Escolar Documentos
Profissional Documentos
Cultura Documentos
PENTESTS
Cristiano Goulart Borges <cgborges@gmail.com>
Eduardo Andr de Santa Helena <eduardo.sh@gmail.com> Orientador
Universidade Luterana do Brasil (Ulbra) Curso de Ps Graduao em Segurana de Sistemas Campus Canoas
Av. Farroupilha, 8.001 Bairro So Jos CEP 92425-900 Canoas - RS
09 de julho de 2011
RESUMO
Este artigo compara as principais metodologias de PENTEST disponveis, OSSTMM, ISSAF, OWASP e
NIST, a fim de identificar qual a mais abrangente. Alm disso, apresenta uma pesquisa de campo feita com empresas
que aplicam testes de penetrao no Brasil, a qual apontou as metodologias proprietrias, desenvolvidas pelas
empresas que aplicam testes, como as mais utilizadas no mercado nacional. Por fim, apresenta um comparativo com
estudos anteriores, onde se comprova que a tendncia detectada previamente de que as metodologias proprietrias
dominariam o mercado dos testes de segurana, se confirma no cenrio atual.
Palavras-chave: PENTEST, OSSTMM, ISSAF, OWASP, NIST.
ABSTRACT
Title: Comparative Study of PENTESTs Methodologies
This article compares the main available PENTESTs methodologies, OSSTMM, ISSAF, OWASP and NIST, to
identify the more effective. Moreover, it presents a survey done with companies in Brazil who applies penetration
testing, which indicated the proprietary methodologies, developed by companies who apply those tests, such as those
commonly used on Brazilians scenario. Finally it presents a comparison with previous studies, which proves that the
previously detected tendency, which says that proprietary methodologies would dominate the PENTEST scenario is
them confirmed in the actual scenario.
Key-words: PENTEST, OSSTMM, ISSAF, OWASP, NIST.
1. INTRODUO
Nos ltimos anos, a gesto da segurana da informao tem sido um assunto gerador de bastante
estresse para as empresas, em especial, s equipes de TI (Tecnologia da Informao). Algumas empresas do
a devida ateno ao tema, mas ainda hoje, comum deparar-se com instituies onde a segurana das
informaes vista de forma secundria e que provavelmente, s ser relevante quando um incidente grave
de segurana acontecer. Aliada a essa drstica realidade, algumas equipes de TI seguem um modelo
ultrapassado de gesto, no qual um bom programa antimalware1 e um firewall eram considerados suficientes
para sanar o problema. Atualmente a gesto da segurana da informao um campo bem mais amplo e
complexo, demandando maiores cuidados, investimentos e ferramentas que visam proteger os negcios da
empresa.
Para as empresas que se preocupam com essa gesto, os Pentests (Penetration Tests) ou Testes de
Penetrao vm se tornando uma prtica imprescindvel, fundamental e em alguns casos, obrigatria. Aps
incidentes de segurana e manifestos como o do hacker de pseudnimo The Mentor2, as empresas
comearam a se interessar pelo fato de estarem vulnerveis na rede mundial de computadores. A ideia de
atacar seus prprios sistemas para identificar vulnerabilidades antes que hackers o fizessem parecia ento
mais promissora, seno obrigatria. Equipes foram formadas para invadir sistemas de computadores, mas
conforme Banks e Carric (2008), sem uma metodologia especfica e com diversas tticas radicalmente
diferentes ente si, as empresas no se sentiam seguras o suficiente com os resultados obtidos, principalmente
quando comparados. Se o resultado no pudesse ser reproduzido, no se tratava de um teste de penetrao,
mas de uma invaso qualquer; fato que acabou se tornando uma premissa para os Pentests.
Os Pentests so testes de penetrao contra a infraestrutura de um sistema ou rede, utilizando
1
Antimalware todo o programa de segurana que combate pragas digitais como vrus, spam, rootkits, etc.
Manifesto de 8 de janeiro de 1986 que deu voz a todo um submundo de prticas e tcnicas de invaso de sistemas.
mtodos especficos para estimar seu nvel de segurana. Conforme Kang (2008), o uso dos Pentests pelas
organizaes para testar a segurana dos seus servios e sistemas de informao, antes que usurios malintencionados o faam, vem crescendo. Em alguns casos como no padro PCI DSS3 (Payment Card Industry
Data Security Standard), a realizao de um Pentest obrigatria ao menos uma vez por ano, ou sempre que
houver qualquer alterao ou upgrade significativo na infraestrutura ou nos aplicativos. A aplicao de um
Pentest permite identificar vulnerabilidades nos processos, nos recursos e nos sistemas do negcio. Permite
equipe de TI mensurar o quo seguro/inseguro o seu ambiente corporativo e consequentemente prover
informaes para melhor direcionar os investimentos em segurana. Isto faz com que os sistemas fiquem
menos vulnerveis. Alm disso, conforme Corsaire (2009 apud Vernersson, 2010), a execuo de Pentests
evita perdas financeiras e de receitas, evitando que haja uma quebra de confiana nos sistemas e processos.
Tambm prova a devida diligncia e respeito aos reguladores da indstria aos seus clientes e acionistas, visto
que uma no conformidade pode se transformar rapidamente em perda de negcios e consequentemente de
recursos financeiros. Outro motivo para a aplicao dos testes identificar vulnerabilidades e qualificar seu
impacto para o negcio, permitindo que as empresas hajam de maneira proativa.
Num cenrio em que diferentes metodologias podem ser aplicadas para executar um Pentest, contra
empresas que possuem diferentes ativos, pode-se chegar seguinte problemtica: Qual a metodologia mais
abrangente a ser utilizada na aplicao de um Teste de Penetrao? Existem diversos mtodos e a escolha de
um deles para a execuo dos testes no se apresenta como uma tarefa fcil. Optar por uma metodologia
adequada representa um passo muito importante para a execuo bem sucedida de um Pentest.
