Escolar Documentos
Profissional Documentos
Cultura Documentos
Análise de Vulnerabilidade de Riscos
Análise de Vulnerabilidade de Riscos
Vulnerabilidade
de Riscos
Indaial – 2021
1a Edição
Elaboração:
Prof. Carlos André de Sousa Rocha
Prof. Jorge Werner
Prof. Muriel de Fátima Bernhardt
a
R672a
ISBN 978-65-5663-398-5
ISBN Digital 978-65-5663-399-2
CDD 004
Impresso por:
APRESENTAÇÃO
Prezado acadêmico! O Livro Didático “Análise de Vulnerabilidade de Riscos”
apresentará a você conhecimentos sobre os conceitos de vulnerabilidades e riscos:
os principais tipos de vulnerabilidades; as ferramentas para análise de vulnerabilidade
de segurança; a análise de vulnerabilidade; as principais técnicas de varreduras de
vulnerabilidade, incluindo vulnerabilidades on-line e testes de invasão.
QR CODE
Olá, acadêmico! Para melhorar a qualidade dos materiais ofertados a você – e
dinamizar, ainda mais, os seus estudos –, nós disponibilizamos uma diversidade de QR Codes
completamente gratuitos e que nunca expiram. O QR Code é um código que permite que você
acesse um conteúdo interativo relacionado ao tema que você está estudando. Para utilizar
essa ferramenta, acesse as lojas de aplicativos e baixe um leitor de QR Code. Depois, é só
aproveitar essa facilidade para aprimorar os seus estudos.
ENADE
Acadêmico, você sabe o que é o ENADE? O Enade é um
dos meios avaliativos dos cursos superiores no sistema federal de
educação superior. Todos os estudantes estão habilitados a participar
do ENADE (ingressantes e concluintes das áreas e cursos a serem
avaliados). Diante disso, preparamos um conteúdo simples e objetivo
para complementar a sua compreensão acerca do ENADE. Confira,
acessando o QR Code a seguir. Boa leitura!
LEMBRETE
Olá, acadêmico! Iniciamos agora mais uma
disciplina e com ela um novo conhecimento.
REFERÊNCIAS...................................................................................................................... 69
REFERÊNCIAS.....................................................................................................................138
REFERÊNCIAS.................................................................................................................... 207
UNIDADE 1 -
PRINCÍPIOS DA ANÁLISE
DE VULNERABILIDADE
OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, você deverá ser capaz de:
PLANO DE ESTUDOS
Esta unidade está dividida em três tópicos. No decorrer dela, você encontrará
autoatividades com o objetivo de reforçar o conteúdo apresentado.
CHAMADA
Preparado para ampliar seus conhecimentos? Respire e vamos em frente! Procure
um ambiente que facilite a concentração, assim absorverá melhor as informações.
1
CONFIRA
A TRILHA DA
UNIDADE 1!
Acesse o
QR Code abaixo:
2
UNIDADE 1 TÓPICO 1 -
FUNDAMENTOS DA GESTÃO DE RISCO
1 INTRODUÇÃO
A segurança da informação é obtida com a implementação de controles, que
deverão ser monitorados, analisados e consecutivamente melhorados, com o intuito
de atender aos objetivos do negócio, mitigando os riscos e garantindo os preceitos
de segurança da organização: confidencialidade, integridade e disponibilidade (CID), a
tríade de segurança da informação (SÊMOLA, 2014).
IMPORTANTE
Um Sistema de Gestão da Segurança da Informação (SGSI) é um sistema
voltado para segurança da informação, inclui todo o escopo de controles que
uma organização precisa para garantir a proteção da confidencialidade, da
disponibilidade, e da integridade (SÊMOLA, 2014).
3
2 CONCEITOS SOBRE RISCO
Incialmente, neste tópico, caro acadêmico, você conhecerá os conceitos
sobre riscos de vulnerabilidades. O gerenciamento de riscos e a conformidade com as
questões legais são pré-requisitos para o desenvolvimento de suma boa estratégia de
segurança da informação. Uma boa identificação dos riscos pode contribuir para que
você compreenda as fraquezas e oportunidades de atendimento da segurança, assim
como das questões legais.
Os riscos podem ser divididos entre aqueles que têm origem interna e aqueles
de origem externa. Em geral, os riscos de origem interna podem adotar medidas para
seu controle, e os riscos de origem externa, geralmente, não possuem o controle.
Contudo, muitos riscos, verificam-se de processos inadequados ou da ineficiência da
sua gerência.
4
IMPORTANTE
O risco é o potencial de uma ação ou atividade escolhida levar a uma perda ou
evento indesejável.
5
FIGURA 1 – CÁLCULO DO RISCO DE TECNOLOGIA DA INFORMAÇÃO
NOTA
Ativo é aquilo que agrega valor para a organização. Um ativo pode ser
representado por uma informação, um processo, um produto, uma
base de dados, um software, um hardware, entre outras possibilidades
(ISO/IEC 27005, 2018).
O valor do risco pode ser medido pelo produto da probabilidade com o impacto
mediante aproximação (ISO/IEC 31000, 2009). A determinação de risco considera dois
parâmetros fundamentais:
6
O conceito do risco relacionado à segurança da informação está vinculado à
possibilidade de um determinado evento explorar uma possível fragilidade de um ativo
ou de um conjunto de ativos, prejudicando, assim, a organização no seu dia a dia.
Mesmo quem nunca passou por isso pode imaginar que um risco alto
poderia ser um evento de um acesso indevido, por exemplo, devido à exploração de
uma falha no sistema de gerenciamento de senhas, prejudicando o ativo de rede e,
consequentemente, ocasionando a perda de dados de toda a organização.
7
A análise de risco consiste no processo de compreender a natureza do risco e
determinar o nível de risco de um determinado evento, obtendo, dessa forma, uma
classificação. O nível de risco fornece uma medida da amplitude do risco, calculada
em termos da consequência da realização do risco e da probabilidade da ocorrência do
risco. Um exemplo, para a análise de risco, poderia ser quando uma instituição de ensino
contrata uma consultoria de segurança para avaliar se os seus colaboradores atendem
aos critérios estabelecidos na sua política de segurança da informação. Diversas
alternativas podem avaliar os colaboradores, um evento poderia ser o recebimento de
e-mails maliciosos e, neste caso, determinar uma classificação de risco e sua amplitude,
conforme a aderência dos colaboradores ao enfraquecimento do risco.
DICA
Conheça mais da norma ISO/IEC 27005 no Site da ISO em:
https://www.iso.org/standard/75281.html.
8
DICA
Conheça mais da norma ISO/IEC 31000 no Site da ISO em:
https://www.iso.org/obp/ui/#iso:std:iso:31000:en.
DICA
O NIST (do inglês, National Institute of Standards and Technology) é um
importante instituto de padronização americano. Conheça mais sobre o
NIST em: https://www.nist.gov/.
9
A Figura 5 apresenta o processo de avaliação de riscos de segurança da
informação definido na ISO/IEC 27005, seguindo uma metodologia PDCA, ou seja,
passando pela fase de planejamento, execução, verificação e ação.
10
• Identificação do risco – o processo de localizar, listar e caracterizar elementos do risco.
Os elementos podem incluir fonte, evento, consequência e probabilidade;
• Estimativa do risco – o processo atribui valores à probabilidade e às consequências
de um risco. A estimativa do risco pode considerar custo, benefícios, preocupações
e outras métricas possíveis para a avaliação do risco.
• Avaliação do risco – nesta etapa o risco é comparado e estimado de acordo com
um determinado critério, verificando sua relevância. A avaliação do risco pode ser
usada para a tomada de decisão de aceitar e tratar um risco.
• Tratamento do risco – os resultados do processo da avaliação dos riscos são
aplicados à etapa de tratamento dos riscos.
• Aceitação do risco – após a realização dos devidos tratamentos, os riscos
resultantes são considerados aceitos pelo contexto previamente estabelecido.
• Comunicação do risco – nesta etapa ocorre a troca ou compartilhamento da
informação sobre o risco. É realizada entre o tomador de decisão e os outros
interessados. A informação pode estar relacionada a existência, a natureza, a forma, a
probabilidade, a gravidade, a aceitabilidade, ao tratamento ou outros aspectos do risco.
• Monitoramento e análise crítica de riscos – o monitoramento é um processo
contínuo de verificação, supervisão, observação crítica ou identificação da situação
para identificar mudanças. A análise crítica é a atividade realizada para determinar a
adequação, suficiência e eficácia do assunto em questão para atingir os objetivos.
11
organização dos riscos possíveis para que toda a equipe se conscientize. E, por fim, na
fase de monitoramento e análise crítica de riscos, é a etapa que fecha o ciclo de vida e
fica sempre avaliando e retornando as possíveis ações e relatórios sobre as ocorrências,
por exemplo, no ambiente de Call Center, monitorando os riscos possíveis e suas ações
e análises.
DICA
O call center é um termo em inglês que significa central de chamada telefônica,
ou seja, uma central de atendimento telefônico.
12
• Monitoramento do risco – o quarto componente do gerenciamento de riscos
aborda como as organizações monitoram os riscos ao longo do tempo. O objetivo é
determinar a eficácia das respostas, identificar mudanças e verificar se as respostas
planejadas aos riscos foram implementadas.
DICA
Conheça mais da norma SP 800-30 (Rev. 1) no Site do Nist em:
https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final.
13
• Aplicar controles para reduzir os riscos.
• Reconhecer e aceitar o risco.
• Não permitir ações que podem causar risco.
• Transferir, repassando o risco.
14
RESUMO DO TÓPICO 1
Neste tópico, você adquiriu certos aprendizados, como:
• O risco pode ainda ser definido como o potencial de uma ação ou atividade escolhida
levar a uma perda ou evento indesejável.
15
• A visão do ciclo de vida do processo de gerenciamento de riscos pela norma ISO/
IEC 27005 tem seis grupos principais de atividades são elas: definição do contexto,
análise/avaliação de riscos, tratamento do risco, aceitação do risco, comunicação do
risco, monitoramento e análise crítica de riscos.
