos de Verificação do Processo,
Verificação de Configuração, Validação de Propriedade, Revisão de Segregação,
Verificação de Exposição e Inteligência Competitiva.
Por fim, a fase de teste de controles interativos descreve os testes práticos
reais realizados sobre as informações coletadas. Essa fase é composta pelos módulos
Verificação de Quarentena, Auditoria de Privilégios, Validação de Sobrevivência,
Alerta e Revisão de Logs.
A metodologia também direciona suas preocupações em relação aos tipos de
erros que podem ser encontrados, considerando que um teste de segurança não
31
avalia a soma desses erros, mas sim a sua contabilização. Os erros são divididos em
doze tipos: false positive, false negative, gray positive, gray negative, specter,
indiscretion, entropy error, falsification, sampling error, constraint, propagation e
human error.
Um traço importante da metodologia OSSTMM é a forma como mede os
resultados das avaliações de segurança. Utiliza-se da ideia de RAV (Risk Assessment
Values). A função básica do RAV é analisar os resultados do teste e computar o valor
atual da segurança baseado em três fatores: segurança operacional, controle de
perda e limitações. O valor final de segurança é conhecido como RAV escore. Usando
um RAV escore, um avaliador pode facilmente extrair e definir marcos baseado no
estado atual da segurança para realizar uma melhor proteção. De uma perspectiva de
negócio, RAV pode otimizar a quantia de investimento requerido na segurança e pode
ajudar a justificativa de investimento em soluções mais efetivas.
Concluindo, a metodologia OSSTMM tornou-se uma das mais completas e
robustas do mercado. Um de seus diferenciais é a inclusão de fatores humanos como
parte dos testes, respeitando a máxima de que o ser humano representa um potencial
perigo para a segurança das informações. Por outro lado, cabe a ressalva de que tais
fatores representam uma mínima parte da metodologia e têm pouca documentação e
descrição a respeito. Mesmo com a sua abrangência, a metodologia OSSTMM
desconsidera vagamente itens como hipóteses induzidas e diagramas claros e
intuitivos 9 . Esses aspectos impactam, respectivamente, em uma diminuição de
descobertas alternativas de vulnerabilidades e em um maior trabalho de interpretação
dos inúmeros módulos que constituem o modelo. Da mesma forma, não são
especificadas explicitamente as ferramentas a serem utilizadas durante os testes,
porém a metodologia detalha os métodos utilizados para avaliar de modo consistente
a superfície de ataque em relação ao contexto que está sendo analisado. Aliado a
isso, no âmbito de testes de invasão, uma boa prática é o registro no relatório das
atividades de ações e resultados ao fim de cada etapa, em virtude do processo de
teste ser representativamente longo. Na presente metodologia são oferecidos
modelos para o preenchimento de relatórios, porém esses modelos seguem um
9 ALLEN, Lee; HERIYANTO, Tedi; ALI, Shakeel. Kali Linux–Assuring security by penetration testing. Packt Publishing Ltd, 2014.
32
processo de leitura linear10 que exige uma leitura completa para ter o conhecimento
sobre a segurança do sistema e para realizar as devidas análises.
4.1.2 ISSAF
A representação da metodologia ISSAF se dá como um modelo que apresenta
os requisitos de controles internos para a segurança da informação, direcionados para
avaliar a segurança de redes, sistemas e aplicações. Integrando essa metodologia
com um regular ciclo de vida de negócio, é possível fornecer precisão, abrangência e
eficácia necessárias para a condução de testes de invasão em uma organização. São
focos da metodologia ISSAF: a área técnica, que estabelece o conjunto de regras e
procedimentos para seguir e criar um processo adequado de avaliação de segurança;
e a área gerencial, que realiza os compromissos com o gerenciamento e melhores
práticas que devem ser seguidas ao longo do processo de teste.
Sua concepção é estruturada em três grandes áreas de execução:
planejamento e preparação, avaliação e relatório, limpeza e destruição de artefatos.
A fase de Planejamento e Preparação trata dos passos necessários para definir o
ambiente de teste, seja no planejamento e preparação das ferramentas de teste,
contratos e aspectos legais, definição da equipe de trabalho, prazos, requisitos e
estrutura dos relatórios finais. Já a fase de Avaliação representa o centro da
metodologia, em que a avaliação de segurança é realmente executada. Essa
avaliação é composta das seguintes atividades:
a) Coleta de Informações: consiste em reunir toda a informação possível
sobre o alvo, auxiliando o profissional a realizar a tarefa da maneira mais
completa. Na maioria dos casos, a principal fonte de informação inicial é a
internet. Essa etapa é muito importante para o início do teste de invasão
porque ela depende muito de dados para seu sucesso. Em geral, o objetivo
dessa atividade é explorar todas as vias possíveis de ataque para fornecer
uma visão mais completa do alvo.
b) Mapeamento da rede: Informações específicas da rede, baseado também
na atividade de coleta, são mapeadas para produzir a topologia de rede
10 PAULI, Josh. The basics of web hacking: tools and techniques to attack the web. Elsevier, 2013.
33
do alvo. Existem diversas ferramentas que podem ser utilizadas para
auxiliar a descoberta e o mapeamento da rede e dos terminais a serem
testados. Essa atividade, resumidamente, concentra seus esforços nos
aspectos técnicos de descoberta de informações. Durante a enumeração
e mapeamento de rede, o avaliador busca identificar todos os terminais
ativos, sistemas operacionais utilizados, firewalls, sistemas de detecção
de intrusão, servidores e serviços, dispositivos de perímetro, roteamento e
topologia geral de rede.
c) Identificação de vulnerabilidades: Essa atividade busca encontrar falhas
dentro da rede, dos servidores e dos serviços. A partir da enumeração e
mapeamento de rede, o avaliador busca mais dados para ser preciso na
identificação de serviços e sistemas operacionais. Em posse desses
dados, o avaliador está habilitado a listar terminais e servidores
vulneráveis. O objetivo dessa etapa é usar as informações reunidas para
fazer uma avaliação técnica atualizada sobre a existência de
vulnerabilidades. Esta atividade é realizada combinando versões de
serviços vulneráveis com códigos de exploração conhecidos, testando
serviços web, localizando senhas fracas e escalando privilégios.
d) Invasão: Combina as vulnerabilidades e códigos de exploração que o
avaliador levantou na fase anterior.