O presente trabalho tem por objetivo comparar algumas das metodologias de Pentest utilizadas no
mercado, a fim de descobrir qual delas mais abrangente, considerando-se o seu escopo, atualizaes, prazos
de execuo, entre outros fatores. As seguintes metodologias faro parte desse estudo comparativo: ISSAF,
NIST, OSSTMM e OWASP. Alm de comparar essas metodologias, foi realizada uma pesquisa com
empresas que aplicam Pentests no Brasil para descobrir qual delas a mais utilizada na prtica, bem como
suas motivaes. Ao resultado dessa pesquisa, foi realizada uma comparao com o trabalho de Santos
(2010), no qual, entre outros resultados, concluiu-se que 35,29% das empresas apostariam em metodologias
proprietrias para a execuo dos testes num futuro prximo, a despeito das metodologias disponveis na
poca da pesquisa.
O presente artigo est organizado em 6 sesses. Na seo 2, intitulada Fundamentao Terica,
sero verificadas as principais metodologias disponveis e suas caractersticas, enaltecendo suas principais
funcionalidades. Na seo 3, intitulada Metodologia, sero conceituadas as metodologias utilizadas nesse
artigo, quais processos foram seguidos e como foi estruturado todo o trabalho at que se chegasse aos
resultados finais obtidos. Na seo 4, Resultados, sero verificadas quais as implicaes obtidas do estudo
comparativo e da pesquisa, alm da comparao com os resultados do artigo na rea de outro autor.
Finalmente na seo 5, Concluses, sero verificadas as principais concluses advindas do presente
estudo.
2. FUNDAMENTAO TERICA
Segundo o Dicionrio On-line de Portugus (www.dicio.com.br), a metodologia parte de uma
cincia que estuda os mtodos aos quais ela se liga ou de que se utiliza. Dessa forma, podemos concluir
que a metodologia parte fundamental na execuo de um Pentest, pois este consiste justamente de um
conjunto de procedimentos de ataque e registros, empregados contra uma rede ou sistema. O que ir
diferenciar uma metodologia da outra como ela ir realizar sua funo, pois o objetivo final de todas elas
muito se assemelha.
Dessa maneira, como escolher uma metodologia que englobe as necessidades de uma determinada
empresa? Alm disso, qual delas a mais utilizada pelas empresas que aplicam Pentests e por qu? Existem
diversas metodologias disponveis para a aplicao dos testes, e este artigo focou-se nas mais populares,
compreendidas pelo ISSAF, o guia oferecido pelo NIST, o OSSTMM e o OWASP. Essas metodologias so
as mais populares no mercado atual, e o foco desse trabalho discutir quais delas se adaptam melhor s
empresas que esto considerando a possibilidade de execut-los e quais so mais aplicadas na prtica. Foi
feita inicialmente uma viso geral sobre cada uma dessas metodologias e a proposio de um estudo
3
O PCI DSS um padro mundial de segurana da informao para estabelecimentos que utilizem cartes como forma de pagamento. Suas diretrizes
foram desenvolvidas em conjunto pelas operadoras de cartes de crdito e dbito, incluindo as bandeiras Visa, Mastercard e American Express.
Avaliao: esta a fase onde o Pentest efetivamente realizado. Esta fase dividida em
nove grandes reas: Coleta de informaes, Mapeamento da rede, Identificao de
vulnerabilidades, Penetrao, Obteno de acesso e escalao de privilgios,
Enumerao, Comprometimento de stios e usurios remotos, Manuteno do acesso e
Encobrimento de rastros.
Relatrios e limpeza: nesta fase, os relatrios sobre os testes executados devem ser
disponibilizados ao cliente. importante notar que, no caso de uma vulnerabilidade grave
ser descoberta durante a execuo dos testes, ela deve ser comunicada imediatamente a parte
contratante, mesmo antes da finalizao de todos os testes. Tambm nesta fase, todas as
informaes geradas nos sistemas alvo, necessrias para a execuo dos testes, devem ser
eliminadas. Se no for possvel elimin-las remotamente, todos os arquivos gerados devem
ser mencionados em relatrio para que possam ser eliminados futuramente pelo cliente.
A metodologia, como um todo, definida em 4 grandes reas que possuem suas subreas bem mais
especficas. O ISSAF prev os seguintes testes principais:
Segurana de Rede: que envolve segurana de senhas, switches, roteadores, firewalls, IDS4
(Intrusion Detection Systems), VPN5 (Virtual Private Networks), sistemas de antivrus e
estratgias de gerenciamento, SAN6 (Storage Area Network), WLAN (Wireless LAN),
segurana de usurios de Internet, segurana de sistemas AS400 e Lotus Notes.
Intrusion Detection Systems ou Sistemas de Deteco de Intruso, como o nome sugere, so sistemas que monitoram as atividades de um sistema ou
rede a fim de detectar tentativas de invaso.
Virtual Private Networks ou Redes Virtuais Privadas so redes que estabelecem um canal seguro utilizando-se de criptografia atravs de um meio
inseguro, como a Internet.
Storage Area Network ou Redes de Armazenamento so redes com a funo especfica de armazenar dados, geralmente localizadas em stios
geograficamente distantes de onde se encontra a informao original.
Um ponto a ser ressaltado nessa metodologia que em todos os procedimentos de teste, ela sugere
uma maneira de evitar vulnerabilidades que possam ser encontradas em funo do procedimento em questo.
Outro ponto que devemos nos atentar que ela possui um formulrio de feedback com questes prdefinidas que pode ser enviado diretamente aos seus autores. Conforme o prprio OISSG (2006) a idia
fornecer aos idealizadores e mantenedores do projeto, embasamento para melhor adequar a metodologia e
fornecer atualizaes mais direcionadas ao que o mercado necessita. Curiosamente, no so lanadas
atualizaes da metodologia desde sua ltima verso em 2006.
Testes de segurana e viso geral dos exames: esta seo basicamente focada em trs
mtodos de avaliao de segurana da informao para determinar a efetividade das
ferramentas de segurana: testes, exames e entrevistas.
Reviso das tcnicas: esta seo discute as tcnicas para descobrir as vulnerabilidades de
segurana atravs de exames passivos dos sistemas, das aplicaes, dos procedimentos, das
redes e polticas.
