Você está na página 1de 14

EXATAS E TECNOLGICAS

ISSN IMPRESSO - 2359-4934


ISSN ELETRNICO - 2359-4942
DOI - 10.17564/2359-4934.2015v1n2p85-96

SEGURANA EM REDES DE COMPUTADORES UMA VISO


SOBRE O PROCESSO DE PENTEST
Pablo Marques Menezes 1
Fabio Gomes Rocha3

Lanay M. Cardoso2

Resumo
Apesar de existirem normas e procedimentos de boas
prticas amplamente discutidas e aceitas a respeito
da segurana da informao e sendo implantadas no
garantia que o perigo foi afastado. Aps os mecanismos levantados pelos responsveis pela segurana
da informao tenham sido implantados necessrio
uma auditoria e testes para garantir que estes estejam de acordo com o a poltica e que sejam eficazes.

Analisaremos as ferramentas e procedimentos para


testar a eficincia dos mecanismos de segurana implantados, procedimento denominado de Pentest.

Palavras-chave
Teste de segurana, PenTest, ferramentas de segurana.

Interfaces Cientficas - Exatas e Tecnolgicas Aracaju V.1 N.2 p. 85 - 96 Jun. 2015

86

Abstract
Although there are rules and procedures widely discussed best practices and accepted about information
security and being implemented it is no guarantee
that the danger has been removed. After the mechanisms raised by those responsible for information
security have been implanted an audit and testing
is necessary to ensure that they comply with the the

policy and are effective. We will review the tools and


procedures for testing the efficiency of implemented
security mechanisms, procedure known as Pentest.

Keywords
Safety Test. PenTest. Security Tools.

Resumen
Si bien existen normas y procedimientos ampliamente discutidas las mejores prcticas y con respecto a la
seguridad de informacin aceptados y estn implementando es ninguna garanta de que el peligro se ha eliminado. Despus de que los mecanismos planteados por
los responsables de la seguridad de la informacin se
han desplegado una auditora y las pruebas es necesario
asegurarse de que cumplen con la poltica y son efica-

ces. Vamos a revisar las herramientas y procedimientos


para probar la eficacia de los mecanismos de seguridad
implementados, procedimiento llamado Pentest.

Palabras clave
prueba de seguridad, PenTest, herramientas de seguridad

Interfaces Cientficas - Exatas e Tecnolgicas Aracaju V.1 N.2 p. 85 - 96 Jun. 2015

87

1 INTRODUO
A preocupao com a segurana dos ativos de uma
organizao no mbito digital ao fato que de alguma
maneira as empresas esto expostas, tal situao implica em investimentos por parte das organizaes e
elaborao de normas pelos comits e governos para
auxiliar na implantao de mecanismos para que se
possa mitigar ou reduzir a nveis aceitveis as ameaas virtuais.
A anlise de segurana da informao em empresas sempre foi uma tarefa muito rdua, pois para
manter os dados em segurana necessria a utilizao de uma boa infraestrutura de software para ajudar na anlise da rede, sistemas de monitoramento e
de testes de rede.
O processo de Auditoria torna-se indispensvel na
gesto da segurana da informao, pois j que por
meio deste processo consegue-se manter a conformidade com a poltica de segurana aprovada pelos gestores responsveis, diante dos recursos e atividades
que esto sendo realizados, sendo acompanhado por
um responsvel que consiga detectar o que precisa
ser modificado e o que deve continuar a ser utilizado,
avaliando tambm os riscos que j existem e os que
podem vir a existir futuramente.
Sabendo-se que existem duas divises de Auditoria: Auditoria de Documentao e Auditoria de Certificao. Esta prtica hoje em dia pode ser aplicada
principalmente em relao Computao nas Nuvens
que vem crescendo, mas trazendo consigo fragilidades,
onde todo e qualquer sistema que se encontra com dados e informaes na internet ficam sujeitos a qualquer
tipo de invaso e inseminao de vrus para derrubar o
sistema e ou adquirir contedos sigilos e internos.
O termo Pentest ou pentetration test um processo que envolve a simulao de ataques reais a riscos
associados a potenciais vulnerabilidades, o teste de
penetrao (pentest) no deve ser confundido com