e) Acesso e escalação de privilégios: Esse momento é uma consequência
da fase de invasão se executada com sucesso pelo avaliador, permitindo
que se busque uma escalação de privilégios. As autorizações imediatas
obtidas são classificadas como compromise, final compromise, least
privilege ou intermediate privileges.
f) Enumeração: Uma vez obtido o acesso com privilégios, são executados
outros ataques, como por exemplo: ataques a senhas, monitoramento e
análise de tráfego, coleta de cookies, coleta de endereços de e-mail,
identificação de rotas na rede e mapeamento de redes internas.
g) Comprometimento de usuários remotos: O avaliador deve tentar
comprometer usuários remotos, tele-comutadores e sítios remotos;
h) Manutenção de acesso: É preciso manter ativos os canais de
comunicação com a rede-alvo. Essa comunicação, por sua vez, é
34
interessante que seja através de um canal velado para diminuir as chances
de detecção.
i) Cobrindo rastros: O principal objetivo dessa fase é esconder
ferramentas/códigos de exploração usados durante o comprometimento
do alvo.
Por fim, a fase de Relatório, Limpeza e Destruição de Artefatos é responsável
pelo processo de pós-invasão do teste. O avaliador confecciona um relatório completo
e destrói os artefatos construídos durante a fase de Avaliação.
A metodologia ISSAF possui ampla documentação sobre a sua estrutura e
apresenta como uma de suas principais vantagens a criação de uma conexão clara
entre as tarefas do teste de invasão e as ferramentas utilizadas. Da mesma forma, a
ordem descrita na metodologia serve para otimizar a atividade do profissional na
execução completa e correta do teste, evitando erros comumente associados com
estratégias de ataques selecionadas aleatoriamente. Pelo viés de limitações, ressalta-
se a falta de melhores orientações na elaboração de relatórios, que não é bem definida
e possui pontos que deveriam ser atualizados. Aliado a isso, o fato do fluxo de controle
ser one-way, desconsidera hipóteses que podem melhorar o procedimento do teste
uma vez que o avaliador já descobriu algumas vulnerabilidades, tal como ocorre na
metodologia OSSTMM.
4.1.3 PTES
Especializada em aspectos técnicos, a metodologia PTES detalha instruções
de como executar as tarefas que são requeridas para testar precisamente a segurança
de um ambiente. A intenção do modelo é não estabelecer padrões engessados para
um teste de invasão, e a comunidade de analistas e profissionais de segurança
responsável por sua criação entende que as diretrizes para o processo de avaliação
da segurança de um ambiente devem ser de fácil compreensão para as organizações.
Por essa razão, as diretrizes técnicas ajudam a definir procedimentos a serem
seguidos durante um teste de invasão, fazendo com que a metodologia forneça uma
estrutura base para iniciar e conduzir uma avaliação de segurança, além de possuir
35
gráficos bem organizados e uma série de métodos incluídos. A estrutura da
metodologia é composta por sete fases:
Pre-engagement interactions: apresenta o planejamento de
ferramentas e técnicas que serão utilizadas no teste de invasão;
Intelligence gathering: fornece um padrão destinado ao processo de
reconhecimento do alvo em questão;
Threat modeling: define a modelagem de ameaças para que o teste
de invasão tenha seu direcionamento realizado de maneira correta;
Vulnerability analysis: trata o processo de descoberta de falhas e
vulnerabilidades de um sistema ou ambiente;
Exploitation: concentra-se em estabelecer o acesso a um sistema ou
recurso passando pelas restrições de segurança;
Post-exploitation: determina o valor de uma máquina compromissada
e mantém o seu controle para uma futura utilização.
Reporting: define os critérios basilares para a confecção do relatório
final.
Em resumo, PTES é um framework projetado para fornecer às empresas e
aos prestadores de serviços de segurança uma linguagem e escopo comuns para a
realização de testes de invasão. Tal tarefa está relacionada principalmente à
realização de padrões concisos para medir os testes e oferecer orientações de como
ele precisa ser realizado para os clientes. A forma como são fornecidas as diretrizes
de execução do processo representa a principal vantagem do modelo em relação aos
demais, aliado ao fato de que considera o conhecimento do avaliador como aspecto
primordial ao longo das fases. Dessa forma, a construção da metodologia por parte
da comunidade de especialistas na área de segurança fornece uma abordagem
diferenciada e diretamente ligada aos critérios técnicos de um teste de segurança11.
Em contraponto, isso impacta vagamente nos aspectos de negócio, tornando-se um
fator limitante para a completude de um teste de invasão. Em relação à documentação
da metodologia, a citação do uso de ferramentas e técnicas para cada uma das fases
é descrita de maneira bastante robusta, ao passo que orientações em relação às
medidas de eficiência, elaboração dos relatórios e tratamento de caminhos
11 O'GORMAN, Jim; KEARNS, Devon; AHARONI, Mati. Metasploit: the penetration tester's guide. No Starch Press, 2011.
36
alternativos na descoberta de vulnerabilidades, por exemplo, poderiam ser melhor
definidas.
4.1.4 NIST Guidelines
A metodologia NIST Guidelines é elaborada pelo National Institute of
Standards and Technology dos Estados Unidos. Sua descrição está detalhada no
documento NIST 800-115 como uma Technical Guide to Information Security Testing
and Assessment. É considerada como a primeira metodologia que introduz um
processo detalhado e formal para a escrita de relatórios e cujos processos lidam com
hipóteses induzidas. Basicamente, sua estrutura segue quatro etapas principais:
Planejamento, fase em que o sistema é analisado para encontrar os alvos de teste
mais interessantes; Descoberta, momento em que o avaliador procura
vulnerabilidades no sistema; Ataque, passo em que o avaliador verifica se as
vulnerabilidades encontradas podem ser exploradas; e Relatório, onde cada
resultado proveniente das ações realizadas na etapa anterior é documentado.
Adicionalmente, cada passo executado possui um vetor de entrada que
representa o conjunto de dados a serem analisados, e um vetor de saída que
representa o conjunto completo de resultados derivados das ações executadas. Em
seu fluxo, a seta orientada entre ataque e descoberta é a primeira tentativa de
representação de hipóteses induzidas. A ideia principal de hipóteses induzidas se
baseia nos artefatos: Vetor Alvo (VT), Vetor de Vulnerabilidade (VV) e Vetor de Ataque
(AV), os quais representam respectivamente: o conjunto de alvos com investigação
em andamento, conjunto de vulnerabilidades conhecidas e o conjunto de ataques
relevantes.