• A gestão de risco descrita pelo Nist (2012) é um processo definido que apresenta
quatro etapas do processo de gerenciamento de risco definido pela norma SP 800-
30 Rev. 1.
16
AUTOATIVIDADE
1 O gerenciamento de riscos de TI pode ser considerado um componente de um
sistema de gerenciamento de riscos corporativo. O gerenciamento de riscos e a
conformidade com as questões legais são pré-requisitos para o desenvolvimento de
suma boa estratégia de segurança. Sobre a definição de risco, é CORRETO afirmar:
a) ( ) ISO/IEC 27005.
b) ( ) ISO/IEC 27001.
c) ( ) ISO/IEC 27002.
d) ( ) ISO/IEC 27003.
e) ( ) ISO/IEC 27004.
17
4 O processo de avaliação de riscos de segurança da informação é definido na ISO/IEC
27005 (2018), seguindo uma metodologia PDCA. A visão do ciclo de vida do processo
de gerenciamento de riscos pela norma ISO/IEC 27005 tem seis grupos principais de
atividades. Quais são elas?
18
UNIDADE 1 TÓPICO 2 -
CONCEITOS DE AMEAÇA E ATAQUE
1 INTRODUÇÃO
Os incidentes podem causar, dentro da segurança da informação, uma
interrupção do serviço ou a perda da qualidade. Trata-se de um evento, confirmado ou
em suspeita, que leva a afetar os princípios básicos da segurança da informação. Os
agentes causadores dos incidentes são as ameaças à segurança da informação. As
ameaças têm crescido com o passar do tempo e com a evolução tecnológica.
Normalmente, vários são os ataques contra usuários finais, por serem mais fáceis
e rentáveis tem ocorrido com frequência. As motivações para os ataques são de diversos
propósitos, como o financeiro. O objetivo financeiro, onde os criminosos desejam apenas
lucrar financeiramente com o ataque, por exemplo, roubando a senha bancária do
usuário e consequentemente roubando seu saldo bancário. Outra motivação é onde os
atacantes almejam a espionagem, desejando roubar informações que possam agregar
na competitividade ou até mesmo apenas por curiosidade. E outra motivação ainda é
quando outros atacantes, desejam fazer a sabotagem dos seus concorrentes. O fato
é que o ambiente de computação tem sido alvo de ameaças e ataques cada vez mais
constantes, e as aplicações web vulneráveis crescem com avanço rápido.
NOTA
O CERT é um Centro para Resposta e Tratamento de Incidentes
de Computadores. Existem vários grupos em todo o mundo que
auxiliam os estudos de segurança da informação.
19
Alguns dados sobre perda de dados estão disponíveis em sites como Wikipédia ou
Vigilante.pw (respectivamente, https://en.wikipedia.org/wiki/List_of_data_breaches,
https://vigilante.pw/) onde, por exemplo:
• Adobe – sofreu um ataque virtual e expos 152 milhões de nomes e senhas de usuários
em 2013.
• Facebook – sofreu um ataque virtual e expos no serviço de computação em nuvem
da Amazon, 540 milhões de registros de usuários, em 2019.
• Equifax (agência de relatório de crédito americana) – teve 163.119.000 registros de
clientes roubados em 2017, expondo números de Seguro Social, nomes, data de
nascimento, entre outros dados.
NOTA
Conheça mais sobre CERT no endereço http://cert.org/.
2 AMEAÇAS
Neste subtópico, caro acadêmico, você conhecerá os conceitos relacionados
com as ameaças sobre os sistemas de tecnologia da informação. As ameaças são
elementos que têm a condição de explorar vulnerabilidades e causar problemas a
sistemas de informação e redes de computadores, incluindo fraudes eletrônicas,
espionagem, sabotagem, vandalismo, incêndio e inundação (ISO/IEC 17799, 2000).
20
FIGURA 7 – CARACTERÍSTICAS DE SEGURANÇA DA INFORMAÇÃO
21
FIGURA 8 – FATORES SOBRE A SEGURANÇA DA INFORMAÇÃO
NOTA
O NIC.BR Security Office (CERT.br) é responsável por receber, revisar
e responder a relatos de incidentes de segurança envolvendo a
Internet brasileira.
22
DICA
A Política de Segurança da Informação é um dos passos principais
na gestão de segurança da informação. Essa política é composta de
uma documentação representando as diretrizes que a organização
escolheu para gerir a política de segurança.
O NIST define uma ameaça como “qualquer circunstância ou evento com o potencial
de afetar negativamente as operações organizacionais, indivíduos, outras organizações
através de um sistema de informação por via de acessos não autorizados” (NIST, 2012).
23
do Call Center, o invasor acaba usando o acesso ao sistema de autenticação para
realizar tentativas de logon com senhas padrão por exemplo, com usuário “admin” e
senha “admin”. O invasor não tem um sistema que deseja comprometer, no entanto,
vai testando algumas alternativas sem qualquer pretensão de alvo específico.
• Ameaças estruturadas – este tipo de ameaças vem de indivíduos com mais
habilidades técnicas que trabalham para comprometer um sistema. Os sistemas já
podem ser mais conhecidos sendo selecionados aleatória ou especificamente, com
um objetivo mais claro de ataque. O invasor ou invasores já podem desenvolver
ataques e utilizar técnicas de invasão mais sofisticadas, por exemplo, com scripts ou
aplicativos maliciosos. Neste caso, o atacante tem um objetivo específico e conhece
das ferramentas e possibilidades. No sistema do Call Center, já pode ter efetuado um
escaneamento de rede e verificado as portas de rede abertas e assim direcionar o
ataque às portas com maiores vulnerabilidades, ou seja, com problemas conhecidos.
• Ameaças externas – essas ameaças partem de indivíduos de fora da empresa, sem
acesso autorizado aos sistemas, sem acesso direto. O ataque pode ser estruturado
a partir de uma fonte externa, e afetar os sistemas internos da organização, ou até
mesmo comprometendo as atividades de um ou mais colaboradores da organização.
Podemos pensar que no Call Center, uma ameaça externa é quando um invasor
sem autorização de acesso faz um acesso não autorizado para roubar informações
pessoais do cadastro de clientes da organização.
• Ameaças internas – as ameaças internas são originadas de indivíduos com acesso
autorizado à organização, ou seja, funcionários, pessoas de dentro da organização.
E, ainda, pode ser considerada de origem interna, quando um funcionário insatisfeito
deixa a organização e se utiliza dos acessos que ainda possui, para desferir ataques.
São os indivíduos insatisfeitos, oportunistas ou infelizes, cujo acesso ainda está ativo,
ou seja, ainda tem o acesso autorizado, por exemplo, há uma senha válida. Muitas
pesquisas e estudos mostram que os ataques internos podem ser significativos tanto
no número quanto no tamanho de quaisquer perdas. Em geral, esses indivíduos
utilizam de uma posição privilegiada para disferir um ataque. Você poderia imaginar
um supervisor de atendimento no Call Center, capturando dados dos clientes, por
exemplo, dados financeiros para depois obter alguma vantagem extra.
24
• Determinar e classificar ameaças – esta etapa representa um método de
identificação e categorização de uma ameaça. O objetivo é tentar identificar as
ameaças do ponto de vista do atacante, assim como da perspectiva do defensor e
classificá-las de ponto de vista do risco.
• Identificar medidas e mitigação – a implementação de medidas corretivas
que mitiguem as ameaças identificadas. Como as ameaças têm um valor de risco
predefinido é possível priorizar as regras que visem a sua correção e assim fazer uma
correta avaliação do risco. Não significa a sua correção desde que a avaliação do risco
não a justifique.
NOTA
Um plano de emergência em segurança da informação, faz parte
do planejamento do risco. A organização deve ter um plano de
contingência para eventuais emergências envolvendo seus produtos,
serviços essenciais para a continuidade do negócio.
25
O atacante coleta diversos dados que juntos podem agregar valor e produzir uma
informação importante. Esses dados podem ser CPF, nome, e-mail, sites acessados,
fotos, pesquisas para compra. A informação gerada pode produzir uma ameaça à
segurança da pessoa.
• Divulgação indevida – a informação é processada e divulgada sem autorização
do proprietário. Você poderia imaginar alguém coletando seus dados ou fotos e
republicando em alguma rede social sem autorização.
• Cópia ilegal – a informação é processada e copiada para outro local sem permissão.
Quando alguém faz a cópia de arquivos de uma instituição sem a devida autorização,
por exemplo, arquivos da contabilidade da instituição.
• Dano físico à mídia – quando o dispositivo ou mídia sofre alguma ação de prejuízo,
acidental ou intencionalmente, ocasionando a perda dos dados e da mídia. Você
poderia imaginar que seu pendrive pudesse quebrar ou molhar, por exemplo.
• Engenharia social – manipulação psicológica de pessoas para a execução de ações
ou divulgação das informações confidenciais. Esta é uma ameaça muito utilizada,
quando você recebe e-mails falsos de instituições bancárias solicitando a devida
atualização cadastral.
• Modificação de dados sem autorização – a informação é alterada/modificada sem
autorização do proprietário. Dentro do ciclo de vida da informação temos o processo
de modificação. Neste caso, por exemplo, algum invasor acessa o banco de dados da
aplicação e modifica as informações dos usuários.
• Ataques baseados em senhas – um software malicioso realiza a execução de
algoritmos baseados em dicionários de palavras na tentativa de descobrir a senha
original. Você, acadêmico, poderia imaginar um invasor com um pouco mais de
experiência poderia utilizar um arquivo com muitas possibilidades de senhas
(dicionário de senhas), para tentar realizar um acesso não autorizado na aplicação,
por exemplo, de registro de chamados no Call Center.
• Acesso não autorizado das informações – a informação é acessada por pessoas
sem permissão. Por exemplo, alguém sem autorização pode invadir o sistema, a
aplicação e ter acesso aos dados pessoais dos clientes do Call Center.
• Abuso de poder – membro da organização com posição hierárquica maior utiliza-se
de sua autoridade para obter acesso às informações sigilosas. Neste caso, o abuso de
poder, é quando por exemplo, o gerente do Call Center, se apropria das informações
do cliente para fins particulares.
• Espionagem a distância – ato ou efeito de espionar, quando por exemplo alguém
secretamente observa de forma remota as ações de um determinado usuário. Por
exemplo, um invasor fica monitorando as ações e informações do Call Center através
da Internet.