Identificao do alvo e tcnicas de anlise: esta seo discute tcnicas para identificar
dispositivos em atividade bem como suas portas e servios associados, a fim de descobrir
vulnerabilidades.
Tcnicas de validao das vulnerabilidades do alvo: esta seo usa as informaes obtidas na
seo anterior para explorar a existncia das ameaas, provando dessa maneira a existncia
da vulnerabilidade e demonstrando os riscos da sua explorao.
Execuo de avaliaes de segurana: esta seo objetiva destacar ao auditor, pontos chaves
que precisam de ateno durante a fase de execuo. Alm disso, procura discutir a anlise
do processo e fornece recomendaes para coletar, armazenar, transmitir e destruir dados
referentes avaliao.
escopo (2 regras);
Blind: o analista no tem conhecimento prvio sobre os ativos, canais e defesas do alvo,
estando s cegas. O alvo, ao contrrio est preparado para ser auditado e conhece todos os
detalhes da auditoria. Esta modalidade testa a capacidade e conhecimento do analista de
segurana.
Double Blind: o analista no tem conhecimento anterior sobre os ativos, canais e defesas do
alvo. O alvo por sua vez, tambm no notificado sobre o escopo da auditoria, ou seja, tanto
o analista de segurana quanto o alvo esto s cegas. Esta modalidade testa a capacidade e
conhecimento do analista de segurana e tambm a efetividade dos controles do alvo.
Double Gray Box: o analista tem um conhecimento limitado sobre os ativos e defesas e um
conhecimento total sobre os canais do alvo. O alvo est preparado para ser auditado, e
conhece previamente o escopo e tempo da auditoria, mas no sabe quais canais sero
testados. Os testes dependem da qualidade das informaes oferecidas ao analista e ao alvo
antes dos testes, bem como o conhecimento do analista.
Tandem: O analista de segurana e o alvo esto preparados para a auditoria, ambos sabendo
antecipadamente dos detalhes. Este tipo de auditoria testa a proteo e os controles do alvo,
entretanto no consegue testar sua preparao para variveis desconhecidas.
Reversal: O analista trabalha no alvo com o conhecimento total de todos os seus processos e
segurana operacional, mas o alvo no sabe nada sobre o que, quando e como ser testado.
No OSSTMM, cada item de cada seo receber um valor associado. Segundo Fullerton (2010 pg.5):
Esses valores sero computados para determinar o RVA (Risk Value Assessment) ou Avaliao do Valor do
Risco de cada seo. Este RVA ser utilizado para mensurar a segurana de uma maneira consistente e
reproduzvel, independente do auditor. O uso do RVA permitir mostrar estatisticamente os riscos ao qual
o alvo precisa ficar atento e permitir responder algumas perguntas, como: Quanto de dinheiro precisa ser
investido em segurana? O que deve ser protegido primeiro? Quais solues de proteo precisamos e como
devemos configur-las para termos eficincia mxima? O quanto de melhoria obteremos atravs dos
contratos e processos de segurana? Como medimos os esforos e melhorias peridicos em segurana?
Como sabemos se estamos reduzindo nossa exposio s ameaas? O RAV pode nos dizer o quo
eficientemente algo pode resistir aos ataques? O RAV pode ajudar com conformidades regulatrias?
Das metodologias atualmente disponveis, o OSSTMM a mais atualizada, sendo que sua ltima
verso, o OSSTMM v 3.0, data de Dezembro de 2010.
Ciclo de Vida: um conjunto de ferramentas e documentos que podem ser utilizados para
adicionar atividades relacionadas segurana no SDLC (Software Development in Life
Cycle) ou Ciclo de Vida de Desenvolvimento de um Programa.
A filosofia da empresa a de tentar fazer um mundo onde software inseguro seja a exceo e no a
regra, e nisso, o Guia de Testes do OWASP se torna uma pea importantssima do quebra cabeas
(OWASP 2008 pg. 7). O stio do projeto na Internet, conta com uma gama impressionante de projetos na
rea de segurana, sendo que o Guia de Testes OWASP apenas um deles. Podemos citar tambm o
OWASP Top Ten Project, projeto que visa alertar quanto as 10 maiores vulnerabilidades de segurana das
aplicaes de Internet, o OWASP WebScarab Project, uma ferramenta que testa a segurana das aplicaes
de Internet e o OWASP WebGoat Project, que um ambiente para treinamento online em segurana de
aplicaes.
Na concepo do projeto, esto especificados os princpios a serem seguidos para a execuo dos
testes, e que superficialmente resumem-se em:
Usar o SDLC: usar o SDLC para desenvolver polticas, padres e guias que se encaixem na
metodologia de desenvolvimento, evitando problemas de segurana.
Testar cedo e com regularidade: quanto mais cedo os problemas de segurana forem
Ter ateno aos detalhes: evitar fazer testes superficiais nas aplicaes e consider-las como
seguras. Os detalhes podem diferenciar uma aplicao segura das demais.
Usar o cdigo fonte quando disponvel: Se o cdigo fonte da aplicao estiver disponvel,
preciso us-lo durante os testes, pois possvel encontrar diversos erros no cdigo que no
seriam perceptveis num teste comum.
O Guia de Testes OWASP, especifica tambm que os Pentests, apesar de eficientes, no so a nica
maneira de garantir a segurana das aplicaes. Conforme OWASP (2008), um Pentest se mostra eficiente
em 15% dos casos, seguido pela reviso do cdigo em 35% dos casos e pela reviso dos processos e
inspees manuais em 50% dos casos. O guia OWASP bem objetivo, sendo que cada teste mostra um
resumo dos problemas, ferramentas que podem ser utilizadas para avaliar os servios, exemplos, resultados
esperados e materiais de referncia.
Em resumo, a metodologia pode ser dividida nas categorias de coleta de informaes, nos testes de
gerenciamento de configuraes, de autenticao, de gerenciamento de sesses, de autorizao, da lgica de
negcios, de validao de dados, de negao de servios, de servios de Internet e testes de AJAX7.