Além do fato de considerar hipóteses induzidas, outra característica positiva
da metodologia é a forma como essa metodologia orienta o avaliador na elaboração
dos relatórios. De acordo com as melhores práticas, a metodologia sugere escrever
um relatório passo-a-passo, no qual o profissional relata suas descobertas depois da
fase de planejamento e depois de cada ataque, descrevendo as vulnerabilidades que
puderam ou não ser exploradas. Por outro lado, a metodologia não fornece modelos
e orientações para a escrita dos relatórios finais. Também cabe ressaltar a maneira
37
como é construído o vetor de vulnerabilidade, onde apenas uma parte dos problemas
encontrados durante a primeira fase originam vulnerabilidades em potencial. Em
paralelo a isso, não fazem parte do relatório aqueles problemas que não listam falhas,
e tal prática deve ser reconsiderada: todos os problemas encontrados devem ser
levados em conta como descobertas interessantes e então, devem ser documentados
pois posteriormente podem vir a ser riscos relevantes. Por fim, a forma utilizada pela
norma para explicitar as suas definições e conceitos pode ser considerada uma
limitação no que diz respeito ao seu entendimento, uma vez que sua compreensão
sobre o que, onde, o porquê e como o processo de teste será realizado não é
completamente claro.
4.1.5 OWASP Testing Guide
A metodologia proposta no OWASP Testing Guide é um advento consolidado
de todos os estudos que a comunidade OWASP realiza. Sua concepção é guiada pela
ideia norteadora de tornar softwares seguros uma realidade, e por essa razão
percebe-se que as suas diretrizes são direcionadas a avaliações de segurança em
softwares e aplicações web. A metodologia, então, idealiza o uso de testes de
segurança como forma de conscientização e estrutura-se com base em outros
projetos providos pela própria OWASP como o Code Review Guide e Development
Guide. As orientações da metodologia disposta no OWASP Testing Guide são
organizadas em três grandes blocos: a etapa introdutória que trata os pré-requisitos
para testar as aplicações web e também o escopo do teste, a etapa intermediária
que apresenta o OWASP Testing Framework e suas tarefas e técnicas relacionadas
às diversas fases do ciclo de vida de desenvolvimento de software, e a etapa
conclusiva que descreve como as vulnerabilidades são testadas através da inspeção
de código e dos testes de invasão.
Para essa metodologia, teste de invasão é a técnica para testar uma aplicação
em execução, de maneira remota, para encontrar vulnerabilidades de segurança sem
ter o conhecimento sobre os aspectos inerentes ao funcionamento da aplicação.
Nesse sentido, ferramentas automatizadas têm baixa eficácia no âmbito de aplicações
web, uma vez que tais aplicações são constituídas de maneira um tanto quanto
38
individual, fazendo com que a automatização não seja uma estratégia interessante.
Por outro lado, comparando com as atividades de revisão de código, os testes de
invasão não exigem tanto conhecimento do avaliador e também são mais rápidos em
relação às revisões de código.
Em geral, a metodologia apresenta-se como a melhor alternativa para testes
de invasão em aplicações web. Isso justifica-se pela forma como são apresentadas
as ferramentas, soluções, técnicas e atividades para toda a cobertura do processo de
teste. Além disso, são apresentados possíveis resultados esperados e as soluções a
serem tratadas, devidamente divididos e bem descritos graficamente. Portanto,
quando considerado meio de validação de segurança de uma estrutura web, a
metodologia OWASP Testing Guide fornece uma avaliação detalhada de tecnologias
específicas, na qual suas orientações possibilitam uma visão mais ampla e
colaborativa auxiliando o avaliador na escolha do melhor procedimento a ser tomado.
4.2 Comparação entre metodologias de testes de invasão
Após a apresentação das principais características das metodologias citadas
na literatura mais autorizada sobre o assunto, o mapeamento sistemático da
Faculdade de Informática da PUCRS apresenta um quadro comparativo entre elas:
39
Figura 4 - Comparativo entre metodologias para avaliações de segurança.
De início, um dos critérios considerados importantes para um teste de invasão
é a abrangência, que neste trabalho diz respeito ao alcance do teste em relação aos
possíveis cenários. As metodologias OSSTMM, ISSAF, PTES e NIST são facilmente
integradas e podem ser adequadas ao contexto de aplicações e sistemas
operacionais, banco de dados, avaliações de segurança física e aplicações web.
Entretanto, o modelo OWASP Testing Guide tem seu foco precisamente definido:
serviços e aplicações web. Dessa forma, considera-se que, para um modelo robusto
de teste de invasão, isso representa uma limitação.
A possibilidade de integrar meios, itens e direções adicionais ao teste de
segurança a partir dos resultados obtidos em cada etapa ou fase da metodologia, é
uma característica importante no contexto atual de verificações de segurança. Nesse
sentido, mesmo que uma definição estática dos planos e passos a serem seguidos
seja um requisito primordial, essa flexibilidade de novos recursos torna os modelos
40
mais interessantes. Para essa característica, o modelo fornecido pela NIST apresenta
uma conjuntura interessante ao permitir que o avaliador tenha maior dinamicidade ao
longo do teste, podendo considerar e reavaliar suas ações de posse dos artefatos
obtidos a cada atividade. Em contraponto, pode-se considerar que as metodologias
OSSTMM, ISSAF e OWASP Testing Guide, ao mesmo tempo em que são
extremamente consolidadas e robustas, limitam tal flexibilidade por tratarem os
cenários de execução dos testes de maneira concisa e detalhada. Assim, alinha-se
esse raciocínio com a ideia de que a escolha por mais minúcias em cada etapa do
teste é inversamente proporcional à flexibilidade do modelo.
Ao definir detalhadamente os aspectos e conceitos norteadores para o
processo de teste, o modelo pode até limitar a flexibilidade, mas incrementa sua
qualidade no quesito modelagem. Esses conceitos-chave facilitam o profissional na
sua atividade de modelar todo o fluxo de ações do teste, além de modelar o sistema
e o ambiente-alvo. Isso ratifica um ponto crucial em avaliações de segurança que é a
eliminação de possíveis ambiguidades no que diz respeito a cada passo subsequente
a ser realizado. Para tal característica, os modelos OSSTMM, OWASP Testing Guide
e PTES cumprem precisamente essa abrangência, principalmente pela forma com
que abordam a etapa de planejamento do seu processo de teste. A metodologia
ISSAF trata rigorosamente esse quesito, sendo a parte principal das atividades iniciais
do teste responsável pelo sucesso na identificação de vulnerabilidades.