• Espionagem interna e externa – ato ou efeito de espionar, podendo ser de
pessoas de fora ou de dentro da empresa. A espionagem pode ser de funcionários da
organização, ameaças internas ou de pessoas terceiras a organização, por exemplo,
capturando dados estratégicos de marketing da organização.
• Comprometimento dos dados – a informação sofre algum incidente de tal forma
que perca sua integridade. É quando algum atacante modifica os dados na base de
dados da aplicação, corrompendo os dados pessoais registrados.
• Furto de equipamentos – roubo dos equipamentos da organização tornando
as informações dos dispositivos inacessíveis. É a ameaça quando alguém rouba o
equipamento físico, pode ocorrer independente da tecnologia.
26
• Defeito de software – o serviço prestado pelo software é desviado do serviço
correto. A falha pode ocorrer, quando por exemplo uma implementação errada na
aplicação gera um bug no software.
• Falha de equipamento – um equipamento (hardware) apresenta problemas
de funcionamento. O equipamento físico, uma placa eletrônica queima algum
componente gerando um comportamento errado.
• Falhas de protocolo – alguma falha de comunicação entre os protocolos, deixando
vulnerável a interceptação da informação. É quando, por exemplo, um fluxo do
protocolo do sistema de registro foi modelado de forma errada e não armazena os
dados do registro da demanda de atendimento de forma correta, gerando falhas no
atendimento ao cliente.
• Falhas de autenticação – o sistema possui erros de projetos levando a falhas de
autenticação. Um exemplo, seria quando por um erro do sistema é provocado uma
autenticação em uma funcionalidade incorreta ao atendente do Call Center.
• Ataques de Negação de Serviço (do inglês, DDoS – Denial Of Service) – ataques
que visam causar indisponibilidade dos serviços de um determinado processo através
do envio de simultâneas requisições. É quando por exemplo o sistema do Call Center
fica indisponível pois um atacante gerou muitas requisições à aplicação e gerou um
sobrecarga no servidor e parou o sistema.
IMPORTANTE
Um ataque de força bruta é quando um invasor realiza diversas tentativas
persistentes de forma exaustiva até conseguir os dados que deseja.
27
As ameaças como dano físico à mídia, furto dos equipamentos, defeito de
equipamentos, modificação ilegal dos dados não ocorrem no momento do descarte da
informação, pois se os equipamentos/informações não forem mais úteis para o negócio,
dificilmente poderá afetar o negócio da empresa (SHOSTACK, 2014).
NOTA
Crime cibernético é uma atividade criminosa que tem como alvo ou faz uso de um
computador, uma rede de computadores ou um dispositivo conectado em rede.
28
2.1 MODELAGEM DE AMEAÇAS
O conhecimento das ameaças é crucial para a definição dos requisitos de um
sistema, pois auxilia na seleção das medidas de segurança que serão desenvolvidas,
implementadas e instaladas. E você poderia utilizar do processo de modelagem de
ameaças para compreender as possíveis ameaças dos sistemas, e buscar medidas de
contorno para se proteger. O processo de modelagem de ameaças está se tornando
comum na engenharia de software, onde existe a preocupação em garantir a segurança
da informação.
29
FIGURA 9 – MODELAGEM DE AMEAÇAS STRIDE
DICA
Conheça mais sobre o projeto Stride de modelagem de ameaças da
Microsoft visitando a página na internet https://msdn.microsoft.com/en-
us/library/ee823878(v=cs.20).aspx.
30
A metodologia LINDDUN foi avaliada e melhorada com base em resultados
empíricos surgindo a metodologia LIND(D)UN 2.0 (WUYTS, 2015). A nova metodologia
LIND(D)UN 2.0 (WUYTS, 2015) por um lado, estende o catálogo de árvore de ameaças,
e por outro, simplifica a metodologia, acrescentando uma etapa de priorização do
impacto das ameaças, considerando as tecnologias de reforço de privacidade – PET
(do inglês, Privacy Enhancing Technologies) existentes. A Figura 9 apresenta o fluxo da
metodologia LIND(D)UN 2.0 (WUYTS, 2015), a técnica LINDDUN melhorada.
NOTA
Conheça mais sobre o projeto Stride de modelagem de ameaças da
Microsoft visitando a página na internet https://msdn.microsoft.com/en-
us/library/ee823878(v=cs.20).aspx.
31
3 ATAQUES
Os ataques são os conjuntos de ações conduzidas por uma entidade não
autorizada visando às violações de segurança (IETF RFC 4949, 2007). O conceito de
ataque é muito importante quando falamos de ameaças e vulnerabilidades, pois é por
meio deles que as ameaças são concretizadas. Um exemplo poderia ser um agente
malicioso tentando roubar informações no sistema do Call Center. Você, acadêmico,
poderia entender como esta ação resulta em algum prejuízo ao sistema do Call Center,
ou as pessoas envolvidas no tratamento das informações.
• Acidentais.
• Intencionais.
• Ativos.
• Passivos.
32
Os ataques passivos são aqueles que não alteram a informação, nem mesmo o
fluxo normal da informação no canal sob escuta. Nos ataques passivos, a informação
é interceptada, e assim passa a ser monitorada pelo atacante, tudo isso sem que o
sistema perceba. O atacante não tem a intenção de modificar (alterar) a informação
transmitida (STALLINGS, 2010).
Os ataques ativos são os que modificam o fluxo normal da informação. Este tipo de
ataque pode alterar o conteúdo da informação, ou produzir informação não verdadeira,
normalmente com intuitos de violar a segurança de um sistema. No ataque passivo a
informação é interceptada e ela passa a ser monitorada pelo atacante, que não é notado
pelo sistema. Nesse caso, o atacante não tem a intenção de danificar a informação.
33
O ataque por interrupção, apresentado na Figura 13, é quando o atacante
interfere no fluxo. O objetivo do atacante é interromper a comunicação, prejudicando a
transmissão das informações no seu fluxo normal.
34
FIGURA 15 – ATAQUE POR FABRICAÇÃO
São muitos os métodos de ataque, aliás, eles só são limitados pela imaginação,
aqui serão somente referenciados alguns dos mais frequentes. Não pense que
só pessoas com mentes de gênio são capazes de o fazer, hoje em dia existe muita
informação que está disponível livremente na internet acessível a qualquer curioso.
Quanto mais desprotegido se encontrar um sistema, mais são as formas de o atacar
sem necessidade de se ser um hacker experiente.
FONTE: <https://www.cert.br/stats/incidentes/2020-jan-jun/tipos-ataque.png>.
Acesso em: 4 nov. 2020.
35
• Scan – um dos ataques com maior incidência, são varreduras em redes de
computadores. Em geral, tem o intuito de identificar quais computadores
estão ativos e quais serviços estão sendo disponibilizados por eles. É utilizado
por atacantes para identificar potenciais alvos, pois permite associar possíveis
vulnerabilidades aos serviços habilitados em um computador. Os serviços são
basicamente aplicações em um computador que podem possuir diferente portas
de rede, endereços e/ou funcionalidades. Quando, por exemplo, um atacante
apenas realiza uma varredura, através de ferramentas específicas, para mapear
as portas que são utilizadas e estão abertas no servidor web do Call Center.
• DoS – outro ataque com grande incidência, é o ataque de negação de serviço (do
inglês, DoS). O atacante utiliza um computador ou um conjunto de computadores
para tirar de operação um serviço, computador ou rede. A ação, em geral, é realizada
por uma sobrecarga na comunicação com o serviço. Por exemplo, um atacante gera
um tráfego imenso de requisições, através de ferramentas específicas, no servidor
web do Call Center.
• Worm – é um verme, um tipo de malware, que interfere e infecta os programas
de computadores. Essas atividades maliciosas em geral são relacionadas com o
processo automatizado de propagação de códigos maliciosos na rede. Quando por
exemplo, um atacante invade o servidor web do Call Center, e coloca um worm no
código da funcionalidade de cadastro, e quando alguém é cadastrado, vai um e-mail
com as informações para o atacante.
• Invasão – um ataque bem-sucedido que resulte no acesso não autorizado a um
computador ou rede. Por exemplo, um atacante apenas realiza o acesso não
autorizado, através de ferramentas específicas, ao servidor web do Call Center, com
o intuito de visualizar os dados cadastrados no servidor.
• Web – um caso particular de ataque visando especificamente ao comprometimento de
servidores Web ou até mesmo páginas na internet que são modificadas. Quando, por
exemplo, um atacante acessa o código fonte da página da internet do Call Center, com
o intuito de “pixar” o site e comprometer as informações de contato do Call Center.
• Fraude – esta categoria engloba as notificações de tentativas de fraudes, ou seja,
de incidentes em que ocorre uma tentativa de obter vantagem. Por exemplo, um
atacante apenas roubas as informações do servidor web do Call Center.
• Outros – notificações de incidentes que não se enquadram nas categorias anteriores.
Agora vamos falar sobre os passos típicos de um ataque. Os passos típicos para um
ataque (STALLINGS, 2010), são descritos na Figura 17, basicamente, a escolha de um alvo,
obtém informações, uso de ferramentas contra o alvo e exploração dos resultados.
36
FIGURA 17 – PASSOS TÍPICOS DE UM ATAQUE
37
RESUMO DO TÓPICO 2
Neste tópico, você adquiriu certos aprendizados, como:
38
• Os ataques são os conjuntos de ações conduzidas por uma entidade não autorizada
visando às violações de segurança.
• Os passos típicos para um ataque, podem ser elencados em quatro fases: a pessoa
escolhe o alvo; obtém informações; usa de ferramentas contra o alvo; e faz a
exploração dos resultados.
39
AUTOATIVIDADE
1 As ameaças à segurança da informação têm crescido enormemente. As redes do
governo públicas e privadas têm sido invadidas por usuários não autorizados e por
programas maldosos. Sobre o conceito de ameaça, assinale a resposta INCORRETA:
40
a) ( ) Os ataques são os conjuntos de ações conduzidas por uma entidade não
autorizada visando as violações de segurança.
b) ( ) Os ataques são os conjuntos de ações conduzidas por uma entidade autorizada
visando uma maior segurança.
c) ( ) Os ataques são os conjuntos de ações conduzidas por uma entidade não
autorizada visando uma maior segurança.
d) ( ) Os ataques são os conjuntos de oportunidades para as violações de segurança.
e) ( ) Os ataques é probabilidade de um evento acontecer com a autorização de um
agente de segurança.