60% das empresas que possuam equipes de testes tinham a equipe formada por at cinco
colaboradores;
29% das empresas possuem a presena de um processo formal para a anlise de riscos de
segurana da informao;
16% consideram os testes de segurana importantes apenas quando solicitados pelo cliente;
69% das empresas no utilizam metodologias para a aplicao dos testes de segurana;
Acrnimo de Asynchronous Javascript and XML, consiste no uso de Javascript e XML nos navegadores utilizando-se de solicitaes assncronas de
informaes.
40% das empresas utilizam OSSTMM, OWASP ou alguma metodologia prpria, enquanto
20% das empresas utilizam ISSAF ou NIST;
em 60% dos casos as empresas tiveram timos resultados em funo do uso das
metodologias;
e finalmente, e mais importante, uma vez que servir de base de comparao para o presente
artigo, que 35,29% das empresas tm interesse em utilizar uma metodologia prpria
futuramente, contrastando com 11,76% que pretendem usar OSSTMM, 11,76% que
pretendem usar OWASP e 17,64% que pretendem usar as recomendaes do NIST.
Nenhuma empresa se mostrou inclinada a utilizar o ISSAF.
importante ressaltar que, no referido artigo, as empresas participantes da pesquisa atuavam na rea
de TI, mas no tinham como atividade principal a realizao de Pentests, como o caso do presente estudo.
De qualquer maneira, ser feita uma comparao entre os dados da pesquisa de Santos (2010) e os dados da
pesquisa realizada no presente artigo, para que se possa verificar se a tendncia se confirma ou se pode-se
chegar a novas concluses, quando analisado apenas o ponto de vista das empresas que aplicam testes de
penetrao.
3. METODOLOGIA
O presente artigo utilizou diferentes metodologias, pois se procurou atingir dois objetivos distintos:
(1) definir qual a metodologia mais abrangente disponvel atualmente e; (2) encontrar qual a mais utilizada
pelas empresas que aplicam testes, bem como suas motivaes, comparando os resultados com os previstos
no estudo de Santos (2010). Como so dois objetivos, diferentes mtodos foram utilizados para chegar-se nos
resultados. Cada subseo apresentada ter, portanto, uma diferenciao dos mtodos empregados.
bem como os conhecimentos necessrios e quantidade de profissionais envolvidos para pequenas, mdias e
grandes empresas. Estas informaes, assim como os pr requisitos, so imprescindveis na tomada de
deciso e foram consideradas na comparao.
Ainda sobre o estudo comparativo das metodologias de Pentest, partiu-se do pressuposto de que,
para opinar sobre um determinado tema, existe a necessidade de estud-lo cuidadosamente. Logo, tomou-se a
pesquisa pura como premissa para adquirir informaes relevantes suficientes que possibilitassem realizar
uma comparao sobre as diversas metodologias. A leitura das metodologias permitiu ainda que os dados
fossem analisados qualitativamente, uma vez que as informaes coletadas possuam uma riqueza de
detalhes e no poderiam, simplesmente, ser reduzidos a nmeros. Ao final da leitura das metodologias, aps
o mapeamento das informaes relevantes coletadas, j havia informaes suficientes para compar-las
numa tabela, que pode ser vista na seo de resultados. Apesar de grande parte das informaes coletadas
serem obtidas atravs da leitura das metodologias em si, muitas informaes teis tambm foram colhidas
atravs da visitao dos stios na Internet de seus idealizadores.
Gratuita para uso pessoal. Uma taxa cobrada para uso comercial.
utilizado no formulrio foi muito limpo e com questionamentos sucintos. Como nos primeiros 30 dias em
que a pesquisa esteve disponvel houve apenas 27% de participao das empresas contatadas, foi realizado,
no perodo de 05/05/2011 a 13/05/2011, contato com as empresas pelo telefone. Novamente, de maneira
cordial, foi questionado se a poltica de segurana da empresa permitia a resposta da pesquisa e em caso
positivo, o endereo eletrnico pelo qual o contato deveria ser realizado; mtodo que se mostrou muito
eficaz, pois se atingiu dessa maneira 73% de participao das empresas questionadas. importante registrar
que algumas das empresas participantes atuam em diversos estados brasileiros, e nestes casos, foram
considerados os estados das unidades as quais se fez contato telefnico. A seguir visualiza-se a pesquisa
disponibilizada no Survey Monkey a qual os participantes tiveram acesso:
1. Qual das metodologias de Pentest abaixo voc utiliza com maior freqncia?
ISSAF
NIST
OSSTMM
OWASP
Proprietria
Outra (especificar)
2. Porque voc utiliza a metodologia acima?
Maior aceitao no mercado
Mais abrangente
Mais acessvel
Mais aderente ao Know How dos consultores
Melhores resultados
Outro (especificar)
3. Em quantos casos a metodologia escolhida lhe fornece os resultados esperados?
Entre 0% e 20%
Entre 21% e 40%
Entre 41% e 60%
Entre 61% e 80%
Entre 81% e 100%
4. Voc utiliza mais de uma metodologia quando necessrio?
Sim
No
5. Com que freqncia voc utiliza mais de uma metodologia?
Entre 0% e 20% dos casos
Entre 21% e 40% dos casos
Entre 41% e 60% dos casos
Entre 61% e 80% dos casos
Entre 81% e 100% dos casos
No se aplica
6. Se desejar receber uma cpia do resultado da pesquisa, favor preencher seu e-mail no campo abaixo:
Como a ltima questo no era obrigatria, nem todas as empresas puderam ser identificadas. Sendo
mais preciso, duas das empresas participantes no responderam a ltima questo e no puderam ser
identificadas, o que no se mostrou como um problema, uma vez que a ferramenta Survey Monkey, registra
o endereo IP de cada entrevistado que respondeu ao questionrio. De posse desses IPs, foi utilizada a
ferramenta GeoPlugin9 para identificar a regio originria desses dois questionrios coletados e no
9
Ferramenta que identifica a localizao geogrfica de um endereo IP, podendo fornecer informaes como: cidade, estado, pas, latitude e
longitude, entre outras. A ferramenta pode ser acessada em www.geoplugin.com.