Evitar as possíveis ambiguidades através de conceitos bem definidos não
deve impactar no fator adaptação. A possibilidade de adaptar o modelo e suas ações
mediante as variações dos sistemas e ambientes a serem testados fornece uma
ampla gama de pontos positivos ao fluxo do teste. Dentre esses pontos, a escolha dos
tipos de teste, juntamente com o plano e definição de escopo (mediante análise do
alvo) são atividades que podem sofrer alteração e adequação. No critério adaptação,
a metodologia OSSTMM detém, em seu processo de delimitação de atividades, maior
possibilidade em relação a possíveis variações do alvo. De forma adversa, a
metodologia PTES apresenta certa limitação por não detalhar concisamente tais
adaptações como alternativa.
Todo o conjunto de aspectos definidos em um teste de segurança deve ser
devidamente planejado de maneira prévia. Assim, o planejamento é a característica
que trata o suporte fornecido ao avaliador para a definição das fases, execução das
atividades, pré-requisitos para continuação e andamento do teste, escolha das
41
ferramentas a serem utilizadas e também o retorno esperado para cada subatividade
dentro do teste. Uma excelente referência nessa característica é a metodologia PTES,
a qual descreve atentamente todo o planejamento que deve ser realizado, além de
instituir nessa descrição todo o conjunto de ferramentas para cada etapa, contendo
inclusive algumas formas de execução. Apenas os modelos OSSTMM e NIST
contrariam levemente essa construção, já que optam por maior amplitude e
flexibilidade.
Por fim, é possível considerar também a documentação como parte das
características principais da constituição de um modelo de teste. Todos os modelos
possuem documentos detalhados e fortemente delimitados, com divisões e sequência
facilmente compreensíveis. Somente o modelo PTES não prima por uma construção
textual tão completa e descritiva com explicações verdadeiramente detalhadas sobre
cada processo e atividade. Por essa razão, é o único dos modelos que não atende
completamente tal requisito.
42
5 – Proposta de metodologia de teste de invasão para as redes
internas do EB
O itinerário percorrido por este trabalho até o momento permitiu constatar os
crescentes riscos a que estão submetidas as informações. O aumento de vetores de
ataques caminha pari passu com o desenvolvimento de novas estratégias de
proteção. Assim, uma das estratégias desenvolvidas para mitigar os riscos e trazê-los
para níveis aceitáveis de operação é a aplicação de avaliações de segurança sobre
os ativos de tecnologia. Nas últimas décadas foram traçadas metodologias com o
propósito de racionalizar essas tarefas por meio de um roteiro que guiasse os
profissionais de segurança em suas atividades. Dentre as metodologias abertas
existentes, as mais importantes tiveram suas principais características apresentadas
no capítulo anterior.
Diante desse cenário, surge a necessidade de uma metodologia própria para
os testes de invasão a serem aplicados nas redes internas do EB. Adotar uma
metodologia aberta já existente em sua integralidade seria o mesmo que
desconsiderar as especificidades dessa organização. Com esse objetivo, os próximos
itens serão dedicados ao desenho de uma estratégia que seja capaz de servir como
guia para os militares com atribuição de aplicar os testes de invasão nas redes
internas do EB.
É importante ressaltar que o presente trabalho não tem a intenção de propor
a organização dentro da estrutura do Exército Brasileiro que receberá a atribuição de
realizar os testes de invasão, uma vez que se trata de uma decisão de caráter
institucional. No entanto, algumas sugestões serão feitas quanto à composição das
equipes de teste. Também não é objeto de análise a possibilidade de incluir na
metodologia a ser apresentada a possibilidade de testes com invasão física. Embora
algumas literaturas abordem essa hipótese, essa tarefa estaria mais afeta às
operações de inteligência, uma vez que exige pessoal treinado em técnicas
operacionais como estória-cobertura, disfarce e defesa contra entrada, por exemplo.
Mas a possibilidade do uso de ataques de engenharia social foi considerada, visto que
estratégias como o phishing podem ser conduzidas por pessoal formado nos Cursos
de Guerra Cibernética ministrados pelo Centro de Instrução de Guerra Eletrônica.
43
Os testes de invasão devem ser conduzidos seguindo fases bem descritas a
fim de obter organização. As metodologias ISSAF e NIST propõem, de forma geral, a
existência de três fases que aqui são reproduzidas com os seguintes títulos:
Planejamento, Execução e Pós-execução.
5.1 Planejamento
Trata-se de uma fase crítica para o sucesso do teste de invasão. O cuidado
para traçar a estratégia e definir seus parâmetros será responsável pelo exato
dimensionamento dos esforços. Os aspectos a serem abordados nessa fase são a
obtenção do documento de autorização e a reunião de preparação (briefing).
Obtenção do documento de autorização: o teste de invasão é uma
atividade muito sensível para a segurança da informação e, por isso, exige
autorização expressa do mais alto nível dentro de uma organização para sua
execução. Também por questões legais, qualquer ação nesse contexto deve
estar protegida por uma documentação com delimitação clara do seu objeto.
Para a metodologia aqui proposta, além da óbvia necessidade de
autorização do Comandante, Chefe ou Diretor da Unidade que vai ser alvo do
teste, alguns aspectos devem constar do documento de autorização da
atividade, sobre os quais se passa a comentar.
Um item essencial a ser abordado no documento autorizativo é o
escopo. Significa dizer que os ativos a serem testados devem ser identificados
com clareza, tendo como descrição mínima uma faixa de endereços IPs. Essa
delimitação será absoluta para os testes, o que significa que nenhuma ação
desencadeada pode ser realizada fora dessas margens definidas no documento
autorizativo.
Outro item a ser incluído é o prazo para sua execução. O tempo
disponível sempre é um fator de extrema relevância nos testes de invasão
porque define a abrangência das avaliações. Durante o planejamento, o chefe
da equipe terá de levar em consideração o prazo para traçar suas estratégias de
ação.