4 Os ataques são os conjuntos de ações conduzidas por uma entidade não autorizada
visando às violações de segurança. Os ataques podem ser classificados ainda como:
ativos e os passivos. Os ataques passivos são aqueles que não alteram a informação,
nem mesmo o fluxo normal da informação no canal sob escuta. Sobre a ataques ativos,
é CORRETO afirmar:
41
42
UNIDADE 1 TÓPICO 3 -
FUNDAMENTOS DAS VULNERABILIDADES
1 INTRODUÇÃO
O gerenciamento de vulnerabilidades não é um tópico novo, embora, hoje em dia,
tenha se tornado um processo importante dentro das organizações. O aparecimento
e a evolução constante de novas ameaças externas e internas são um desafio de
gestão. A exploração de vulnerabilidades por uma nova ameaça introduz um risco para
a organização que o gerenciamento de vulnerabilidades se compromete a mitigar.
43
1- Compreender os requisitos de segurança da informação estabelecendo políticas
e objetivos.
2- Implementar e operar os controles para o gerenciamento dos riscos de segurança da
informação no contexto do negócio.
3- Monitorar e realizar a análise crítica do desempenho e eficácia da segurança, com
base na melhoria contínua.
Na gestão da segurança da informação pode ser adotado o ciclo PDCA (do inglês,
Plan-do-Check-Act), que é implementado em seus processos. A Figura 18 apresenta
o ciclo PDCA onde por um lado, como entrada do ciclo, tem-se as expectativas e os
requisitos de segurança da informação das partes interessadas no ambiente. O próprio
ciclo como processo de Planejar, Fazer, Checar e Agir. E, do outro lado, como saída do
processo, o gerenciamento da segurança da informação no contexto abordado (ISO/
IEC 27001, 2006).
NOTA
Ciclo PDCA é um método interativo de gestão de quatro
passos, utilizado para o controle e melhoria contínua
de processos e produtos.
3 VULNERABILIDADES
Neste subtópico, caro acadêmico, você conhecerá os conceitos relacionados
com as vulnerabilidades sobre os sistemas de tecnologia da informação.
IMPORTANTE
Uma vulnerabilidade pode ser definida como uma
fraqueza em um sistema que permita a realização
e a concretização de um ataque a um sistema
computacional (STALLINGS, 2010).
45
número de maneiras possíveis que um invasor pode tentar explorar para realizar um
ataque bem-sucedido, incluindo todos os protocolos, interfaces, softwares e serviços
implementados. Por exemplo, a superfície de ataque em um carro, poderia ser uma porta
destravada, um vidro aberto, alarme desativado, entre outros. Assim, é possível verificar
que um ladrão tentaria roubar o carro mais facilmente. Neste contexto, administrar a
superfície de ataque seria perceber essas vulnerabilidades e protegê-las mitigando os
riscos de algum invasor explorá-las (SÊMOLA, 2014).
ATENÇÃO
Conheça mais sobre a ENISA na página da internet
https://www.enisa.europa.eu/.
A ISACA (do inglês, Information Systems Audit and Control Association) conecta
a vulnerabilidade ao risco da estrutura de TI, definindo, assim como uma fraqueza no
projeto, a implementação, operação ou controle interno.
46
ATENÇÃO
Conheça mais sobre a ENISA na página da internet
https://www.enisa.europa.eu/.
47
DICA
Ameaças são quaisquer eventos que explorem vulnerabilidades, com
potencial de causar incidentes indesejados, resultando em danos para
a organização (DANTAS, 2011).
48
IMPORTANTE
Um ataque de exploração de vulnerabilidades ocorre quando um atacante,
utilizando-se de uma vulnerabilidade, tenta executar ações maliciosas, como
invadir um sistema, acessar informações confidenciais, disparar ataques contra
outros computadores ou tornar um serviço inacessível (CERT.BR, 2020).
A vulnerabilidade, por si só, não causa danos, ela precisa estar ligada a uma
ameaça que possa explorá-la. Assim, uma vulnerabilidade que não possui ameaça
não requer um controle imediato, porém ela deve ser monitorada. Assim, os exemplos
apresentados mostram a você, acadêmico, que um controle sendo operado de forma
errada, implementado incorretamente ou com mau funcionamento pode ser considerado
uma vulnerabilidade (ISO/IEC 27005, 2018).
• Identificação de ativos – com ativos, você define tudo o que tem valor ou representa
utilidade para a empresa e, portanto, deve ser protegido. Descreve os componentes
que, se atacados com êxito, geram uma perda. Podemos falar de recursos físicos
(por exemplo, poder de computação ou largura de banda da rede) e lógicos (por
exemplo, serviços ou aplicativos). Estabelecer o valor de um recurso é uma atividade
não trivial; uma abordagem possível seria considerar o custo da reconstrução se um
recurso estiver comprometido.
• Identificação de ameaças – deve identificar um conjunto de eventos capazes
de causar danos à empresa. Exemplos possíveis são a perda de dados confidenciais, a
alteração ou bloqueio de serviços. Para cada ameaça é importante identificar o ponto
de origem, os pré-requisitos necessários em termos de direitos e recursos, as ações
que devem ser executadas para alcançar seus objetivos e as consequências em caso
de sucesso.
• Identificação de vulnerabilidades – uma vulnerabilidade representa um defeito
no design, na implementação de um componente ou nos controles de segurança
do sistema que podem ser explorados, intencionalmente ou não, por uma ameaça de
violação do sistema. O resultado dessa fase é gerar uma lista de vulnerabilidades dos
componentes do sistema, as ameaças que poderiam usá-los e as ações necessárias
para explorar a vulnerabilidade.
49
DICA
Conheça mais sobre o projeto da OWASP visitando o
seu site em: https://owasp.org/.
DICA
Conheça mais sobre o projeto da WASC visitando o seu
site em: http://www.webappsec.org/.
NOTA
Cibercriminoso – é um criminoso virtual, tem relação há um crime cometido
através da Internet, das redes de comunicação, de computadores.
50
• Recursos para gestão de vulnerabilidades, devidamente, identificados e atualizados.
• Definir prazos para reação em caso e identificação de vulnerabilidades.
• Analisar os riscos inerentes e ações tomadas após identificar a vulnerabilidade técnica.
• Analisar os riscos inerentes de correções novas quanto a sua instalação.
• Manter registro de auditoria dos procedimentos realizados.
• Monitoramento e avaliação periódica do processo de gestão de vulnerabilidade.
• Aliar o processo de gestão de vulnerabilidade técnica com o de gestão de incidentes.
• Procedimentos necessários para vulnerabilidades identificadas, mas que não tenham
um controle eficaz.
Ainda nesse contexto de software, a norma ISO/IEC 27002 fala também sobre
a restrição da instalação de software, que é uma funcionalidade que traz grande
vulnerabilidade para a organização. A norma cita diretrizes como, a política de restrição
de instalação para certos tipos de software, onde a organização pode definir quais tipos
de softwares podem ou não ser instalados nos computadores. Outra medida é a política
de privilégio que pode ou não permitir que um usuário tenha permissão para instalar
softwares. A medida relacionada à política de instalação de software é necessária, pois
a instalação descontrolada pode causar vulnerabilidades e automaticamente ferir os
princípios de segurança da informação (ISO/IEC 27002, 2013).
51
Ao longo dos anos, surgiram várias organizações, como o Projeto Aberto de
Segurança em Aplicações Web – OWASP (do inglês, Open Web Application Security Project)
e o Consórcio de Segurança de Aplicações Web – WASC (do inglês, Web Application Security
Consortium), para oferecer um ponto de referência para entender os problemas de segurança
inerentes aos serviços da Web. Os sites gerenciados por essas organizações permitem o
acesso a uma quantidade considerável de informações sobre as vulnerabilidades mais
difundidas, os principais ataques que permitem que sejam exploradas e quais são as
contramedidas que devem ser tomadas para limitá-las. Também existem guias para
evitar problemas de segurança, com o objetivo ambicioso de educar os programadores
para adquirir um estilo de programação mais seguro. Algumas dessas organizações, em
particular o WASC, também tentam definir um padrão de referência para a classificação de
vulnerabilidades (SÊMOLA, 2014; NIST, 2012).
Por outro lado, existem diversas inciativas importantes para você, acadêmico,
conhecer a identificação de vulnerabilidades. Um dos padrões conhecidos pela
comunidade, indústria e pessoas em geral, para identificação de vulnerabilidades em
ambientes computacionais é chamado de Vulnerabilidades e Exposições Comuns
– CVE (do inglês, Common Vulnerabilities and Exposures). Esse padrão pode ser
considerado um dicionário das vulnerabilidades e tem por objetivo a identificação e o
desenvolvimento de ferramentas voltadas à busca das vulnerabilidades em ambientes
de tecnologia da informação.
DICA
Conheça mais sobre o projeto CVE na página
http://cve.mitre.org/about/index.html.
Você, acadêmico, pode conhecer mais sobre o projeto da CVE na sua página da
internet, que é apresentado na Figura 21.
52
FIGURA 21 – PÁGINA DO PROJETO CVE
53
FIGURA 22 – A LISTA DO OWASP TOP 10 DE 2017
NOTA
Conheça mais sobre os dez riscos mais críticos de segurança de
aplicativos da Web do projeto da OWASP visitando o endereço:
https://wiki.owasp.org/images/0/06/OWASP_Top_10-2017-pt_pt.pdf.
54
FIGURA 23 – EXEMPLO DE INJEÇÃO SQL
55
8- A8. Desserialização Insegura (do inglês, Insecure Deserialization) – esta falha
permite a execução remota de código. A falha pode ocorrer quando o desenvolvedor
expõe uma referência à implementação interna de um objeto, permitindo que o
atacante manipule essas referências para o acesso de dados não autorizados. Com
isso pode ocorrer ataques de repetição, de injeção, e de escalonamento de privilégios.