10
4. RESULTADOS
Seguindo o padro adotado no presente artigo, a apresentao e consequente discusso dos
resultados colhidos dar-se-o pela subdiviso dos tpicos, a fim de distinguir entre os resultados da
comparao das metodologias e da pesquisa efetuada.
ISSAF
- rede (ativos e
configuraes);
- host (Sistemas
Operacionais)
- aplicao
(aplicaes Web,
injeo SQL,
auditoria de cdigo
fonte, auditoria de
binrios, avaliao de
segurana das
aplicaes);
- base de dados
(segurana e
engenharia social).
NIST
- identificao e
anlise de alvos;
- validao de
vulnerabilidades do
alvo;
- planejamento da
avaliao de
segurana;
- execuo da
avaliao de
segurana;
- atividades ps
testes..
11
OSSTMM
- segurana de
Pessoas;
- segurana Fsica;
- segurana Wifi;
- segurana de
telecomunicaes;
- segurana de redes
de dados.
OWASP
- testes de penetrao
em aplicaes Web;
- coleta de
informaes;
- testes do
gerenciamento de
configuraes;
- testes de
autenticao;
- testes de
gerenciamento de
sesses;
- testes de
autorizao;
- testes da lgica de
negcios;
- testes de validao
de dados;
- testes de negao
de servios;
- testes de servios
web;
- testes de AJAX10.
ltima: Nov/2008
Atualizaes
ltima: Mai/2006
ltima: Set/2008
ltima: Dez/2010
Certificaes
- ISSAF Security
Professional Qualified [ISP-Q]
- ISSAF Security
Professional - Expert
[ISP-E]
- ISSAF Business
Continuity Qualified
[I-BCQ]
- ISSAF Penetration
Testing Qualified [IPTQ]
- ISSAF Penetration
Testing Expert [IPTE]
- ISSAF Security
Essentials Qualified
[I-SEQ]
- ISSAF Security
Awareness Qualified
[I-SAQ]
- Em
desenvolvimento
Prazos
- Comenta sobre os
prazos nos apndices,
mas no especifica
uma mdia para
pequenas, medias e
grandes empresas.
Comenta ainda,
clculos sobre o
custo benefcio dos
testes.
Em boa parte dos
testes especifica prrequisitos tcnicos
necessrios ao
auditor. Os prrequisitos so
especficos para cada
teste aplicado. No
define quantidade
mnima ou mxima
de pessoas na equipe
ou conhecimentos
necessrios para a
realizao dos testes.
Para Profissionais:
- OSSTMM
Professional Security
Tester [OPST]
- OSSTMM
Professional Security
Analyst [OPSA]
- OSSTMM
Professional Security
Expert [OPSE]
- OSSTMM Wireless
Security Expert
[OWSE]
- Certified Trust
Analyst [CTA]
Para Empresas:
- Security Test Audit
Report [STAR]
- ISECOM Licensed
Auditors [ILA]
- OSSTMM Seal of
Approval
A durao dos testes
um campo previsto
no STAR, mas a
metodologia no
especifica uma mdia
para pequenas,
medias e grandes
empresas.
No Captulo 4 Mtricas de
segurana, comenta
que auditores
inexperientes ou com
poucas habilidades
afetaro a qualidade
dos testes, porm no
especifica
conhecimentos
mnimos necessrios
para a realizao
deles. No define
quantidade mnima
ou mxima de
pessoas na equipe ou
conhecimentos
necessrios para a
- Na seo de
Derivao de Testes
dos Requisitos de
Segurana, afirma
que o auditor deve
ter principalmente
conhecimento de
software e de
segurana. Sugere
que uma estratgia
realstica seria treinar
os desenvolvedores
de software internos
da empresa para
executar essas
tarefas. Cita
conhecimentos
bsicos como
Pr-Requisitos
10
- Na seo 6.4.1
Seleo e habilidades
do auditor, d dicas
de como selecionar
auditores. Os
conhecimentos
sugeridos so de
segurana,
networking,
segurana de rede,
firewall, IDS,
sistemas
operacionais,
programao e
protocolos de rede,
identificao e
verificao de
vulnerabilidades,
Acrnimo de Asynchronous Javascript And Xml, que o uso de tecnologias como Javascript e XML para tornar as pginas mais interativas.
12
configuraes de
segurana,
gerenciamento de
vulnerabilidades e
experincia em
Pentesting. Uma
equipe deve ter
indivduos capazes
de revisar
configuraes de
sistemas, utilizar
ferramentas de
avaliaes
automticas que
identificam
vulnerabilidades
conhecidas e
explorar
vulnerabilidades
ativamente para
demonstrar medidas
ineficazes de
segurana. Se os
testes forem
conduzidos por uma
equipe, o lder deve
ser escolhido
baseado na sua
experincia e
conhecimento
tcnico dos
procedimentos a
serem executados,
alm de ter
habilidades como
fcil comunicao,
organizao,
planejamento e
resoluo de
conflitos. No define
quantidade mnima
ou mxima de
pessoas na equipe
para a realizao dos
testes
spoofing, buffer
overflow, strings de
formato, injeo de
SQL e XSS, XML,
SOAP, problemas de
canonicalizao11,
negao de servio e
controles Active X.
Testes mais
profundos exigem
conhecimentos em
ferramentas e
tcnicas mais
especializadas como
injeo de cdigo
fonte e falha de
binrios, anlise de
propagao de falhas
e cobertura de
cdigo, testes Fuzz e
engenharia reversa.
Os referidos
conhecimentos so
citados a ttulo de
exemplo e no
esgotam os
conhecimentos
necessrios para
aplicao dos testes.
No define
quantidade mnima
ou mxima de
pessoas para a
realizao dos testes.