44
O posicionamento da equipe em relação à rede submetida a teste é
mais um aspecto a constar do documento. Isso porque o ponto de partida das
ações interfere significativamente no resultado e no que se pretende do teste.
São três as possibilidades nesse quesito: Interno à rede-alvo, Intranet ou
Internet. No primeiro caso, a equipe de teste tem um ponto de acesso em um
segmento da rede que será testada e suas ações tendem a simular um agente
adverso que já tenha acesso à rede da Unidade. Os sistemas de proteção como
firewall, IPS ou IDS serão menos testados. No segundo caso, parte-se da rede
institucional, porém localizada fora do segmento de rede avaliado. Assim,
simula-se um agente adverso em qualquer ponto da rede do Exército capaz de
alcançar ativos de Unidades localizadas em diversos pontos do país. A terceira
e última hipótese é a execução dos testes a partir da internet. Dessa forma, a
equipe de teste se faz passar por agentes adversos posicionados em qualquer
lugar do globo que tenham interesse em alcançar as redes internas do EB. Deve-
se levar em consideração a necessidade de contato prévio com a empresa
provedora de serviços de internet, uma vez que o tráfego gerado pode ser
classificado como malicioso e órgãos de repressão a crimes cibernéticos podem
ser chamados a atuar. A desvantagem dessa escolha é a dificuldade em passar
pelas proteções estabelecidas no perímetro da rede, entretanto são essas
avaliações que reproduzem as ameaças mais significativas e frequentes às
redes internas do EB.
Para as hipóteses de problemas durante a execução dos testes, deve
haver pessoas que sirvam de ligação entre a organização-alvo e a equipe de
testes. Os nomes das pessoas de contato, bem como seus telefones e
endereços de e-mails, devem constar do documento autorizativo. Caso surjam
situações imprevistas como interrupção de serviços e aplicações, esse ponto de
contato deverá ser imediatamente avisado de forma a gerar o menor impacto
negativo possível na operacionalidade da rede.
O tipo de teste de invasão é definido também no documento
autorizativo. A depender da ameaça que se pretenda simular, a autoridade
responsável por determinar a execução do teste deve definir qual o nível de
conhecimento da equipe de teste sobre a rede-alvo. Assim, a avaliação deve ser
classificada como caixa preta, caixa branca ou caixa cinza. Os conceitos
relativos a esses termos foram descritos no capítulo 2.
45
Por fim, o documento autorizativo deve abordar a possibilidade de
aplicação de testes de negação de serviço e de engenharia social. Os testes
de negação de serviço têm por objetivo verificar a resistência da rede e sistemas
a ataques que busquem esgotar os recursos dos seus ativos de forma a
interromper a sua operacionalidade. Já os testes de engenharia social buscam
comprometer os atributos de segurança da informação (integridade,
disponibilidade, confidencialidade e autenticidade) por meio da manipulação do
ser humano, levando-o a executar uma tarefa que de outra forma não executaria.
Reunião de preparação (briefing): Após a obtenção do documento
autorizativo, a Organização responsável por aplicar o teste de invasão deverá
nomear a equipe responsável por conduzir os testes. O número de integrantes
dependerá diretamente do tamanho e complexidade da rede a ser avaliada,
entretanto a quantidade não poderá ser inferior a três. Esse número decorre da
necessidade de haver complementaridade de conhecimentos e para que exista
revisão das ações executadas. É importante lembrar que os testes de invasão
são atividades extremamente complexas e que demandam frequentemente uma
terceira opinião para os casos de divergência entre duas opiniões anteriores.
Quanto à competência técnica exigida dos elementos, é impositivo que seus
membros possuam conhecimentos relativos às técnicas de ataque cibernético,
uma vez que a tarefa é exatamente simular a atuação de um hacker. Por isso, o
militar deve ter formação no Curso de Guerra Cibernética do CIGE. Uma
alternativa à essa especialização é possuir alguma formação acadêmica ou
certificação com notório reconhecimento no mercado que abranja os
conhecimentos pertinentes aos testes de invasão. O militar mais antigo deve ser
o responsável pela condução das ações sempre com atenção às opiniões
emitidas pelos outros componentes da equipe.
Tendo sido formada a equipe de teste de invasão, o militar mais antigo
deve preparar um briefing a ser apresentado na reunião preparatória abordando
as ações a serem executadas. Esse briefing deve conter os seguintes aspectos:
apresentação do documento autorizativo com suas diretrizes; roteiro de ações e
distribuição de tarefas; e contingências.
Quanto à apresentação do documento autorizativo, cada item
enumerado no tópico anterior, constantes do documento autorizativo, deve ser
expressamente anunciado aos demais membros da equipe. Assim, todos terão
46
ciência da faixa de IPs e objetivos específico dentro dessa faixa – se algum foi
delimitado –, do tipo de teste, prazo, pontos de contato, posicionamento da
equipe em relação à rede-alvo e se estão previstos ataques de engenharia social
e negação de serviço.
Já na apresentação do roteiro de ações com as respectivas
atribuições de tarefas, o responsável pela equipe deve informar aos demais
membros a estratégia a ser seguida. Significa dizer que serão detalhados o
quanto for possível os procedimentos dentro de cada fase, como por exemplo as
ferramentas a serem utilizadas, a plataforma em que serão compartilhados os
dados obtidos durante o teste, a frequência com que se deve atualizar o esboço
do relatório final (lembrando que deixar para escrevê-lo somente ao fim
configura-se uma péssima escolha).
Por fim, as contingências não podem deixar de ser comentadas. Assim,
os possíveis problemas que venham a acontecer durante o teste de invasão
devem ser abordados. O chefe de equipe deve vislumbrar o máximo possível de
contingências passíveis de ocorrerem tendo como referências o roteiro e as
ações que serão seguidas, como por exemplo a interrupção de serviços e
aplicações da rede-alvo durante testes de negação de serviço.
É imperativo que nenhuma ação seja iniciada no espaço cibernético
antes da realização do briefing, afinal é nesta oportunidade em que serão
esclarecidos pontos relevantes do teste de invasão que de forma alguma
poderão ser negligenciados.