9- A9. Utilização de Componentes Vulneráveis Conhecidas (do inglês, Using
Components with Known Vulnerabilities) – a vulnerabilidade é explorada quando se
faz o uso de componentes que possuem vulnerabilidades conhecidas. Em geral,
esses componentes são bibliotecas, estruturas ou módulos que possuem privilégios
elevados. Os componentes podem ser explorados ocorrendo perdas de dados ou
comprometimento dos servidores.
10- A10. Registro e Monitorização Insuficiente (do inglês, Insufficient Logging &
Monitoring) – em conjunto com uma resposta a incidentes inexistente ou insuficiente
permite que os atacantes possam abusar do sistema de forma persistente. Essa falha
permite que o atacante possa alterar, extrair ou destruir dados.
Você, acadêmico, ainda pode ficar curioso pela abrangência das vulnerabilidades,
e quais delas são mais importantes para o devido cuidado. A Figura 24 apresenta uma
estatística sobre os tipos de vulnerabilidades ocorrem mundialmente como as Top 10
que mais acontecem segundo o monitoramento da OWASP. Basicamente, podemos
observar que os três principais tipos de vulnerabilidades são a Configuração de
Segurança Incorreta, o XSS e a Quebra de Autenticação.
56
DICA
As Top 10 ameaças traiçoeiras de computação em nuvem podem
ser consultadas em: https://cloudsecurityalliance.org/download/top-
threats-cloud-computing-plus-industry-insights/.
DICA
As Top 10 vulnerabilidades em IoT podem ser consultadas em:
https://www.owasp.org/index.php/Top_10_IoT_Vulnerabilities_(2014).
57
LEITURA
COMPLEMENTAR
SOBRE RISCO EM TI
• Os riscos podem vir a acontecer no futuro; já que ainda não ocorreram. Eles podem
se transformar em um problema, caso ocorram.
• Os problemas já estão ocorrendo no presente; requerem uma solução imediata.
Risco inerente: nível de risco ao qual se estaria exposto caso não houvesse
nenhum controle implantado.
Probabilidade: possibilidade de ocorrência do evento.
Vulnerabilidade: ausência, inadequação ou deficiência em uma fonte de risco,
a qual pode vir a contribuir com a concretização de um evento indesejado.
Categorias
58
• Conformidade: riscos externos ao controle direto do TJPR, mas que ainda assim
podem afetar o sucesso das metas e ação (dependência de outras áreas do TJPR/
CNJ, reestruturação organizacional, suporte organizacional, mudanças no governo,
mercado e tecnologias etc.). Os riscos externos podem ser aceitos, pois independem
de ação direta do Ibama.
• Tecnologia: riscos relacionados a problemas técnicos em hardware, software ou
outra solução de informática (apontamento genérico).
• Infraestrutura de TI: riscos relacionados a problemas técnicos em hardware,
software, ou demais equipamentos de TI (exige conhecimento técnico para definir
esta categoria).
• Software: riscos relacionados a problemas técnicos em um software específico
(exige conhecimento técnico para definir esta categoria).
• Escopo: riscos relacionados ao assunto escopo de um projeto, exemplo: indefinições,
alterações constantes, sem validação.
• Cliente/Usuário: riscos relacionados a clientes ou usuários de algum projeto, por
exemplo: indefinição, representante ausente, sem comprometimento.
Gerenciamento de RISCOS
59
A ERM (Enterprise Risk Management) Gestão de Risco Corporativos é um
processo conduzido em uma organização pelo Conselho de Administração (CA),
diretoria e demais colaboradores, aplicado no estabelecimento de estratégias,
formuladas para identificar em toda a organização eventos em potencial, capazes de
afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco
da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.
ETAPAS:
1- Identificação de Riscos
Este processo consiste em levantar os prováveis riscos que podem afetar o negócio,
a execução de projetos de TIC, e documentar suas características.
Aconselha-se a utilizar uma escala não linear, a fim de dar maior peso a eventos
com alta probabilidade, em detrimento de eventos com baixa probabilidade.
60
TABELA 1 – SUGESTÃO DE ESCALA DE PROBABILIDADE DE OCORRÊNCIA DE DETERMINADO
EVENTO / RISCO (ESTIMATIVA)
61
TABELA 3 – MATRIZ DO NÍVEL DO RISCO OU CRITICIDADE, COM O PRODUTO DA
PROBABILIDADE PELO IMPACTO
62
◦ Aceitar passivamente o risco: simplesmente não fazer nada e torcer para que o
risco não venha a acontecer; ou prever que o risco exigirá resposta, mas não será
preciso reservar recursos adicionais.
◦ Aceitar ativamente o risco: desenvolver planos alternativos (Contingência) caso venha a
ocorrer. Neste caso, será necessária alocação de valores monetários.
63
• Comunicação
64
RESUMO DO TÓPICO 3
Neste tópico, você adquiriu certos aprendizados, como:
• Uma vulnerabilidade é uma fraqueza que pode ser explorada por um agente de ameaças,
como um invasor, para executar ações não autorizadas em um sistema de computador.
• As vulnerabilidades que afetam sistemas web, são estudadas e listadas pela fundação
OWASP.
• A OWASP organizada uma lista com as dez vulnerabilidades mais críticas intitulada de
OWASP Top 10.
65
• O Projeto Aberto de Segurança em Aplicações Web – OWASP (do inglês, Open Web
Application Security Project) e o Consorcio de Segurança de Aplicações Web – WASC
(do inglês, Web Application Security Consortium) são referência no entendimento de
problemas de segurança.
66
AUTOATIVIDADE
1 A gestão da segurança da informação, de acordo com a norma ISO/IEC 27001:2013,
visa estabelecer, implementar, operar, monitorar e analisar criticamente a decisão
estratégica de uma organização. Sobre a gestão, qual ciclo é adotado?
a) ( ) É uma fraqueza que pode ser explorada por um agente de ameaças, como um
invasor, para executar ações não autorizadas em um sistema de computador.
b) ( ) É um risco que pode ser explorado por um agente de risco, como uma pessoa
autorizada em um sistema de computador.
c) ( ) São elementos que têm a condição de explorar vulnerabilidades e causar
problemas a sistemas de informação e redes de computadores.
d) ( ) É diferença entre a probabilidade de um evento e de suas consequências.
e) ( ) É um agente de ameaças, como um invasor, para executar ações autorizadas em
um sistema de computador.
3 A vulnerabilidade, por si só, não causa danos, ela precisa estar ligada a uma ameaça
que possa explorá-la. O padrão conhecido pela indústria para identificação de
vulnerabilidades de ambientes computacionais é chamado:
67
a) ( ) Injection – Ocorre quando dados e consultas não confiáveis são enviadas para o
interpretador do banco de dados.
b) ( ) Worm – Notificações de atividades maliciosas relacionadas com o processo
automatizado de propagação de códigos maliciosos na rede.
c) ( ) DoS – Notificações de ataques de negação de serviço, onde o atacante utiliza
um computador tirar de operação um serviço, computador ou rede.
d) ( ) Invasão – Um ataque bem-sucedido que resulte no acesso não autorizado a um
computador ou rede.
c) ( ) Web – Um caso particular de ataque visando especificamente ao
comprometimento de servidores Web ou desfigurações de páginas na internet.
68
REFERÊNCIAS
BAARS, H. et al. Fundamentos de segurança da informação: com base na ISO
27001 e na ISO 27002. Rio de Janeiro: BRASPORT, 2018.
CVE, Common Vulnerabilities and Exposures, 2020. [On-line]. Disponível em: https://
cve.mitre.org/. Acesso em: 1 jun. 2020.
DENG, M. A privacy threat analysis framework: supporting the elicitation and fulfilment
of privacy requirements. Requirements Engineering, v. 16, n. 1, p. 3-32, mar. 2011.
ENISA, The European Union Agency for Cybersecurity. c2020. Disponível em:
enisa.europa.eu/about-enisa. Acesso em: 4 nov. 2020.
IETF/RFC 4949, Internet Security Glossary, Version 2. 2007. Disponível em: https://
datatracker.ietf.org/doc/rfc4949/. Acesso em: 4 nov. 2020.
ISACA, Information Systems Audit and Control Association, 2020. [Online]. Disponível
em: https://www.isaca.org/. Acesso em: 1 jun. 2020.
69
ISO/IEC. 31000:2009, Risk Management. 2009. Disponível em: https://www.iso.org/
standard/43170.html. Acesso em: 4 nov. 2020.
NIST (National Institute of Standards and Technology). Guide for Conducting Risk
Assessments – Information Security. 2012. Disponível em: https://nvlpubs.nist.gov/
nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf. Acesso em: 4 nov. 2020.
OWASP, Open Web Application Security Project, 2020. [Online]. Disponível em: https://
owasp.org/. Acesso em: 1 jun. 2020.
SHOSTACK, A. Threat modeling: Designing for Security. New Jersey: Wiley, 2014.
70
UNIDADE 2 —
TIPOS E FERRAMENTAS
PARA ANÁLISE DE
VULNERABILIDADES
OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, você deverá ser capaz de:
PLANO DE ESTUDOS
Esta unidade está dividida em três tópicos. No decorrer dela, você encontrará
autoatividades com o objetivo de reforçar o conteúdo apresentado.
CHAMADA
Preparado para ampliar seus conhecimentos? Respire e vamos em frente! Procure
um ambiente que facilite a concentração, assim absorverá melhor as informações.
71
CONFIRA
A TRILHA DA
UNIDADE 2!
Acesse o
QR Code abaixo:
72
UNIDADE 2 TÓPICO 1 —
PRINCIPAIS TIPOS DE VULNERABILIDADES
1 INTRODUÇÃO
Caro acadêmico! Na Unidade 1, você se dedicou a aprender que a segurança
da informação é alcançada graças à implementação de elementos que promovam a
mitigação dos riscos aos quais os ambientes de TI das empresas estão sujeitos. Pôde
compreender que riscos associados a ameaças e ataques podem vir a se concretizar à
medida que vulnerabilidades são exploradas.
2 TIPOS DE VULNERABILIDADES
Conforme você aprendeu até aqui, vulnerabilidades são definidas como
fraquezas, condições que, quando exploradas, tornam um sistema suscetível a ataques,
que podem resultar em alguma violação de segurança.