Pelo estudo realizado nota-se que o NIST tem boa aderncia apesar de pouca preocupao com o
fator "humano" dos testes. Como sua ltima atualizao de 2008 no contempla cenrios atuais especficos
como a Computao em Nuvem, apesar de alguns de seus testes poderem ser aplicados contra essa
tecnologia. No possui uma certificao aplicvel s suas recomendaes e tambm no define prazos
mdios para sua execuo. Apesar disso, uma das metodologias que melhor define pr-requisitos para a
aplicao dos testes. O ISSAF assim como o NIST, tem uma boa aderncia, mas tambm no contempla as
tecnologias mais atuais. O principal problema do ISSAF a sua falta de atualizao desde a verso 0.2.1B
que data de 2006. Apesar disso, oferece sete certificaes e comenta brevemente sobre os prazos necessrios
para a execuo dos testes. Um dos pontos fortes do ISSAF que os conhecimentos pr-requisitos para a
execuo dos testes so especificados em alguns dos diversos testes que a metodologia engloba, sendo um
conhecimento especfico para o teste em questo. O OWASP se mostra como uma das metodologias mais
11
Uma especificao que descreve um mtodo para gerar uma representao fsica, a forma cannica, de um documento XML. Geralmente, se dois
documentos tm a mesma forma cannica, eles equivalem-se logicamente dentro do contexto de um aplicativo.
13
abrangentes, tendo uma boa aderncia, que infelizmente se aplica apenas as aplicaes web. Por sua ltima
verso ser de 2008, tambm no menciona tecnologias novas como a computao em nuvem, apesar de suas
especificaes certamente explorarem esse tipo de tecnologia, j que a principal ferramenta para o acesso a
nuvem so os navegadores. No possui certificaes nem para usurios nem para empresas apesar de j
haverem iniciativas nessa direo. No comenta sobre os prazos necessrios para a execuo dos testes, o
que neste comparativo, lhe tirou pontos importantes. Sugere conhecimentos bsicos e avanados nos seus
pr-requisitos, e mesmo no esgotando o assunto, sugere uma boa gama de conhecimentos necessrios para a
execuo dos testes. O OSSTMM tambm possui grande aderncia, apesar da metodologia para aplicaes
web, no ser to completa quanto o OWASP. Ainda assim, o OSSTMM mostrou-se como a metodologia
mais abrangente no presente estudo, por ser a mais atualizada e ter oito certificaes que englobam usurios
e empresas. O OSSTM no estipula prazos para a execuo dos testes na sua metodologia, apesar de o STAR
ter um campo onde a durao dos testes deva ser informada.
Uma vez que grande parte das empresas pde ser identificada, optou-se por dividi-las
regionalmente para mapear como se encontra distribudo geograficamente o mercado de Testes de
Penetrao no Brasil. O resultado observado foi de uma grande participao do Sudeste brasileiro, enquanto
no Norte do pas, no foi encontrada nenhuma empresa explorando essa prtica. Empresas do Sul e do
Centro-Oeste tambm foram localizadas, alm de uma participao discretssima do Nordeste, conforme
podemos observar na Figura 3. J a Figura 4, nos permite mensurar que mais da metade das empresas
participantes dessa pesquisa so do Sudeste, incluindo tambm as empresas que no foram identificadas.
Seguindo o Sudeste, a regio Sul a segunda maior em representatividade de empresas de Pentest.
14
Aprofundando um pouco mais a viso anterior, v-se que a grande maioria das empresas que
prestam esse tipo de servio situa-se no estado de So Paulo, conforme exibido na Figura 5, e
consequentemente, tambm paulista o maior percentual de participao e contribuio para este estudo, o
que pode ser identificado na Figura 6.
Este estudo verificou, conforme a Figura 7, que a metodologia utilizada com maior freqncia a
Proprietria, ou seja, uma metodologia desenvolvida internamente pelas empresas. Um ponto curioso a ser
notado que ningum se declarou usurio do ISSAF. Conforme pode-se verificar na Figura 8, a maior
motivao alegada pelas empresas que com a metodologia escolhida, elas obtm os melhores resultados. O
fato de termos metade das empresas utilizando mtodos prprios para a realizao dos testes, aliado a um
percentual significativo de participantes afirmando que dessa maneira se obtm os melhores resultados, nos
leva a imaginar que existem problemas inerentes s metodologias disponveis, que levam as empresas a
desenvolverem seus prprios mtodos para a execuo dos testes. Ainda sobre este ponto de vista, nota-se
que nenhum dos entrevistados respondeu que utilizava a metodologia escolhida por ser Mais acessvel;
significa dizer, que obter e estudar as metodologias no so um problema, mas por algum motivo, boa parte
das empresas escreverem seus prprios mtodos para a aplicao dos testes.
Prova disso um percentual pequeno de empresas que escolheram uma metodologia por esta ser
Mais abrangente, indicando que poucas metodologias aderem suficientemente bem s necessidades das
empresas questionadas; fato, que poder ser comprovado nos prximos resultados.
Pode-se observar na Figura 9 que mais da metade dos entrevistados considera que metodologia
escolhida se mostra eficiente entre 81% e 100% dos casos. Somando-se as duas ltimas opes disponveis
no questionrio, obtm-se um resultado de 94% de empresas que consideram a metodologia utilizada
eficiente entre 61% e 100% dos casos. Ainda assim, contrapondo esse nvel de satisfao, a maioria dos
entrevistados utiliza mais de uma metodologia entre 81% e 100% dos casos, conforme vemos na Figura 10.
Esta contradio, de termos a maioria de entrevistados afirmando que a metodologia utilizada muito
eficiente, porm a mesma maioria afirmando que usa mais de uma metodologia na maioria dos casos, nos
leva a crer que as tecnologias proprietrias tambm possuem suas limitaes, e que provavelmente ela deva
ser adaptada, readequada conforme cada caso estudado. Esta contradio tambm corrobora o fato analisado
na Figura 8, vista e discutida anteriormente, onde apenas 12% escolheram o mtodo pela sua abrangncia.
Reforando essa opinio, v-se a Figura 11, onde a esmagadora maioria de entrevistados afirma
que utiliza mais de uma metodologia quando necessrio.