5.2 Execução
Nesta fase serão aplicadas as técnicas apropriadas sobre os ativos
selecionados e contidos no escopo. A única metodologia, dentre as citadas, que
detalha com propriedade essa fase é a PTES Technical Guideline, à qual recorremos
como base teórica para a definição dos procedimentos. Além desses detalhamentos,
a PTES Technical Guideline também define sugestões de ferramentas a serem
utilizadas e podem servir de parâmetro para a decisão do chefe da equipe de teste
sem, no entanto, limitá-lo àquelas apresentadas.
47
A nomenclatura atribuída às etapas em que se dividem a fase de execução
varia muito entre as metodologias apresentadas. Contudo, as ações a serem
executadas são praticamente as mesmas, apesar dos nomes distintos. Dessa forma,
os nomes escolhidos para as etapas da presente proposta de metodologia não foram
extraídos de alguma metodologia em particular, mas estão conforme o fluxo geral
proposto.
Para que se faça um teste abrangente e racional, as seguintes etapas devem
existir: reconhecimento, varredura e enumeração, obtendo acesso, escalação de
privilégio, mantendo acesso, apagando rastros e, caso haja previsão no
documento autorizativo, engenharia social e negação de serviço. Passa-se, então,
a comentar os principais aspectos de cada uma dessas fases.
Reconhecimento: etapa em que dados são reunidos sobre a organização-
alvo. O sucesso das etapas posteriores depende essencialmente de um trabalho bem
feito neste momento. O PTES Technical Guideline cita a importância de buscar dados
das fontes abertas disponíveis em todas as fontes possíveis. Por isso, é preciso ser
bastante meticuloso para reunir o máximo de dados sobre efetivo, localização,
instalações, cultura organizacional, operações, comandantes, etc.
Nessa etapa, é importante reunir dados de redes sociais, fóruns de discussão,
listas de e-mails, mecanismos de buscas diversos (não se restringir ao google.com),
e de ferramentas como Maltego, the Harvester por exemplo.
Quanto aos dados mais técnicos, os seguintes aspectos devem ser
observados:
- Buscar por servidores de nome, de ftp, de e-mail (mx, ftp, imap, smtp, pop,
pop3) utilizando de ferramentas como por exemplo dig, dnsrecon, dnsenum e fierce;
- Buscar por websites: visitar todas as páginas da organização-alvo buscando
por dados sobre políticas de uso, políticas de senhas, listas de contatos, lista de e-
mails e antivírus utilizados. Tomar nota sobre possíveis candidatos a SQLI, vetores
de ataques como query strings, cookies e qualquer campo de inserção de dados para
usuário. Tentar identificar a equipe responsável pela TI.
A etapa de reconhecimento, conforme já mencionado, deve ser o mais
abrangente possível. Por isso, os itens citados servem apenas como exemplos de
dados a serem alcançados, sejam dados gerais ou dados técnicos. A equipe de teste
de invasão deve buscar tudo que possa ser útil nas etapas seguintes sempre levando
48
em consideração a importância desta fase, mas também o tempo disponível para o
teste.
Varredura e enumeração: nesta etapa são identificados os serviços e versões
dos ativos da rede. Essa tarefa pode ser executada manualmente por meio de linhas
de comandos (nmap e outras), mas também por meio de ferramentas automatizadas
como OpenVas, Nessus e Nexpose.
Para cumprir essa etapa é importante começar pela identificação dos
terminais ativos, bem como dos elementos que compõem a rede como IDS, IPS,
firewall, gateways, etc. Em seguida, as portas abertas, ou seja, aquelas em que
serviços são disponibilizados devem ser enumeradas para os passos futuros.
Também devem ser identificados os sistemas operacionais e os serviços de cada um
dos ativos citados, pois os ataques a serem desferidos precisam se moldar
perfeitamente às peculiaridades da rede-alvo.
Depois de identificar os ativos, levantando seus sistemas operacionais,
serviços e suas versões, o trabalho é listar as vulnerabilidades existentes para cada
um desses elementos bem como os códigos de exploração (exploits)
correspondentes. É nesse ponto que a fase de varredura e escaneamento se
completa e dá espaço à próxima fase.
Obtendo acesso: com a identificação dos serviços e as possíveis
vulnerabilidades, a equipe de teste passa a buscar o acesso à rede aplicando os
códigos de exploração adequados. Além dessa estratégia, deve ser buscado acesso
aos serviços disponibilizados por meio de ataques de dicionário, força-bruta e misto.
Se todas, apenas uma ou nenhuma dessas estratégias devem ser utilizadas, trata-se
de uma escolha do chefe de equipe. Entretanto, isso deve estar explícito na reunião
preparatória (briefing) do chefe da equipe.
Para trazer eficiência a esta etapa, uma boa estratégia é criar arquivos de
texto com os usuários (efetivo da unidade) e senhas possivelmente obtidas nas fases
anteriores ou aquelas mais comumente utilizadas. Esses arquivos devem ser
separados e, se possível, criar mais de uma lista de usuários com os serviços
existentes. Por exemplo: users.txt (todo efetivo), user.email.txt (lista de logins de e-
mail), user.ssh.txt (lista de usuários ssh), passwd.txt (dicionário de senhas possíveis),
passwd.ssh.txt (senhas possíveis para ssh) e assim por diante.
Escalando privilégio: O objetivo final dessa etapa é alcançar credenciais de
acesso que permitam à equipe de teste cumprir o objetivo definido no documento
49
autorizativo. Muitas vezes, para tanto, será necessário obter a credencial do
administrador de rede. Algumas estratégias podem levar ao sucesso nessa etapa, as
quais serão citadas a título de exemplo.
Uma forma é obter arquivos com senhas de outros usuários. Alguns
administradores costumam manter arquivos com credenciais que lhe facilitam o
gerenciamento da rede, outros que são necessários para o funcionamento de um
serviço (configuration.php, por exemplo). Ainda existem aqueles usuários que
guardam arquivos de senhas para conseguirem se lembrar de todas as senhas que
possuem nos diferentes serviços.
Outra forma de escalar privilégio é buscando arquivos que sejam executados
com permissão mais privilegiada do que aquela que já se obteve. Normalmente essas
autorizações são estabelecidas por meio da aplicação dos bits SUID (Set User ID) ou
SGID (Set Group ID) em arquivos no ambiente Linux.
Também é possível executar local ou remotamente códigos de exploração
para o kernel que habilitam a execução de comandos com privilégio de administrador
da máquina. Outras estratégias são possíveis e devem ser definidas pelo chefe da
equipe.