73
Para Martinelo e Bellezi (2014) podemos organizar as vulnerabilidades de
sistemas computacionais nos seguintes tipos: software, hardware, humanas, físicas
e naturais.
NOTA
Keylogger são softwares maliciosos capazes de capturar tudo o
que se digita em um teclado.
Ainda, Mather (2012, p. 3, tradução nossa, grifo do autor) apresenta dois tipos
de vulnerabilidades definidas: as vulnerabilidades de infraestrutura ou de rede, e as
vulnerabilidades de aplicativo ou software:
74
• Infraestrutura: “qualquer falha ou fraqueza na defesa da rede que poderia ser explorada
para obter acesso não autorizado, danos ou de outra forma afetar uma rede”.
• Aplicativo: “uma fraqueza em um aplicativo, seja uma falha de design ou um bug de
implementação, que permite que um invasor cause danos às partes interessadas de
um aplicativo”.
Software
Hardware
75
Veja, na sequência, algumas vulnerabilidades comumente conhecidas e
relacionadas a aplicações web, já apresentadas anteriormente a você na Unidade 1
(POPESCU, s.d.; RIBERA, [s.d.]):
• SQL Injection.
• Injeção de Comandos.
• Cross Site Scripting (XSS).
• Negação de serviço (DoS – Denial of Service).
• Estouro de buffer.
• Inclusão de arquivo remoto/local.
• Referências inseguras e diretas a objetos.
76
• No primeiro semestre de 2020 foram encaminhadas ao CERT.br 318.697 notificações
relacionadas à exploração de vulnerabilidades.
• No mesmo período foram encaminhadas 1.397 notificações de vulnerabilidades
graves (zero days), relacionadas a servidores e elementos de rede no espaço de
internet brasileiro que poderiam ser exploradas remotamente.
Após fazermos esta avaliação, fica fácil compreender porque não nos é
suficiente saber que a vulnerabilidade existe, mas saber definir de qual vulnerabilidade
se trata. Sem o estabelecimento de um processo que nos auxilie a classificar ou
mesmo enumerar um objeto de estudo, no nosso caso, as vulnerabilidades, está-se
sujeito ao risco de se cometer enganos na comunicação. Classificar ou enumerar torna
mais fácil diferenciar elementos entre si (MALERBA, 2010).
NOTA
“Vulnerabilidade do dia zero” é o termo utilizado por Ribera ([s.d.], p. 8,
tradução nossa, grifo do autor) para definir vulnerabilidades para as quais
“[...] não existe uma solução ‘conhecida’, mas é conhecido como explorá-la.”.
Chivers (2019, tradução nossa) complementa mencionando que “[...] é uma
falha de segurança de software conhecida pelo seu fornecedor, mas que
não possui um conserto imediato para fixar essa falha”.
Conforme você acabou de estudar, vários são os fatores que justificam a busca
por uma padronização na classificação de vulnerabilidades, incluindo (SEACORD, 2005
apud MALERBA, 2010, p. 22, grifo do autor):
77
• O entendimento das ameaças que elas representam;
• Correlacionamento de incidentes, de exploits e de artefatos;
• Avaliação da efetividade das ações de defesa;
• Descoberta de tendências de vulnerabilidades.
GIO
Exploit, do inglês exploração. Na bibliografia especializada, você encontrará
com muita frequência o termo em inglês quando estiver falando em
exploração de vulnerabilidades.
IMPORTANTE
Vale ainda mencionar que “Métricas, relativas à gravidade e ao impacto,
também estão disponíveis e são empregadas no auxílio às instituições
nas tomadas de decisões” (MALERBA, 2010, p. 22), destacando-se nesse
sentido o CVSS (Common Vulnerability Scoring System – Sistema de
Pontuação de Vulnerabilidades Comuns) e o CWSS (Common Weakness
Scoring System – Sistema de Pontuação de Fraquezas Comuns).
78
3.1 CVE
Surgido em 1999, o CVE é um projeto instigado pelo MITRE, que estabeleceu
a padronização para a identificação das vulnerabilidades de forma única, sendo hoje
considerado o esquema de enumeração de vulnerabilidades mais difundido (ENISA,
2019; MALERBA, 2010).
Antes da criação do CVE, pelo fato de não existir um formato único para a
identificação de vulnerabilidades, cada organização recorria aos seus próprios bancos de
dados com seus nomes de vulnerabilidades. Veja no Quadro 2 um exemplo de como as
organizações se referiam a uma mesma vulnerabilidade antes do CVE (MALERBA, 2010).
Assim, o CVE então se trata de “[...] uma lista de identificadores comuns para
vulnerabilidades de segurança cibernética publicamente conhecidas” (CVE, 2019, s.p.,
tradução nossa), que fornece uma solução a esses problemas.
79
NOTA
Fazendo uso de uma comparação simplista, o CVE identifica de forma
única as vulnerabilidades que são divulgadas, assim como livros são
identificados de forma única pelo seu ISBN (International Standard Book
Number) (ENISA, 2019).
“O CVE Entries também fornece uma linha de base para avaliar a cobertura de
ferramentas e serviços para que os usuários possam determinar quais ferramentas são
mais eficazes e adequadas para as necessidades de sua organização” (CVE, 2019, s.p.,
tradução nossa).
80
FIGURA 1 – RESULTADO DE BUSCA NA CVE LIST
NOTA
“Outros esquemas de numeração incluem o Boletim de Segurança
da Microsoft (MS), o Banco de Dados de Vulnerabilidade (SSV) da
Seebug e o Aviso de Segurança da VMWare (VMSA)” (ENISA, 2019, p.
7, tradução nossa).
81
Vamos agora compreender como cada um dos elementos apresentados no Quadro
3 é definido para uma vulnerabilidade em uma CVE Entry.
As referências são essenciais CVE Entry, pois identificam sua fonte, além de
apontar o conteúdo relevante para a vulnerabilidade. É importante que as referências
estejam disponíveis para o público (CVE, 2020a).
• FONTE é uma palavra-chave alfanumérica, por exemplo, APPLE, CERT, URL, entre
outras.
• NOME é uma linha de texto ASCII que pode incluir espaços e dois pontos.
82
IMPORTANTE
“Sempre que possível, o NOME é selecionado para facilitar as pesquisas
no site da FONTE. Para referências que não possuem um identificador
bem definido, uma data de lançamento e/ou cabeçalho de assunto pode
ser incluída” (CVE, 2020b, tradução nossa).
83
FIGURA 4 – REFERÊNCIA CERT:CA-1989-01 PARA A VULNERABILIDADE COM CVE ID CVE-1999-1471
Por fim, os CVE ID são atribuídos pelas CNA, que são organizações autorizadas a
fazer esta atribuição garantindo confiança no compartilhamento de informações sobre as
vulnerabilidades (CVE, 2019; ENISA, 2019).
IMPORTANTE
“O Programa CVE não credita pessoas ou organizações que descobrem
vulnerabilidades” (CVE, 2020a, tradução nossa).
84
3.2 CWE
Conforme você acabou de estudar, com seu surgimento, o CVE auxiliou a
promoção de um formato padronizado para se identificar vulnerabilidades. No entanto, a
classificação das vulnerabilidades identificadas não fazia parte de seu objetivo primordial.
Desses três, merece aqui destaque o PLOVER, criado pelo MITRE em colaboração
com o DHS (US. Department of Homeland Security – Departamento de Segurança Interna
dos Estados Unidos da América) e o NIST (National Institute of Technology – Instituto
Nacional de Tecnologia). Trata-se de um framework conceitual que permite a verificação
das vulnerabilidades em vários níveis. Mais de 1400 vulnerabilidades identificadas pelo
CVE foram classificadas utilizando o PLOVER (MALERBA, 2010).
IMPORTANTE
O CWE está fortemente fundamentado na classificação feita pelo PLOVER,
mas também segue os padrões fornecidos pelos outros sistemas de
classificação anteriormente mencionados, CLASP e Seven Pernicious
Kingdoms (MALERBA, 2010).
Assim, por definição, a CWE “[...] é uma lista desenvolvida pela comunidade de
tipos de fraquezas de software e hardware. [...] serve como uma linguagem comum, [...]
uma linha de base para a identificação de fraquezas, mitigação e esforços de prevenção”
(CWE, 2020b, tradução nossa).
85
NOTA
“‘Fraquezas’ são falhas, bugs, ou outros erros na implementação de
software ou hardware, código, design ou arquitetura que, se deixados
sem solução, podem resultar em sistemas, redes ou hardware
vulneráveis a ataques” (CWE, 2020a, tradução nossa).
Uma vez que você já tenha compreendido o que é a CWE e seu objetivo junto
à indústria de hardware e software é importante agora verificarmos como é organizada
a lista CWE. Quando lançada em 2006, a CWE listava apenas as fraquezas de software;
com o passar dos anos, porém, as preocupações relacionadas à segurança de hardware
cresceram fazendo com que fossem acrescentadas à lista CWE em 2020 (CWE, 2020a).
NOTA
Até agosto de 2020 estava registrado no site
do CWE um total de 891 fraquezas.
Em termos gerais, a lista CWE pode ser acessada a partir de três diferentes
visualizações: desenvolvimento de software, design de hardware e conceitos
de pesquisa. As duas primeiras visualizações organizam as fraquezas por conceitos
que são frequentemente usados ou encontrados no desenvolvimento de software e
design de hardware respectivamente. Já a visão de conceitos de pesquisa organiza as
fraquezas de acordo com seu comportamento (CWE, 2020a).
86
FIGURA 6 – VISUALIZAÇÃO DESENVOLVIMENTO DE SOFTWARE DA LISTA CWE
87
FIGURA 8 – DETALHAMENTO DE UM CWE DE CATEGORIA
88
Finalmente, os CWEs de fraqueza são atribuídos às fraquezas propriamente
ditas (CWE, 2020c). A Figura 10 mostra o CWE-242: Use of Inherently Dangerous
Function (Uso de Função Inerentemente Perigosa), pertencente à categoria CWE-
1228 API/Function Errors, apresentada anteriormente na Figura 8, da visão de
desenvolvimento de software.