anlise de riscos, pois alm de descobrir vulnerabilidades ir explor-la com o objetivo de determinar o
impacto no caso de ataque bem sucedido, segundo
Potter e McGraw (2004) o testador deve utilizar abordagens baseadas em risco, mas baseado na realidade
dos ataques a arquitetura, com uma mentalidade de
atacante para medir a segurana do ambiente.
A auditoria de segurana pode ser dividida em duas
funes conforme Osborne (1998), uma com o foco na
gesto e outra com o foco tcnico, interessado em examinar as vulnerabilidades por meio de ferramentas e
modelos de validao de segurana, assim atravs do
manuseio e utilizao de ferramentas que so escolhidas para que sejam realizados os testes, pode-se ser
utilizado o Kali Linux, distribuio GNU/Linux com foco
em testes de segurana e anlise forense, possvel
detectar as falhas e erros que existentes no ambiente
computacional e como explor-los.
Quando da averiguao do sistema, deve-se, de
preferncia, haver uma pausa no servio da empresa,
pois o servidor ficar indisponvel no momento de teste. preciso fazer uma anotao detalhada das vulnerabilidades encontradas no sistema, para que possa
haver correes posteriormente, tornando com que o
sistema fique mais confivel.
importante ressaltar que as principais normas
relativas Segurana esto aqui expostas para conhecimento e cumprimento das regras citadas pela
ABNT, as quais no podem deixar de ser notadas. As
normas determinam todos os procedimentos para
garantia de que a Segurana que ir ser aplicada em
qualquer Organizao esteja em cumprimento com a
lei, tanto em relao aos integrantes que fazem parte
do Comit de Segurana quanto adequao dos recursos e dependncias.
Como foi analisado que a segurana um fator
importante para assegurar os dados de uma empresa,

Interfaces Cientficas - Exatas e Tecnolgicas Aracaju V.1 N.2 p. 85 - 96 Jun. 2015

88

assim da empresa com base na anlise dos pilares da


segurana, segundo as normas NBR/ISO/IEC 27001 e
27002 necessria para que seja possvel obter resultados sobre o status de segurana da rede em uma
empresa, tendo a ideal concepo da gesto de segurana da informao, atribuda percia, auditoria,
teste da rede. Facilitando a busca de melhores informaes da segurana, por conta disso a realizao do
desenvolvimento de um sistema operacional baseado
nesses pontos da segurana, facilitar o exame de
uma rede empresarial.
A tecnologia existente hoje exibe, por trs de um
mundo virtual e atrativo, h indivduos com grande
conhecimento tecnolgico, mas com interesses financeiros ou por ego denominados de crackers, ou
seja, hacker com objetivos que infringem leis e com
resultados danosos aos seus alvos. O objetivo proteger os sistemas ou evitar ataques que os levem a
conseguir informaes que sejam de propriedade da
organizao. Ento logicamente o pensamento que
feito por qualquer um como se prevenir diante destes que podem atacar a qualquer momento e trazer
prejuzos e danos irreversveis. Esta pesquisa utilizou como metodologia a pesquisa bibliogrfica e validao de ferramentas com base nas normas NBR/
ISO de segurana.

2 SEGURANA DA INFORMAO

dos sobre o status de segurana da rede em uma


empresa, fez-se ideal a concepo da gesto de segurana da informao, atribuda a percia, auditoria, teste da rede, facilitando a busca de melhores
informaes da segurana, por conta disso a realizao do desenvolvimento de um sistema operacional baseado nesses pontos da segurana, facilitar
o exame de uma rede empresarial.
O foco principal da Segurana da Informao
proteger o ativo mais importante para o negcio, as informaes, devendo assim ser colocado em prtica os
requisitos responsveis pela segurana que conforme a
NBR/ISO/IEC 27002, so eles: confidencialidade, integridade e disponibilidade; apesar de no ser os nicos
pontos importantes da segurana, ao atender os critrios necessrios aos pilares da segurana, grande parte
da proteo estar garantida (LAURENO, 2005).
A partir do momento que se sabe que o acesso
informao encontra-se restrito a certo pblico e disponvel apenas aos usurios legtimos, onde a informao est certamente protegida contra alteraes ou
destruies, estando de acordo com as conformidades
da norma em destaque. Obedecendo todas as normas
vigentes possvel resguardar informaes sigilosas.

3 TESTE DE PENETRAO (PENTEST)

Sabendo que nenhum sistema 100% seguro e


que os riscos de ataques cibernticos crescem muito
no mundo da internet, como tambm existem diversas pessoas interessadas em adquirir informaes e
dados sigilosos de empresas de grande porte, analisando estes casos que mostramos e detalhamos como
podemos melhorar e garantir uma segurana melhor.

Estes testes de segurana podem, tambm, ser chamados de testes de penetrao, ou ento no termo em
ingls (Pentest), que significa uma penetrao que faz
no sistema, onde se descobre as falhas do sistema. O
teste de penetrao pode ser associado ao um termo
mais bruto de forma de ataque, mas com o objetivo de
achar falhas, aberturas, rastreando por completo todo
o sistema, realizando uma auditoria completa.

Analisando que essencial ter uma boa segurana na empresa, devemos analisar os pilares da
segurana, segundo a norma da srie 27000, com
base na norma e na necessidade de obter resulta-

O profissional desta rea testa formas de invadir


e penetrar no sistema, burlando a segurana da organizao para descobrir as falhas e erros, fazendo
com que o servio de tal empresa fique indisponvel.