A pesquisa de Santos (2010), coincidentemente foi realizada entre 01 de abril de 2010 e 31 de maio de 2010, contrastando com a pesquisa do
presente artigo realizada entre 01 de abril de 2011 e 31 de maio de 2011.
16
(2010), tendo como pblico alvo as empresas brasileiras que atuam diretamente na rea de TI, interessante
o comparativo, pois o estudo atual capta o ponto de vista de empresas que tem a segurana de TI como um
servio. Ambas as populaes dos estudos esto fortemente ligadas e ousaria arriscar, a ttulo de exemplo,
que futuramente algumas dessas empresas possam vir a estabelecer uma relao de Cliente x Fornecedor
entre si. Afinal, boa parte do pblico das empresas que tem interesse nos resultados de um teste de
penetrao, so empresas de TI. Das tendncias levantadas no estudo de Santos (2010) e que se confirmam
no presente estudo, conforme pode ser observado na Tabela 2 pode-se salientar o fato do ISSAF, mesmo
sendo uma metodologia bastante completa, no ter muito espao no mercado futuro. Acredita-se que o fato
dessa metodologia no sofrer atualizaes desde 2006, seja uma forte explicao para esse abandono, uma
vez que quando se fala em segurana tecnolgica, as atualizaes so fator de suma importncia. Tambm se
confirma o fato de as metodologias proprietrias serem de grande interesse por parte das empresas. No
estudo atual, elas atingem metade das empresas que aplicam Pentest.
Tabela 2 - Metodologias mais utilizadas: Santos (2010) x Presente pesquisa (2011)
Santos (2010)
Presente Pesquisa (2011)
ISSAF
20%
0%
NIST
20%
6,30%
OSSTMM
40%
25%
OWASP
40%
12,50%
OUTRAS
75%
6,30%
PROPRIETRIA
40%
50%
Ainda visualizando a Tabela 2, nota-se que tanto as empresas que atuam na rea de TI, quanto s
que aplicam Pentests, tm uma preferncia maior pela utilizao do OSSTMM e do OWASP se comparadas
ao NIST e ao ISSAF. Em ambas as pesquisas, as metodologias proprietrias tambm se destacam com
grandes percentuais, sendo similares ou superiores as demais metodologias estudadas no presente artigo. Em
contrapartida, o item OUTRAS, que so as metodologias no citadas no presente artigo, apresenta-se como
preferencial para as empresas de TI, enquanto que, para as especializadas, representam apenas 6,3% da
preferncia.
Avaliando a Tabela 3, as recomendaes do NIST, e outras metodologias que no esto
relacionadas nesse estudo, que nas intenes de uso futuro de Santos (2010) ultrapassam o OWASP e o
OSSTMM, no se confirmam pelo presente estudo, que aponta a direo inversa, sendo essas duas as menos
utilizadas para realizao dos testes.
Tabela 3 - Intenes de uso futuro: Santos (2010) x Presente pesquisa (2011)
Santos (2010)
Presente Pesquisa (2011)
ISSAF
0%
0%
NIST
17,64%
6,30%
OSSTMM
11,76%
25%
OWASP
11,76%
12,50%
OUTRAS
17,64%
6,30%
PROPRIETRIA
35,29%
50%
O OSSTMM, que empatava com o OWASP na pesquisa de Santos (2010), mostrou-se mais
utilizado neste estudo, apesar de, novamente as metodologias proprietrias, que se mostravam como uma
tendncia, se confirmarem como as mais utilizadas na pesquisa atual atravs de ndices percentuais bem
superiores as demais metodologias. O ISSAF, por sua vez, foi outra tendncia que se confirmou, restando
absolutamente abandonado, tanto nas intenes de uso, como no uso propriamente dito.
Dos resultados apresentados acima, atingiu-se o objetivo da comparao, identificando que
realmente as metodologias Proprietrias, que se mostravam maioria como inteno de uso futuro, se
confirma pelo presente estudo.
17
5. CONCLUSO
Em resumo as metodologias OSSTMM e OWASP so as duas metodologias mais abrangentes
apresentadas nesse estudo. O OSSTMM leva uma breve vantagem por ser mais atualizada e possuir
certificaes para profissionais e empresas, apesar do OWASP ser uma metodologia com vasta gama de
testes para as aplicaes e servidores web, que tm aparecido na mdia atual como o grande foco dos
crackers.
No que se refere aos testes de penetrao no cenrio nacional, observa-se que poucas empresas
exploram esse nicho do mercado de segurana da informao. Ataques de crackers, com repercusses cada
vez maiores na mdia, em tese, deveriam fomentar a busca por segurana pelas corporaes, mas apenas 22
empresas que aplicam Pentest foram encontradas no perodo da pesquisa para atender esse mercado. A
maioria das empresas encontradas do Sudeste, e mesmo no sendo necessria a presena fsica para a
execuo dos testes, v-se que esse mercado muito pouco explorado pelas demais regies. Uma hiptese
para esse cenrio de que as empresas no Sudeste, por ser um importante plo de tecnologia no pas, esto
mais preocupadas com a mudana cultural no que tange a segurana de suas informaes, visto que os
Pentests so prticas relativamente novas.
Conforme a pesquisa apresentada, a eficincia das metodologias de Pentest, entre 81% e 100% dos
casos, de 56%. Mas a maioria das empresas, numa representatividade de 31%, utiliza mltiplas
metodologias nos mesmos percentuais de casos (entre 81% e 100%). Se levarmos em conta os demais
percentuais de uso de mltiplas metodologias, veremos que apenas 6% das empresas usam uma nica
metodologia para a execuo dos testes. Como a metodologia mais utilizada justamente a Proprietria,
isso indica que mesmo elas sendo desenvolvidas em casa, no resolvem 100% do problema, pois no total
94% das empresas utilizam mais de uma metodologia quando necessrio. Ao que parece, existe a carncia de
uma metodologia para empresas que seja completa o suficiente para ser utilizada como base para os testes.