89
RESUMO DO TÓPICO 1
Neste tópico, você adquiriu certos aprendizados, como:
• Ainda não se pode afirmar que existe uma única forma correta para se classificar
vulnerabilidades.
• A CWE tem como objetivo servir como uma definição padrão na prevenção dos tipos
de vulnerabilidades que possam afetar software e hardware.
90
AUTOATIVIDADE
1 A análise de vulnerabilidades possui ferramentas eficazes que produzem resultados
importantes sobre falhas de segurança, apesar disso o raciocínio crítico aplicado para
análises manuais, também é um ingrediente importante da análise. Nesse contexto, analise
as sentenças relacionadas às vulnerabilidades nos sistemas computacionais e assinale a
alternativa CORRETA:
91
3 Vulnerabilidades são geradas por ativos organizacionais não humanos e ativos de
natureza computacional (hardware ou software), e apesar desses dois elementos
geradores serem de natureza diferente, e algumas vezes as falhas humanas
ocorrerem por uma inconsistência computacional, é importante entender como essas
vulnerabilidades podem ser identificadas. Dessa forma, é importante que existam
formas de se identificar e classificar as vulnerabilidades, nesse contexto classifique V
para as sentenças verdadeiras e F para as falsas:
( ) As classificações Cisco Systems e IBM ERS são duas das mais usadas na indústria de
software e que servem como base para classificações menos importantes como o CVE.
( ) A lista CWE, que teve origem na lista CLASP, organiza fraquezas de natureza
de hardware.
( ) A lista CWE, que teve origem a partir dos estudos do PLOVER, organiza fraquezas
de natureza de hardware e software.
( ) A lista CVE é um artefato de natureza pública com foco na segurança cibernética.
92
( ) Oferece um parâmetro para a identificação e mitigação de fraquezas,
prevenindo, assim, potenciais explorações de tais fraquezas por parte de
indivíduos mal-intencionados.
93
94
UNIDADE 2 TÓPICO 2 -
FERRAMENTAS PARA ANÁLISE DE
VULNERABILIDADES
1 INTRODUÇÃO
Caro acadêmico! À medida que seus estudos evoluíram até aqui, você já
estudou sobre os esforços desenvolvidos por entidades não somente para identificar
e classificar vulnerabilidades, mas também para fornecer um vocabulário comum aos
profissionais para que possam saber como tratá-las quando são encontradas.
Nesse sentido, buscar por vulnerabilidades passa a ser uma tarefa crítica não
somente por se tratar de uma decisão de negócios que envolve custo e riscos, mas
porque encontrá-las e compreendê-las tornará mais fácil traçar uma estratégia de ação e,
consequentemente, priorizar suas respostas (SELLITTO, 2017).
95
Para solucionar cenários como este há ferramentas apropriadas que auxiliam na
identificação das vulnerabilidades presentes no ambiente (LINS, 2017). Esses recursos são
conhecidos como analisadores ou scanners de vulnerabilidade.
Assim, um scanner de vulnerabilidade pode realizar uma busca por portas para
verificar “[...] quais estão abertas para tentar obter informações sobre o serviço que está sendo
executado naquele momento e com esta informação procurar por vulnerabilidades
associadas precisamente a esses serviços” (CASTRO et al., 2018, p. 45, tradução nossa).
96
É por conta de situações como esta que se torna necessária “[...] a supervisão de um
especialista em segurança para comprovar, depois da execução do analisador, quais são
realmente vulnerabilidades e quais não são” (ORUETA et al., 2014, s.p.).
Por esta razão, nas próximas seções, você será apresentado a algumas das
ferramentas de análise de vulnerabilidades disponíveis, sendo elas: Nessus, Openvas,
Acunetix, GFI Languard e Nexpose.
97
2.1 NESSUS
Considerado um dos scanners de vulnerabilidade mais populares da atualidade,
o Nessus (https://pt-br.tenable.com/products/nessus) é uma ferramenta de análise de
vulnerabilidades comercial, mantida e desenvolvida pela empresa Tenable Network
Security (https://pt-br.tenable.com/about-tenable/about-us).
Por ser tratar de uma ferramenta comercial, o Nessus é distribuído sob licença
paga (Nessus Professional). No entanto, existe a possibilidade de realizar o download
gratuito da versão Nessus Essentials (https://pt-br.tenable.com/products/nessus/
nessus-essentials), versão com algumas limitações de recursos, para uso doméstico
e acadêmico.
98
IMPORTANTE
O Nessus foi a ferramenta de análise de vulnerabilidades escolhida para que
possamos demonstrar seu uso e configuração. Você verá os resultados do
uso do Nessus mais adiante neste tópico.
2.2 OPENVAS
Desenvolvido e mantido pela empresa Greenbone Networks desde 2009, o
OpenVAS é um scanner de vulnerabilidade bastante abrangente e poderoso, incluindo
entre seus recursos testes autenticados e não autenticados, vários protocolos de alto
e baixo nível, permitindo a realização de varreduras em um ambiente de avaliação
adequado (GODINHO, 2016; MARTINELO; BELLEZI, 2014; OPENVAS, 2020).
99
OpenVAS possui código aberto, distribuído sob licença GNU GPL (GNU General
Public License), contando com uma comunidade em crescimento, que contribui para a
melhoria da ferramenta.
NOTA
O OpenVAS foi desenvolvido a partir de uma derivação do Nessus, depois
que passou a ser de distribuição comercial (GODINHO, 2016; MARTINELO;
BELLEZI, 2014; OPENVAS, [2020]).
2.3 ACUNETIX
Acunetix (https://www.acunetix.com/) é um scanner de vulnerabilidades em
web sites e APIs web, seguindo as principais falhas estabelecidas pelo OWASP Top Ten
(CASTRO et al., 2018).
100
FIGURA 13 – INTERFACE GRÁFICA DO ACUNETIX
NOTA
Distribuído comercialmente sob três formatos de licença, é possível baixar
uma versão de demonstração a partir do site da ferramenta.
101
FIGURA 14 – INTERFACE DE STATUS DE AVALIAÇÃO DO GFI LANGUARD
NOTA
Distribuído comercialmente com valores que variam de acordo com a
quantidade de nodos que se deseja verificar, o GFI Languard pode ser
baixado para testes por trinta dias.
2.5 NEXPOSE
Nexpose (https://www.rapid7.com/products/nexpose/) é um scanner de
vulnerabilidades criado e mantido pela empresa Rapid7, criadora da ferramenta de
pentest Metasploit. A possibilidade do Nexpose de interagir diretamente com o Metasploit
permite a exploração de vulnerabilidades, uma de suas vantagens (CASTRO et al., 2018).
102
ESTUDOS FUTUROS
Sobre pentests (penetration tests ou testes de invasão) você estudará o que
são e seus tipos na Unidade 3.
103
Conforme você já estudou, o Nessus figura entre os mais conhecidos scanners
de vulnerabilidade. Possui uma arquitetura cliente/servidor, disponibilizando acesso
HTTPS no lado cliente, e compatibilidade com sistemas operacionais Windows, Linux,
Mac OS, FreeBSD e Solaris no lado servidor. Desta forma, o Nessus pode ser acessado
sem dificuldades a partir de um navegador.
NOTA
“[...] o Nessus tinha seu código aberto até 2005. A partir de 2008 sua
licença foi modificada, criando uma versão comercial. Sua versão
gratuita foi mantida, mas restringida apenas para o uso doméstico”
(SECTOOLS, 2012 apud MARTINELO; BELLEZI, 2014, p. 40).
ESTUDOS FUTUROS
O detalhamento sobre como você deverá proceder para efetuar o download
da ferramenta e sua configuração para uso será apresentado na Unidade 3.
Uma vez instalado, você terá acesso ao Nessus via navegador, informando login
de administrador e senha, a partir da porta 8834, conforme apresentado na Figura 16.
104
FIGURA 16 – PÁGINA DE ACESSO AO NESSUS ESSENTIALS
105
FIGURA 18 – LISTA MYSCANS
106
FIGURA 20 – SCAN EM CURSO
107
FIGURA 22 – GRÁFICO DE VULNERABILIDADES ENCONTRADAS
Severidade Descrição
Crítica A pontuação CVSSv2 de vulnerabilidade mais alta é 10
Alta A pontuação CVSSv2 de vulnerabilidade mais alta é entre 7 e 9,9
Média A pontuação CVSSv2 de vulnerabilidade mais alta é entre 4 e 6,9
Baixa A pontuação CVSSv2 de vulnerabilidade mais alta é entre 0,1 e 3,9
A pontuação CVSSv2 de vulnerabilidade mais alta é 0 ou não
Info
encontrou por vulnerabilidades
FONTE: Adaptado de <https://docs.tenable.com/tenablesc/Content/RiskMetrics.htm>.
Acesso em: 21 jan. 2021.
NOTA
CVSS é um padrão mantido pela FIRST (Forum of Incident Response and
Security Teams – Fórum de Equipes de Resposta e Segurança a Incidentes)
que, a partir das características de uma vulnerabilidade atribui a ela uma
pontuação que reflete seu grau de severidade, auxiliando as organizações a
avaliar e priorizar a gestão de vulnerabilidades (FIRST, [entre 2015 e 2020]).
108
A partir do acesso à aba Vulnerabilities é possível verificar a lista das
vulnerabilidades encontradas no scan. As vulnerabilidades são identificadas pela escala
de cor, nome, e família (plugin) a que pertencem (Figura 23).
Um clique sobre uma das vulnerabilidades permite acesso aos seus detalhes,
como descrição, solução e informações sobre riscos associados, conforme mostra a
Figura 24.
109
É possível também acessar as vulnerabilidades encontradas para um host
específico. Nesse caso, deve-se proceder clicando sobre o host que se deseja consultar
(lista de resultado do scan apresentada na Figura 21). Uma lista de vulnerabilidades
para o host selecionado é apresentada (Figura 25). Da mesma forma que mencionado
anteriormente, o clique sobre uma das vulnerabilidades dá acesso aos detalhes da mesma.