Interfaces Cientficas - Exatas e Tecnolgicas Aracaju V.1 N.2 p. 85 - 96 Jun. 2015

89

Informaes podem ser obtidas como, por exemplo,


por meio do Footprint que um tipo de ataque, onde
o teste busca informaes por meio de engenharia social, buscas recursivas ao servidor de nomes.
Para que um teste de segurana seja satisfatrio
o profissional deve ter o conhecimento avanado em
programao, conhecer as ferramentas necessrias
para os testes, ter ampla viso de sistemas operacionais e suas funcionalidades, alm de saber trabalhar
a fundo com servidores e redes.
Os testes tm o objetivo de descobrir o grau de
risco que um ataque pode ocasionar em tal vulnerabilidade encontrada no sistema, onde recomendado
o controle de segurana em sistemas mais maduros
e qualificados, assim todas as falhas sero exploradas e encontradas. Os testes so direcionados a um
sistema alvo, com aprofundamento maior a partir dos
primeiros resultados, essas tarefas precisam ter uma
anlise manual realizada pelo profissional, que podem ser encontradas por suporte de ferramentas de
testes, sendo testadas as vulnerabilidades, que um
dos principais passos para orientar e priorizar as atividades de pesquisa da segurana.
Nos testes, o profissional basicamente passa
praticamente 90% do tempo buscando informaes
sobre o alvo, e apenas 10% realizando um ataque.
Buscar informaes sobre um alvo aumenta consideravelmente a possibilidade de que um ataque seja realizado, o profissional busca muitas informaes, por
que a partir das informaes, que fica muito mais
fcil fazer a invaso, por existir informaes que deixam as janelas abertas das falhas do sistema, e quando encontramos facilidade, s partir para ao para
conseguir penetrar no sistema.
Existem vrias tcnicas que antecipam um teste
de segurana, pois antes de testar as vulnerabilidades
do sistema, temos que identificar os servios da rede
e analisar as diferentes maneiras para penetrao no
sistema do servidor. Para que os testes sejam eficazes

existem mtodos que verificam as possveis aberturas


do sistema, como tais tcnicas:
- Port Scan (varredura de portas): um tipo de
processo de varredura de portas TCP e UDP do sistema-alvo para descobrir e determinar os servios que
esto sendo executados ou os que esto em estado de
escuta. Por esse mtodo possvel descobrir as portas
que esto vulnerveis, ou seja, as portas que possam
estar abertas. Existem programas chamados de Port
Scanner que servem para testar estas portas, um dos
Port Scanner mais conhecidos o Nmap.
- Engenharia Social: uma prtica realizada por
pessoas para obter informaes na empresa, onde
uma pessoa se passa por chefe de tal empresa para
conseguir as informaes do sistema, deste ao sistema operacional que a empresa est utilizando at
mesmo o ip de algumas mquinas, por meio de um telefonema, explorando a confiana das pessoas.
- Enumerando servios: esta tcnica utilizada com
a ajuda de um Port Scanner, pois, um tipo de processo
que verifica os servios que esto sendo executados no
servidor, onde sero enumerados os servios.
- Mapeamento de rede: uma tcnica muito importante, a partir desta tcnica que os ataques podem ocorrer, pois o mapeamento um processo que
analisa o sistema-alvo, onde descobrem os dados da
rede, os ips do servidor, a mscara e entre outros dados para facilitar o acesso ao sistema.
- Sniffers (farejadores): os farejadores so tipos de
programas que conseguem capturar todo o trfego que
passa em um segmento da rede, ou seja, um computador
que esteja infectado com um sniffer consegue capturar
as informaes que passa por ele, geralmente os dados
so organizados por protocolos, onde so trafegados por
pacotes e estes pacotes podem ser capturados.
As tcnicas so alguns passos para facilitar o
processo dos testes de segurana, tornando mais

Interfaces Cientficas - Exatas e Tecnolgicas Aracaju V.1 N.2 p. 85 - 96 Jun. 2015

90

simples na hora do ataque ao sistema, testando at


mesmo a falha de alguns funcionrios com a engenharia social, anlise de uma maneira geral nos dados e processos com alguns programas que so relacionados s tcnicas dos testes de segurana. Estas
tcnicas devem ser aplicadas antes do ataque inicial
ao sistema, para conseguir acelerar o processo dos
testes de segurana.

4 TESTES DE VULNERABILIADES
As vulnerabilidades s vezes aparecem e passam
por ns usurios, como se no importassem, mas,
para um profissional desta rea, no se pode deixar
passar, tem que ser feita a verificao, anlise e
preciso tentar corrigir ao mximo todos os defeitos,
falhas e erros que possam possibilitar a entrada de
usurios maliciosos; muitas vezes o uso indevido de
um sistema pode ocasionar problemas graves, pode
at ser uma falha de hardware, de software, erros de
usurios, mudanas de programas, e at mesmos problemas de telecomunicaes, esses tipos de vulnerabilidades podem passar despercebidas, e podem gerar danos que alcanam milhes e milhes de perdas
financeiras para uma empresa, para isso precisamos
detalhar todas as vulnerabilidades que podem ocasionar algum problema.
Os testes que so realizados por mtodos padres
e seguem as normas, possuem vantagens, pois aplicar uma metodologia previamente elaborada e analisada, onde o profissional seguir um caminho certo, baseado nas melhores prticas, as ordens de execuo
das aes bem como os elementos utilizados j sero
conhecidas, assim ser mais fcil prever e evitar erros.
Entre os mtodos de teste de segurana existe trs
que merecem destaque especial, que so:
- A metodologia de teste de segurana em aplicaes Web do projeto Open Web Application Security
Project (OWASP) (AGUILERA; ET AL., 2007);