Mantendo acesso: ao obter acesso com maiores privilégios, a equipe deve
buscar consolidar as conquistas anteriores para que não tenha de percorrer outras
vezes o mesmo caminho. Isso economiza recursos materiais e humanos e traz
eficiência à avaliação, pois muitas vezes algumas oportunidades exploradas podem
não estar disponíveis no restante do teste de invasão.
A forma mais habitual de manter o acesso privilegiado é criando usuários com
poderes de administração (normalmente conhecidos como root ou administrator).
Entretanto, outras maneiras existem como a implantação de backdoors, códigos
maliciosos ou a instalação de serviços vulneráveis. Mais uma vez é importante citar
que essa escolha da estratégia para a implementação desta etapa cabe ao chefe da
equipe.
Cobrindo rastros: Ao término da exploração, tendo sido cumprido ou não o
objetivo proposto pelo documento autorizativo, as alterações eventualmente
realizadas pela equipe de teste devem ser desfeitas para evitar problemas com
configurações de serviços que possam levar à sua indisponibilidade e os possíveis
códigos utilizados para a exploração devem ser removidos de forma a evitar que
sejam explorados por agentes adversos.
50
Caso essa etapa seja negligenciada, o propósito do teste de invasão que seria
de tornar a rede mais segura pode acabar levando ao exato oposto: o
enfraquecimento da segurança da informação na rede testada.
Na hipótese de estar previsto o teste de negação de serviço, não há uma
etapa específica na qual ela deva ser inserida. Esse tipo de teste pode ser aplicado
tanto antes de obter qualquer tipo de acesso, quanto após a invasão. Contudo, é mais
coerente que ele seja realizado após a exploração completa, visto que essa é uma
atividade com grande potencial de alarmar as equipes de defesa. Se esse alerta
viesse no início do teste, as demais fases sofreriam grandes dificuldades em razão do
levantamento de barreiras.
Porque esse teste é extremamente crítico à operacionalidade da rede-alvo, o
chefe da equipe deve ser muito cuidadoso no seu planejamento e dimensionamento.
Os meios de comunicação com os pontos de contato da administração local devem
estar de fácil acesso.
Quanto à possibilidade de aplicação de engenharia social, qualquer
campanha, seja de phishing 12 ou vishing 13 por exemplo, é interessante que seja
realizada após a conclusão das anteriores e isso pelo mesmo motivo apresentado
para os testes de negação de serviço: há a possibilidade de alerta por parte da equipe
de defesa. Contudo, há aqui exceções: pode ser que faça parte das etapas
“reconhecimento” ou “obtendo acesso” o uso dessas técnicas, o que exige que sejam
aplicadas nesses momentos oportunos. De novo, ressalta-se, fica à critério do chefe
de equipe estabelecer qual será sua escolha.
Por fim, e ainda sobre a fase de execução, é imprescindível ter consciência
que o teste de invasão não é um caminhar linear e unidirecional. Pode ser necessário
voltar a fases anteriores após determinadas conquistas com o propósito de realizar
um teste o mais abrangente possível. A título de exemplo, após o acesso a um servidor
de páginas web na etapa “obtendo acesso”, pode ser preciso voltar à etapa
“reconhecimento” para obter mais dados sobre a rede em que aquele servidor está
inserido.
12 Phishing (pronuncia-se "fishing") é um tipo de engenharia social online que usa e-mail e sites fraudulentos que são projetados para roubar dados sensíveis, como número de cartão de crédito, senhas, dados de conta ou outras informações. 13 Técnica de engenharia social com o propósito de enganar alguém para que ele ou ela venha a lhe passar dados sensíveis utilizando-se de uma ligação telefônica.
51
5.3 Pós-execução
Todo o esforço empreendido nas fases anteriores serão em vão se essa fase
não for cumprida com esmero, por isso deve ser entendida como a fase mais
importante do teste de invasão. A consolidação do relatório e sua apresentação ao
requisitante do teste de invasão estão inseridas nessa fase.
Relatório: a peça mais importante do teste de invasão é o documento
final contendo o detalhamento das atividades realizadas bem como das
vulnerabilidades encontradas. Um teste bem realizado não terá utilidade se o
documento não conseguir transmitir com clareza e objetividade os resultados
alcançados durante a fase execução. É importante citar que o relatório deve ser
preparado durante todo o curso do teste de invasão, não por acaso o termo utilizado
neste trabalho foi “consolidação”. Deixar para confeccioná-lo somente ao final traz
grandes prejuízos à sua completude. Ao final de cada ação de exploração torna-se
imprescindível o registro e organização dos dados para a futura consolidação do
relatório. Uma boa estratégia é produzir gráficos adicionalmente às anotações. Essas
representações gráficas têm a capacidade de apresentar de forma mais intuitiva a
trajetória seguida pela equipe de teste até a possível conquista dos objetivos
propostos na fase de planejamento. Em posse do relatório, a Organização submetida
ao teste terá em mãos as evidências de que as vulnerabilidades identificadas
realmente são passíveis de exploração ao mesmo tempo em que enxergará o
caminho percorrido pela equipe de teste para tirar proveito daquelas falhas. Importa
ressaltar que o relatório não tem o compromisso de apontar qual correção deve ser
aplicada, pois a definição de como resolver os problemas identificados é uma escolha
da administração local da rede que leva em considerações todas as peculiaridades do
seu ambiente de operações.
A título de modelo, o Apêndice A apresenta uma estrutura a ser seguida para
a elaboração do relatório do teste de invasão.
Apresentação do relatório: após a consolidação do relatório, uma reunião
deve ser agendada a fim de que ele seja apresentado. Nessa ocasião, o chefe da
equipe de teste terá a oportunidade de comentar cada etapa da fase de execução
naquilo que for pertinente e puder auxiliar na compreensão das falhas identificadas.
O linguajar utilizado deve ser o menos técnico possível para que os responsáveis pela
52
Organização possam compreender a real situação da segurança da informação sob
suas responsabilidades. Não é interessante fazer juízo de valor e usar expressões
pejorativas sobre o trabalho da equipe responsável pela defesa da rede, de forma que
a reunião ocorra em um clima de respeito e o canal esteja sempre aberto para aquilo
que realmente interessa: a correção das falhas de segurança identificadas.
Encerrando a reunião de apresentação do relatório, este documento deve ser
entregue ao Comandante, Chefe ou Diretor da Unidade com o devido grau de sigilo
aplicável. Nesse momento, conclui-se o teste de invasão.