Se apenas 6% das empresas entrevistadas (o que dentro desse universo de 22 empresas, significa uma nica
instituio), afirma no utilizar mais de uma metodologia nos testes, conclui-se que as metodologias
existentes no estejam satisfazendo as empresas de Pentest, nem mesmo as suas metodologias proprietrias.
Levando-se em considerao a pesquisa feita por Santos (2010), a metodologia proprietria, a que mais tinha
intenes de uso, se confirma realmente como a mais utilizada, corroborando a hiptese de que talvez as
metodologias disponveis no estejam satisfazendo plenamente as empresas que aplicam testes.
No mbito das metodologias, a teoria que conclui o presente artigo a de que por metodologia
proprietria, entende-se uma metodologia hbrida, que aproveita os melhores aspectos das metodologias
apresentadas, entre outras13 no citadas no presente artigo. Fica de certa forma subentendido que as empresas
que aplicam Pentest tm profundo conhecimento das metodologias disponveis e que consequentemente a
definio da sua prpria metodologia tenha levado em considerao as recomendaes desses padres,
formando um novo mtodo alinhado as necessidades do seu negcio. Acredita-se que a metodologia
proprietria possa ser um diferencial no negcio dessas empresas, um segredo de negcio que possa
oferecer-lhes melhores resultados. Por outro lado, as metodologias proprietrias podem vir a se tornar um
problema para essas empresas futuramente, caso no haja rgos reguladores que possam valid-la ou
certific-la, fazendo com que a reputao da empresa seja construda apenas pelo seu desempenho no
mercado de segurana da informao.
Sugere-se como trabalho futuro, a criao de novas metodologias ou mesmo a sugesto de
complemento as metodologias disponveis que possam agregar as melhores caractersticas das opes
estudadas. Isso possibilitaria o surgimento de uma metodologia que tenha maior aderncia pelas empresas,
em detrimento das metodologias proprietrias. Seguindo esta linha, seria necessria uma pesquisa bem mais
ampla, junto s empresas de Pentest, no intuito de traar o que elas entendem por metodologia proprietria,
traando procedimentos e mtricas que renam as melhores prticas dessas empresas e comparando-as com
as metodologias disponveis. Seria interessante tambm interpelar estas empresas para saber em quais
estados brasileiros elas mais atuam, traando um mapa regional das empresas mais preocupadas com os
testes de penetrao na sua estrutura, por regio. Outra sugesto de trabalho futuro, uma vez que todas as
empresas puderam ser contatadas pela Internet, seria ampliar a rea de cobertura da pesquisa, visando
abranger tambm empresas internacionais, para identificar as metodologias mais utilizadas numa escala
global.
13
No decorrer dessa pesquisa, foi citada tambm a metodologia Core Impact da Core Security.
18
6. REFERNCIAS
BANKS, Taylor; CARRIC. The Pentest is dead, long live the Pentest! DEF CON 16 Hacking
Conference, 2008. 77 f. Disponvel em: < http://ebookbrowse.com/defcon-16-banks-carric-pdf-d44177452>.
Acesso em: 22 mar. 2011.
FULLERTON, Charles W. The need for security testing. An introduction to the OSSTMM 3.0. 2004. 6f.
Disponvel em: < http://www.infosecwriters.com/text_resources/pdf/need_for_security_testing.pdf>. Acesso
em: 03 mar.2011.
JACKSON, Chris. Network Security Auditing Tools and Technique. Cisco Press, 2010. 528 f. Disponvel
em: <http://www.ciscopress.com/articles/article.asp?p=1606900&seqNum=4>. Acesso em: 22 mar. 2011.
KANG, Byeong-Ho. About Effective Penetration Testing Methodology. Journal of Security Engineering,
2008. 8f. Disponvel em: < http://www.sersc.org/journals/JSE/vol5_no5_2008/8.pdf>. Acesso em: 12 mar.
2011.
NATIONAL INSTITUTE OF STANDARDS AND TECHNLOGY (NIST). Technical Guide to
Information Security Testing and Assessment, 2008. 80 f. Disponvel em:
< http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf>. Acesso em: 03 mar. 2011. (Special
Publication 800-115).
INSTITUTE FOR SECURITY AND OPEN METHODOLOGIES (ISECOM). Open Source Security
Testing Methodology Manual OSSTMM v3.0. 2011. 213 f. Disponvel em:
< http://www.isecom.org/mirror/OSSTMM.3.pdf>. Acesso em: 03 mar. 2011.
OATES, Briony J. Researching Information Systems and Computing. Ed. SAGE: London, 2005. 360 p.
OPEN INFORMATION SYSTEMS SECURITY GROUP (OISSG). Information System Security
Assessment Framework Draft ISSAF 0.2.1.B. 2006. 845 f. Disponvel em:
<http://www.oissg.org/downloads/issaf-0.2/index.php>. Acesso em: 03 mar. 2011.
OPEN WEB APPLICATION SECURITY PROJECT (OWASP). OWASP Testing Guide v3.0. 2008. 349 f.
Disponvel em: < https://www.owasp.org/images/5/56/OWASP_Testing_Guide_v3.pdf>. Acesso em: 03
mar. 2011.
RODRIGUES, Cludia M. Cruz; PAULA, Istefani Carsio de; RIBEIRO, Jos Lus Duarte. Atividades
complementares em Engenharia de Produo. 2004. 39 f. Disponvel em:
http://www.producao.ufrgs.br/arquivos/disciplinas/392_planejamento_da_pesquisa.ppt. Acesso em: 15 mar.
2011.
SANTOS, Eduardo dos. Avaliando a importncia das metodologias para aplicao de Testes de
Segurana em sistemas de informao. Instituto Federal de Santa Catarina, 2010. 72 f. Disponvel em:
< http://www.inf.ufsc.br/~esantos/files/TCC_EduardoDosSantos.pdf>. Acesso em: 12 mar. 2011.
VENERSSON, Susanne. Penetration Testing in a Web Application Environment. Projeto de Graduao.
Linnaeus University, 2010. 74f. Disponvel em: < http://lnu.divaportal.org/smash/get/diva2:356502/FULLTEXT01 />. Acesso em 28 mar. 2011.
19