- A OSSTMM Open Source Security Testing Methodology Manual (HERZOG, 2003) mantida por Institute for Security and Open Methodologies (ISECOM);
- A ISSAF Information Systems Security Assessment Framework (LEONHARDT,2010), mantida pelo
Open Information Systems Security Group (OISSG).
Esses so alguns mtodos de ferramentas que podem ser usadaos em conjunto para trazer resultados
satisfatrios na avaliao de vulnerabilidades.

5 NORMAS DE FACILIDADE PARA TESTES


Sabendo que devemos levar em conta as principais
normas de segurana da informao da srie ISO/IEC
27000 que foram reservadas para tratar de padres de
segurana da informao, e fazer com que um servio de uma empresa continue auxiliando seus clientes
necessrio seguir os padres, onde o servio desta
empresa deve conter a (ABNT):
- Confidencialidade - que um arquivo ou documento seja s visto ou editado por devidas pessoas permitidas, onde o acesso informao seja limitado, e que
s o proprietrio possa autorizar a informao.
- Integridade o que fornecido deve ter as mesmas caractersticas originais, sem falhas, e falta de
caractersticas da informao, includo o controle de
mudanas do ciclo de vida do documento.
- Disponibilidade a informao que sempre esteja disponvel para o uso legtimo, ou seja, por aqueles
usurios autorizados pelo proprietrio da informao.
Ao atender os pontos citados acima a empresa
garante segurana dos seus ativos e infraestrutura,
entretanto para manter alinhadas as estratgias que
garantem os pilares da segurana da informao o
trabalho deve ser continuo, conforme relatado por
Cicco (2008), seguindo a metodologia PDCA (Plan

Interfaces Cientficas - Exatas e Tecnolgicas Aracaju V.1 N.2 p. 85 - 96 Jun. 2015

91

- do - check - act) planeje, faa, teste e aja. O teste


de segurana vai auxiliar a tomar aes e reavaliar
as estratgias, alm de que os avanos tecnolgicos
proporcionam novos servios e assim novas vulnerabilidades evidente a importncia do teste de segurana. Portanto, h uma necessidade de o profissional
que contratado para simular ataques ao sistema da
empresa, que este tenha conhecimento das normas,
tcnicas de ataques, profundo conhecimento de redes, servios de rede e engenharia social.

protocolos POP3, SSH, FTP, TELNET, SMB. Tambm,


existem ferramentas automatizadas para pentest, que
na maioria das vezes so pagas, e muito caras, mas,
que satisfazem muito as organizaes por serem fceis
e mais prticas, para realizar o teste de penetrao.

6 TIPOS DE ATAQUES

Podemos atacar por Intruso de sistema, onde os


ataques acontecem por Buffer Overflow, ou seja,
quando o tamanho do buffer do servidor ultrapassa sua
capacidade de armazenamento. Verificando que o ataque no d acesso de root (administrador do sistema)
ao atacante. Ento ataques baseados em elevao de
privilgio buscam dar acesso de root a um atacante que
possua apenas um acesso de usurio no servidor.

Um dos principais ataques para testes de penetrao em um sistema o ataque de negao de servio
Nakamura (2007), ou seja, o chamado Dos, este tipo
de ataque um teste para saber se o servidor est preparado para este tipo de ataque, que fora o sistema
a reinicializar at consumir todos os recursos de processamento e memria, de forma que ele no possa
mais fornecer o servio.
Existe alm do ataque de negao de servio, o
ataque distribudo que se chama DDoS, que consiste
em um ataque que infecta vrios computadores, que
se tornam zumbis, que so comandados pelo computador mestre, onde acessam um servio todos os
computadores na mesma hora, fazendo com que o
nmero limitado de usurios, que o servidor atende
simultaneamente nos slots acabem e o servidor no
seja capaz de atender a mais nenhum pedido, fazendo
com que haja um travamento.
Alm destes ataques existe o ataque de fora bruta, que consiste na tentativa de adivinhar a senha e o
nome do usurio, que significa tentar adivinhar o conjunto por meio de tentativa e erro. Aps isso se tenta
invadir o sistema, para ento descobrir a senha dos
usurios que possuem conta no servidor.
Essas tcnicas so usadas remotamente principalmente para descobrir senhas de servios que usam os

Falhas em servidores mal configurados acontecem muitas vezes em empresas o que causa as intruses de hackers mais facilmente, por isso que o teste
de penetrao ajuda a observar este ponto.