Portanto, o que foi dito até aqui pode ser resumido na seguinte apresentação
gráfica:
Figura 5- Proposta de Metodologia para Testes de Invasão nas Redes Internas do Exército Brasileiro
53
6 – Conclusão
O presente estudo buscou propor uma metodologia de teste de invasão para
as redes internas do EB de forma a fazer frente às significativas ameaças à segurança
das informações.
Para que fosse alcançado o objetivo deste trabalho, partiu-se de uma pesquisa
quantitativa e qualitativa sobre documentos e materiais bibliográficos sobre o tema
com o propósito de reunir elementos que embasassem a elaboração da referida
proposta seguindo uma metodologia hipotético-dedutiva.
No primeiro capítulo foram apresentados dados do relatório de segurança da
informação elaborado pela comunidade internacional sob a coordenação da empresa
americana de telecomunicações Verizon os quais provam a existência de graves
ameaças às informações no mundo moderno. Em razão da relevância institucional do
EB no contexto nacional, esta Organização não poderia negligenciar os devidos
cuidados que deve adotar para manter os dados sob sua guarda em segurança. Para
isso, a aplicação de avaliações de segurança são uma necessidade.
O segundo capítulo tratou de comentar os diversos tipos de avaliações de
segurança existentes no mercado, tomando como referência as classificações do
NIST. Foi dado destaque ao teste de invasão, por tentar simular de maneira mais
próxima possível do real as ações dos agentes adversos.
Diante do reconhecimento da importância dos testes de invasão, o quarto
capítulo cuidou de apresentar as principais características das metodologias abertas
para avaliações de segurança com destaque internacional utilizando como base
teórica um estudo de setembro de 2015 realizado por dois pesquisadores da
Faculdade de Informática da PUCRS. Essas metodologias, além de apresentadas,
foram comparadas e suas vantagens e desvantagens relativas foram detalhadas, o
que serviu de suporte para a proposta de metodologia descrita no quarto capítulo.
Assim, o capítulo final detalha a proposta de metodologia para testes de
invasão nas redes internas do EB descrevendo as fases e etapas que compõem um
roteiro seguro para a execução de uma avaliação de segurança capaz de levar em
consideração as particularidades daquela instituição, o que não seria alcançado pela
aplicação integral de alguma das metodologias já existentes no mercado.
54
A partir deste trabalho, abre-se espaço para estudos posteriores que possam
criar métricas de avaliação sobre os resultados obtidos pela aplicação da metodologia
ora proposta. Dessa forma, será possível avaliar o quão bem esse roteiro é capaz de
atender às especificidades do EB. Também é desejável que novas sugestões sobre
fases ou procedimentos sejam discutidas em âmbito acadêmico a fim de aperfeiçoar
o processo contínuo que é o desenvolvimento da segurança da informação.
55
REFERÊNCIAS BIBLIOGRÁFICAS ALLEN, Lee; HERIYANTO, Tedi; ALI, Shakeel. Kali Linux–Assuring security by penetration testing. 2 ed. Birmingham: Packt Publishing Ltd, 2014. BERTOGLIO, Daniel Dalalana; ZORZO, Avelino Francisco. Um mapeamento sistemático sobre testes de penetração. Porto Alegre: Faculdade de Informática PUC-RS, 2015. DIMKOV, Trajce et al. Two methodologies for physical penetration testing using social engineering. In: Proceedings of the 26th annual computer security applications conference. ACM, 2010. FARKHOD, Alisherov A.; FERUZA, Sattarova Y. Methodology for penetration testing. International Journal of of Grid and Distributed Computing Vol.2, Nº 2. Jun. 2009. HOLIK, Filip et al. Effective penetration testing with Metasploit framework and methodologies. In: Computational Intelligence and Informatics (CINTI), 2014 IEEE 15th International Symposium on. IEEE, 2014. LIU, Bingchang et al. Software vulnerability discovery techniques: A survey. In: Multimedia Information Networking and Security (MINES), 2012 Fourth International Conference on. IEEE, 2012. O'GORMAN, Jim; KEARNS, Devon; AHARONI, Mati. Metasploit: the penetration tester's guide. No Starch Press, 2011. PAULI, Josh. The basics of web hacking: tools and techniques to attack the web. Elsevier, 2013. PRANDINI, Marco; RAMILLI, Marco. Towards a practical and effective security testing methodology. In: Computers and Communications (ISCC), 2010 IEEE Symposium on. IEEE, 2010. STOUFFER, Keith; FALCO, Joe; SCARFONE, Karen. NIST SP 800-115: Technical Guide to Information Security Testing and Assessment. National Institute of Standards and Technology Disponível em: <http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf >. Acesso em 25 abr. 2016. TOFFLER, Alvin. A terceira onda. Trad. João Távora. 8ª. ed. Rio de Janeiro: Record, 1980. VERIZON. 2016 Data breach investigations Report. Disponível em <http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/>. Acesso em 20 abr. 2016
56
WILLIAMS, Gustavious P. Cost effective assessment of the infrastructure security posture. In: System Safety, incorporating the Cyber Security Conference 2012, 7th IET International Conference on. IET, 2012. p. 1-6.
57
APÊNDICE A – MODELO DE RELATÓRIO DE TESTE DE INVASÃO
58
APÊNDICE A – MODELO DE RELATÓRIO DE TESTE DE INVASÃO
59
APÊNDICE A – MODELO DE RELATÓRIO DE TESTE DE INVASÃO
60
APÊNDICE A – MODELO DE RELATÓRIO DE TESTE DE INVASÃO
61
APÊNDICE A – MODELO DE RELATÓRIO DE TESTE DE INVASÃO
62
APÊNDICE A – MODELO DE RELATÓRIO DE TESTE DE INVASÃO
63
APÊNDICE A – MODELO DE RELATÓRIO DE TESTE DE INVASÃO
64
APÊNDICE A – MODELO DE RELATÓRIO DE TESTE DE INVASÃO
65
APÊNDICE A – MODELO DE RELATÓRIO DE TESTE DE INVASÃO
66
APÊNDICE A – MODELO DE RELATÓRIO DE TESTE DE INVASÃO
67
APÊNDICE A – MODELO DE RELATÓRIO DE TESTE DE INVASÃO