Entre esses ataques citados, existem vrios outros


que servem para ajudar no teste de penetrao, e que
auxiliam os profissionais desta rea.

7 AS DESVANTAGENS DOS TESTES DE SEGURANA


Quando falamos em teste de segurana, quando
o profissional vai tentar invadir, como se fosse um cracker, ento no momento em que isso est ocorrendo,
o servio pode parar, deixando o servio inacessvel,
paralisando o sistema, forando e fazendo com que o
sistema reinicie.

8 AS VANTAGENS DOS TESTES DE SEGURANA


A vantagem que se houver algum erro, alguma
falha esse ser o momento para corrigir antes que
uma pessoa mal intencionada prejudique o sistema
da sua empresa.
Como a citao acima afirma, a empresa que
faz o teste de penetrao tem mais confiana e se-

Interfaces Cientficas - Exatas e Tecnolgicas Aracaju V.1 N.2 p. 85 - 96 Jun. 2015

92

gurana, pois conhece suas falhas, e j corrigiu as


possveis falhas.
Se uma empresa no adere ao teste de segurana,
e se o seu sistema possivelmente for atacado e seus
dados mais importantes forem roubados, a comunicao na empresa ser danificada por conta disso,
imagina a perda financeira desta empresa. Muitas
empresas acham que no necessrio fazer o teste
de segurana, achando que est totalmente protegida, mas, sabemos que nenhum sistema 100% seguro e protegido, por essa razo necessrio verificar e
comprovar que a segurana realmente eficaz.

sistema, para ter um conhecimento melhor sobre as


portas de entrada do sistema, dos dados em gerais,
e de todos os mtodos possveis de preveno dos arquivos, dados e informaes, visando tambm aplicar
as devidas normas de segurana.

9 FERRAMENTAS PARA O TESTE DE SEGURANA


Para que o teste de segurana seja feito a pessoa
precisa ter um amplo conhecimento nos protocolos de
rede, saber como utiliz-los e como empreg-los nas
ferramentas que so utilizadas no teste.

Tem empresas acreditando que porque o sistema est funcionando bem, no h a necessidade de
avali-lo, mas, infelizmente, esta forma de pensar s
prejudica; realmente tm que se prevenir dos ataques.
As empresas imaginam que o termo segurana, basicamente ter um programa de antivrus instalado no
computador e s vezes ter alguns cuidados com pendrives infectados, conhecidos como os maiores vetores de disseminao de malwares. Sabemos que cuidados como estes so realmente proveitosos, mas no
o bastante, pois com o avano da tecnologia, muitas
pessoas esto evoludas no sentido tecnolgico e vo
surgindo novos crackers com o passar do tempo. As
seguranas comuns, no o ideal para que o sistema
da empresa ou at mesmo o servidor, estejam totalmente protegidos.

Protocolo de rede um tipo de linguagem na


qual os computadores se comunicam, e para entender est comunicao entre eles, precisamos
entender estes protocolos, para sabermos lidar
com as informaes que passam de um computador para o outro. A principal pilha de protocolos e
a TCP/IP, sem esses protocolos o computador seria
incapaz de se comunicar com a rede, e com outros
computadores.

Depois de todas essas informaes fica claro que


o pentest ou testes de segurana, muito essencial
para as organizaes, alm de ser uma forma de proteo prtica e tambm terica, que carregado de
normas e certificaes sobre segurana, e bem-conceituado pelo mundo. Aquele que sabe tanto se proteger quanto tambm atacar, esse profissional considerado um dos melhores na sua rea, para conseguir
ajudar a trazer as solues.

- Na camada de transporte os protocolos mais


utilizados so TCP/UDP, responsveis pelo envio de
pacotes por conexo segura ou no segura respectivamente.

Os testes de segurana alm de prevenir e organizar os dados da empresa, ajuda no detalhamento do

Na pilha de protocolos do TCP/IP, consistem as seguintes camadas, FOROUZAN(2006):


- Na camada de aplicao esto os protocolos de
rede HTTP/FTP/TELNET/POP3, sendo estes protocolos
responsveis pelo suporte dos programas;

- Na camada de internet os protocolos associados


a esta camada so IP/ICMP/ARP/RARP, que so responsveis pelo endereamento de pacotes;
- A camada fsica responsvel pela converso dos
pacotes para sinais eletrnicos, chamado de bits, para
prover a conexo fsica.

Interfaces Cientficas - Exatas e Tecnolgicas Aracaju V.1 N.2 p. 85 - 96 Jun. 2015

93

Estes protocolos ajudam, quanto utilizao dos


programas de segurana, para os testes de segurana, ento preciso entender o funcionamento de cada
ferramenta. As ferramentas que sero explicadas servem para fazer tipos de ataques especficos, como:
ataque de fora bruta, ataque de negao de servio,
sniffar a rede, SYN flood, TCP kill e entre outros. Que
sero feitos a partir de algumas ferramentas como:
- Ettercap: este programa funciona em meio de
ataques na Lan, onde possui sniffing de conexes,
filtragem de contedo, funciona at mesmo em protocolos criptografados, onde tem um recurso de anlise
de rede e host. Sua verso mais recente a NG-0.7.3;
- Wireshark: um programa que analisa os protocolos de rede, examina dados de uma rede ao vivo ou
de um arquivo, este programa ajuda muito na hora do
teste de penetrao;
- Nmap: um tipo de scanner de hosts que usa recursos avanados para verificar o estado do seu alvo.
- Arping: esta ferramenta analisa os hosts em uma
rede, o arping um anlogo em funo de ping, que
utiliza o protocolo ICMP, e tambm usa o protocolo
ARP para sondar hosts.
- Netdiscover: esta ferramenta tem a funo de
descobrir os endereos da rede, onde ela trabalha
com o protocolo ARP, que envia requisies e fareja
respostas.

determinado host est abrindo, e tambm descobrir


erros na rede.
Estas ferramentas citadas servem tanto para rastreamento de hosts, ou seja, anlise de computadores
na rede, como tambm para fazer ataques de negao
de servio, ataque de fora bruta, rastreamento de
dados e arquivos, anlise de e-mails e senhas e entre
outros focos de penetrao da rede.
Em uma anlise geral sobre algumas informaes
e as principais ferramentas utilizadas para os testes,
sabemos que alm de ter uma importncia no trabalho em geral, devemos lembrar que as ferramentas
fazem parte do conjunto de mtodos para que o teste
de segurana em si, seja realizado, lembrando que estas ferramentas esto associadas remasterizao de
um sistema operacional, utilizado para devidos fins,
seguindo as normas, para que no haja erros e falhas
no momento dos testes.
Existem algumas ferramentas para verificar a fora da senha dos usurios, estas ferramentas auxiliam
na segurana das senhas na empresa, alm destes
programas que ajudam tem outros mtodos, como o
numero de dgitos acima de oito, no colocar nome da
pessoa, ou de parentes nas senhas, palavras comuns,
pois, pode ser um risco para a empresa, devendo ter
um cuidado sobre a fora da senha. Para verificar a
segurana da senha existem ferramentas online para
realizar estes testes, tais ferramentas online como:
- Pass Pub;

- Hping: uma ferramenta muito poderosa, existem trs vias que possibilitam o ataque, para negao
de servio, conhecidas como SYN, SYN/ACK e ACK,
sendo que o objetivo principal fazer com que o computador no responda a todas as requisies que sero enviadas, acontecendo um desprezo diante dos
pacotes SYN.
- Netstat: esta ferramenta torna-se bastante interessante, j que permite ver as conexes que um

- Password Chart;
- SafePasswd.
Alm de ferramentas on-line, tem programas que
podem ser instalados no sistema operacional, como
o Pwgen que um utilitrio para verificar as senhas,
alm de fazer senhas mais difceis, ele faz senhas aleatoriamente de acordo com a dificuldade que a pessoa

Interfaces Cientficas - Exatas e Tecnolgicas Aracaju V.1 N.2 p. 85 - 96 Jun. 2015

94

deseja, de uso fcil e compreensvel para os usurios e


at mesmo para os administradores de rede, e compatvel com o Ubuntu, Debian, Fedora e entre outros.

a necessidade por controle das atualizaes de toda a


infraestrutura da empresa, para que no ocorram paradas que deixem o servio indisponvel.

Algumas ferramentas no foram citadas, pois, so


pouco usadas no andamento dos testes de segurana,
embora possam ser utilizadas para algumas ocasies
dependendo da necessidade, e do foco, mas, neste trabalho, o foco analisado o rastreamento da rede, e do
servidor, analisando portas, e algumas falhas comuns.

A informao deve ser classificada, mas de um


modo evidente e reconhecvel para que quem for responsvel por receb-la e compartilh-la com as reas
de negcio que tenham acesso aos recursos possa entender claramente. importante que um comit de segurana faa um mapeamento organizado e gerencie
os ativos da melhor forma, sejam eles digitais ou no.

10 MTODO PARA AUDITORIA DE SEGURANA


ATRAVS DE TESTES
Para manter os ativos de informao seguros o
custo torna-se alto, mas preciso. Comeando pela
Gesto do risco em segurana da informao. As vulnerabilidades e ameaas devem ser detectadas para a
procura de solues, evitando causar fortes impactos
que afetem o comprometimento da segurana; com
base na realizao de processos sero implementadas
as medidas de proteo viveis, e o equilbrio do custo financeiro e operacional de acordo com a empresa. Para conseguir o controle o risco deve ser julgado
dessa forma: avaliao do risco, aceitao do risco e
comunicao do risco.
A partir do momento que feita a identificao do
risco ele classificado, ou seja, se ele foi gerado por
fenmenos ambientais, ou por tcnicas lgicas e humanas, erro na configurao de componentes de TI,
ou falhas de hardware e software.
Sabendo que qualquer informao valiosa para
uma empresa, a responsabilidade entra em jogo, devem ser avaliados os critrios de segurana mais adequados para aplicao, fazendo com que apenas as
pessoas de direito tenham acesso e os recursos da informao sejam ntegros e confidenciais, servio que
prestado por profissionais da rea de TI; evitando
roubos, fraudes ou vazamentos. Quando se trabalha
com dados, servidores, aplicaes e equipamentos h

Hoje em dia a tecnologia deu uma grande avanada, em contrapartida possvel perceber que as formas
de armazenamento das informaes e seus recursos
passaram no s a ser armazenadas em banco de dados como antes, elas acabaram migrando tambm para
notebooks, desktops, pendrives, smartphones, CDS e
e-mails, podem at mesmo estarem armazenados na
nuvem, caso este que requer maior segurana j que
o mundo da internet atrai vrios crackers em busca de
senhas e acesso a informaes do prprio interesse
que no so liberadas normalmente ao pblico.
Vale ressaltar que qualquer transformao no
perfil de acesso em relao aos colaboradores deve
ser documentada e disposta para futuras consultas,
e o cumprimento dos prazos para validar e conceder
acessos deve ser feito.
As redes de computadores, e consequentemente a
Internet mudaram as formas como se usam sistemas
de informao. As possibilidades e oportunidades de
utilizao so muito mais amplas que em sistemas fechados, assim como riscos privacidade e integridade da informao. Portanto, muito importante que
mecanismos de segurana de sistemas de informao
sejam projetados de maneira a prevenir acessos no
autorizados aos recursos e dados destes sistemas
(LAUREANO, 2005).
Recentemente o que mais se houve falar sobre
Cloud Computing, (Computao nas nuvens) e para

Interfaces Cientficas - Exatas e Tecnolgicas Aracaju V.1 N.2 p. 85 - 96 Jun. 2015

95

o bom acesso a essa tecnologia na nuvem a Segurana se torna indispensvel, os maiores esforos
no desenvolvimento voltado para o uso da criptografia, mas os usurios que tiverem acesso a este
tipo de tecnologia devem ser, tambm, os responsveis por estarem preocupados com as suas senhas,
atualizando-as.
As redes modernas, baseadas na tecnologia permitem utilizar padres de internet, onde qualquer
indivduo pode a um custo mais baixo ter acesso a informaes localizadas nos mais distantes pontos do
pas, podendo criar, gerenciar e distribuir informaes
no mundo de forma prtica rpida e fcil. Com base
nisso o compartilhamento entre servios em corporaes permite ganho de produtividade.
Contudo de fcil percepo que todo sistema
est sujeito a invases caso ocorra falha na especificao das condies e controle de acesso, que exploradas por usurios da rede causam grandes impactos de nveis altos e prejudiciais; trazendo desde um
simples constrangimento a altas perdas financeiras,
que podem ser provocados por queda da rede; como
por exemplo, em um site de vendas, uma queda pode
fazer com que vrios produtos no sejam vendidos em
um curto perodo de tempo.
Entra a, neste sentido, a segurana; a definio
de regras em uma poltica de segurana, deve ser fundamentada em trs questionamentos: O que proteger,
de que ou quem proteger e como fazer essa proteo,
tendo em vista que a depender das informaes e da
organizao o grau de proteo varia certamente,
muitas vezes ocorre de uma informao ser sigilosa
para uma empresa e para outra no ter um grau to
elevado de sigilo.
H vrios tipos de ferramentas que colaboram
para ataques, existem at mesmo sites na internet
dedicados a atividades de hacking, criados com a inteno de buscar falhas no sistema ou configurao,
e vulnerabilidades em redes alvo.

A providncia cabvel para esse tipo de ao baseia-se no objetivo das transaes e no que se deve
proteger. Lembrando que a Segurana no deve focar
apenas no alvo externo da rede, a segurana interna
deve prevalecer tambm, pois funcionrios podem ter
interesses, devendo ser feito o acesso restrito. Visto
que grandes partes dos problemas esto associados a
ameaas internas.
Os objetivos de segurana podem variar, dependendo do tipo de informao. O que deve ser verificado, principalmente no ciclo de vida da informao
em uma corporao, a autenticidade, a integridade
e a disponibilidade, no precisando estar to preocupado com a confidencialidade que por vir depois, ser
de mnima importncia nesse momento; segundo um
estudo que foi divulgado pela imprensa, a proteo se
faz necessria quando quer se prevenir contra alguma
alterao que possa ser feita por algum que se passe
por diretor e possa enviar para o setor de divulgao
alguma informao que possa prejudicar a empresa,
ento dessa forma a autenticidade e integridade garante que um comunicado no seja alterado.
Uma vez que exista um documento que ser destinado ao pblico geral, seria necessrio se preocupar
mais com a autenticidade e irritabilidade da comunicao do emissor descartando do receptor que apenas quer o aceitamento do comunicado corretamente.
Em uma organizao preciso dar incio ao processo, identificando as necessidades e requisitos da
informao, tratamento, distribuio, coleta contnua, devendo alimentar os processos decisrios e
operacionais e levar aps isso as informaes para o
ambiente externo (BHME, 2010).
Caso a confiana que se tenha, acreditando que os
dados estejam protegidos, seja destruda, o impacto
causado certamente implicar na destruio do sistema.
Para manter os ativos de informao o custo se torna alto, mas preciso. Comeando pela Gesto do risco

Interfaces Cientficas - Exatas e Tecnolgicas Aracaju V.1 N.2 p. 85 - 96 Jun. 2015

96

em segurana da informao. As vulnerabilidades e


ameaas devem ser detectadas para a procura de solues, evitando causar fortes impactos que afetem o
comprometimento da segurana; com base na realizao de processos sero implementadas as medidas
de proteo viveis, e o equilbrio do custo financeiro e
operacional de acordo com a empresa. Para conseguir
o controle, o risco deve ser julgado dessa forma: avaliao do risco, aceitao do risco e comunicao do risco.
A partir do momento que feita a identificao do
risco ele classificado, ou seja, se ele foi gerado por
fenmenos ambientais, ou por tcnicas lgicas e humanas, erro na configurao de componentes de TI,
ou falhas de hardware e software.

11 CONCLUSO
imprescindvel que em uma empresa haja, frequentemente, uma anlise em seu sistema, com as
ferramentas para a verificao do sistema, com o foco
de proteger as informaes que esto no servidor, devendo proteger os servios prestados e estando ligado
junto as normas que, tambm, devem ser respeitadas
para haver um acordo no infringindo as normas de segurana e obedecendo as principais. Para conciliar as
normas com os devidos testes de segurana, devendo
colocar em prtica o que foi analisado e escrito, com as
ferramentas do sistema criado, deve-se corresponder
aos requisitos responsveis pela segurana, tais como:
confidencialidade, integridade e disponibilidade.
preciso ressaltar que as principais normas relativas Segurana, so expostas para o conhecimento e
o cumprimento das regras citadas pela ABNT, as quais
no podem deixar de ser colocadas. As normas so bases essenciais para o desenvolvimento deste trabalho,
pois em uma empresa os servios nela prestados devem obedecer a tais normas, onde o cumprimento das
mesmas associado ao sistema operacional remasterizado para os devidos fins, existindo assim um gerenciamento das informaes que trafegam no sistema.

REFERNCIAS
ABNT. Tecnologia da informao. Tcnicas de segurana. Cdigo paragesto de segurana da informao. Rio de Janeiro: Associao Brasileira de
Normas Tcnicas, 2005.
BHME, Rainer; FLEGYHZI, Mrk. Optimal information security investment with penetration testing.
Decision and Game Theory for Security. Springer
Berlin Heidelberg, 2010. p.21-37.
CICCO, Francesco D. A nova norma internacional ISO
27005 de gesto de riscos de segurana da informao. QSP. Disponvel em: <http://www.qsp.org.br/artigo_27005.shtml>. Acesso em: 24 jan. 2015
FOROUZAN, Behrouz A.Comunicao de dados e redes
de computadores. So Paulo: Mcgraw Hill Brasil, 2006.
HERZOG, Pete. Open-source security testing methodology manual.Institute for Security and Open Methodologies (ISECOM), 2003.
LAUREANO, Marcos Aurelio Pchek. Gesto de Segurana da Informao. Disponvel em: <http://www.
mlaureano.org/aulas_material/gst/apostila_versao_20.pdf>.
Acesso em: 10 nov. 2014.
LEONHARDT, FRANK. AUDITING, PENETRATION TESTING AND ETHICAL HACKING.Handbook of electronic security and digital forensics, 2010. p.93.
NAKAMURA, Emilio Tassato. Segurana de redes: em
ambientes cooperativos. So Paulo: Novatec, 2007.
OSBORNE, K. Auditing The IT Security Function. Revista Computers & Security, 17, 1998. p.34-41.
POTTER, B; MCGRAW, G. Software security testing. Revista IEEE SECURITY & PRIVACY, 2/5, 2004. p.81-85.

Interfaces Cientficas - Exatas e Tecnolgicas Aracaju V.1 N.2 p. 85 - 96 Jun. 2015

97

Recebido em: 8 de Maro de 2015


Avaliado em: 10 de Maro 2015
Aceito em: 4 de Abril de 2015

1 Mestrando em Computao Universidade Federal de Sergipe (UFS). E-mail: menezes.pmm@gmail.com


2 Graduanda em Sistemas de Informao - Universidade Tiradentes (Unit)
Aracaju, SE Brasil. E-mail: marqueslanay@gmail.com
3 Mestrando em Computao (UFS), Professor de Computao da Universidade Tiradentes (Unit) Aracaju, SE Brasil. E-mail: gomesrocha@gmail.com

Interfaces Cientficas - Exatas e Tecnolgicas Aracaju V.1 N.2 p. 85 - 96 Jun. 2015