110
FIGURA 26 – VISÃO GERAL DO SCANNER HEALTH
111
RESUMO DO TÓPICO 2
Neste tópico, você adquiriu certos aprendizados, como:
112
AUTOATIVIDADE
1 Ambientes corporativos podem representar um ecossistema computacional,
contendo perfis diferenciados de usuários e aplicações das mais variadas plataformas,
que precisa ser salvaguardado de vulnerabilidades. Nesse contexto, analise as
sentenças relacionadas às vulnerabilidades nos sistemas computacionais e assinale
a alternativa CORRETA:
113
Assinale a alternativa CORRETA:
a) ( ) V – V – V – F.
b) ( ) F – V – V – V.
c) ( ) V – F – V – F.
d) ( ) V – V – F – F.
I- Ferramentas SSCA são mais indicadas para a busca de códigos maliciosos embutidos
em aplicações de terceiros tanto na linguagem na qual a aplicação foi desenvolvida
quanto baseada nas vulnerabilidades mais conhecidas.
114
II- Ferramentas de vulnerabilidades em aplicações em tempo real são mais comuns no
mercado e utilizam como base de dados uma coleção de vulnerabilidades conhecidas
que pode ser atualizada com o passar do tempo.
III- Ferramentas de vulnerabilidades em aplicações em tempo real são mais indicadas
para a busca de códigos maliciosos embutidos em aplicações de terceiros tanto na
linguagem na qual a aplicação foi desenvolvida quanto baseada nas vulnerabilidades
mais conhecidas.
IV- Ferramentas de vulnerabilidades em aplicações em tempo real não são comuns no
mercado, pois, ao utilizarem como base de dados uma coleção de vulnerabilidades
conhecidas, tornam-se desatualizadas com o passar do tempo.
115
116
UNIDADE 2 TÓPICO 3 -
FUNDAMENTOS SOBRE O AMBIENTE
1 INTRODUÇÃO
Caro acadêmico! Você estudou, no Tópico 2 desta unidade, a importância do
uso de uma ferramenta de análise de vulnerabilidades em um sistema ou ambiente
computacional.
Você percebeu que estas ferramentas são executadas em uma máquina que estará
conectada a outras em uma rede, as chamadas máquinas alvo. O scanner testará esses
alvos basicamente disparando eventos sobre eles de modo a verificar quais serão bem-
sucedidos, ou seja, quais identificarão alguma vulnerabilidade (LINS, 2017).
Isso é possível porque essas ferramentas comparam os resultados dos testes com
listas de vulnerabilidades conhecidas, como CVE, por exemplo, permitindo a identificação
das vulnerabilidades encontradas no sistema e fornecendo um diagnóstico de como
proceder para corrigi-las.
Uma vez que você já viu a ferramenta em ação, neste tópico, apresentaremos os
passos para a instalação e configuração da ferramenta de análise de vulnerabilidades
Nessus Essentials, o ambiente sobre o qual a ferramenta realizará varreduras em
busca de eventuais vulnerabilidades e apresentação de resultados, em complemento à
apresentação prática feita anteriormente no Tópico 2.
A partir dos testes com uma ferramenta torna-se possível não somente
ampliar seus conhecimentos sobre falhas de segurança e os eventuais tipos de
vulnerabilidades que possam existir no ambiente testado, mas também permite
conhecer mais sobre as ferramentas disponíveis, suas limitações e grau de
aprofundamento das varreduras realizadas.
117
De maneira geral, as ferramentas de análise de vulnerabilidade funcionam sem a
necessidade de conhecimento prévio do ambiente onde serão executadas. Em primeira
instância as ferramentas precisam de uma rota na rede entre elas e as máquinas alvo
(LINS, 2017).
Uma vez que você tenha definido o ambiente onde realizará as varreduras e
também a ferramenta de análise que utilizará, é comum iniciar com uma varredura de
portas para cada IP alvo, a fim de verificar se a máquina responde e aceita conexões.
Uma vez que esteja de posse dessa lista de máquinas, o scanner retorna e realiza
uma varredura mais completa para determinar portas abertas para conexão. Então
verificações de vulnerabilidades são executadas contra cada uma dessas portas para
que a ferramenta possa verificar qualquer retorno inesperado que possa caracterizar
algum risco (LINS, 2017).
Assim, o ambiente para a realização dos testes com o Nessus Essentials é uma
rede doméstica, composta por um roteador, dois dispositivos notebook com Windows 8 e 10,
e dois smartphones Android. As duas máquinas contam com a instalação de ferramentas
antivírus Kaspersky e não contêm atualizações pendentes.
118
FIGURA 28 – SITE DA EMPRESA TENABLE
119
NOTA
A versão Professional é distribuída comercialmente sob aquisição de licença.
A Tenable disponibiliza uma licença de sete dias para testes desta versão.
120
FIGURA 31 – PÁGINA DE DOWNLOAD DA FERRAMENTA NESSUS ESSENTIALS APÓS REGISTRO
FONTE: Os autores
FONTE: Os Autores
121
FIGURA 33 – INSTALAÇÃO NESSUS
FONTE: Os autores
Caso seja a primeira vez que você esteja instalando o Nessus, além do processo
de instalação da ferramenta em si, será necessário realizar a instalação do driver
WinPcap (Figura 34).
FONTE: Os autores
122
Terminada a instalação o Nessus é executado no navegador a partir da porta
8834. A página de boas-vindas do Nessus é apresentada, listando as versões do Nessus
para que se dê prosseguimento às configurações da ferramenta. Selecione a opção
Nessus Essentials para continuar (Figura 35).
NOTA
Ao acessar o Nessus no navegador um aviso sobre problema de privacidade
na conexão é exibido. Esse é um comportamento esperado, pois o Nessus
fornece um certificado SSL autoassinado (TENABLE, 2020a).
Selecionada a opção, você será direcionado para a página de registro (Figura 36)
onde você deverá informar o código de ativação enviado por e-mail.
123
FIGURA 36 – PÁGINA DE REGISTRO
124
FIGURA 38 – DOWNLOAD DOS PLUGINS
NOTA
“A TenableResearch publicou 149.792 plugins, cobrindo 60.054 IDs CVE [...]”
(TENABLE, 2020b, tradução nossa).
125
Ao acessar o Nessus Essentials pela primeira vez é apresentada sua página
inicial, com a opção de menu superior Scan habilitada, conforme Figura 40.
IMPORTANTE
O detalhamento sobre o menu lateral esquerdo e os botões foram
anteriormente apresentados a você no Tópico 2.
126
Uma vez que você já tenha se familiarizado com a interface do Nessus Essentials,
é chegado o momento de verificarmos como proceder para iniciar uma verificação de
vulnerabilidades. Para isso procederemos com a configuração de uma nova varredura a
partir do botão New Scan (Figura 42).
127
FIGURA 44 – TEMPLATES SELECIONADOS
128
FIGURA 46 – CONFIGURAÇÃO BASIC → SCHEDULE
129
automática ou se o scan será executado pelo usuário – on demand) e a informação da
última modificação. No caso de nosso exemplo, preferimos não agendar o scan para
execução automática. Então, para executá-lo, basta clicar no botão de reprodução
(Launch), conforme pode ser observado na Figura 48.
131
FIGURA 52 – RESULTADO DO SCAN
132
LEITURA
COMPLEMENTAR
COMMON VULNERABILITY SCORING SYSTEM V3.1: DOCUMENTO
DE ESPECIFICAÇÃO
FONTE: <https://www.first.org/cvss/calculator/3.1>.
133
RESUMO DO TÓPICO 3
Neste tópico, você adquiriu certos aprendizados, como:
• O Nessus Essentials possui templates que nos permitem configurar mais facilmente
vários tipos de varreduras.
134
AUTOATIVIDADE
1 Deve existir uma reciprocidade entre as ferramentas de análise de vulnerabilidade e o
ambiente corporativo no sentido de a ferramenta estar mais, ou menos, integrada ao
ambiente, isto é, configurada para executar uma análise da maneira mais criteriosa
e eficiente possível. Sobre o ambiente para a execução de uma ferramenta para a
análise de vulnerabilidades, assinale a alternativa CORRETA:
135
d) ( ) Todos os tipos de dispositivos conectados de alguma forma à rede do ambiente,
inclusive os portáteis (celulares, wearables – dispositivos vestíveis, entre outros) de
uso pessoal dos usuários não podem ser ignorados, pois apesar de elementos de
caráter mais pessoal, eles podem representar potenciais ameaças para o ambiente
uma vez que executam softwares conectados à rede corporativos da empresa.
( ) O Nessus Essentials é uma versão indicada para uso profissional, pessoal e também
para finalidades acadêmicas.
( ) O Nessus Essentials é uma versão indicada para uso pessoal e também para
finalidades acadêmicas.
( ) O Nessus Essentials possui relatórios com as mesmas características da versão
Professional.
( ) O Nessus Essentials não possui relatórios com as mesmas características da versão
Professional.
136
Assinale a alternativa CORRETA:
a) ( ) As sentenças III e IV estão corretas.
b) ( ) As sentenças I e II estão corretas.
c) ( ) As sentenças I e III estão corretas.
d) ( ) As sentenças II e IV estão corretas.
137
REFERÊNCIAS
ACUNETIX. Find, fix, and prevent vulnerabilities. 2020. Disponível em: https://
www.acunetix.com/. Acesso em: 11 nov. 2020.
CHIVERS, K. Zero-day vulnerability: what it is, and how it works. 2019. Disponível
em: https://us.norton.com/internetsecurity-emerging-threats-how-do-zero-day-
vulnerabilities-work-30sectech.html. Acesso em: 9 nov. 2020.
CVE. Common Vulnerabilities and Exposures. About CVE. 2019. Disponível em: https://
cve.mitre.org/about/index.html. Acesso em: 14 out. 2020.
CVE. Common Vulnerabilities and Exposures. CVE-1999-0067. 1999. Disponível em: https://
cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0067. Acesso em: 14 out. 2020.
CWE. Common Weakness Enumeration. About CWE: overview: what is CWE? 2020a.
Disponível em: https://cwe.mitre.org/about/index.html. Acesso em: 14 out. 2020.
138
CWE. Common Weakness Enumeration. About CWE: frequently asked questions.
2020c. Disponível em: https://cwe.mitre.org/about/faq.html#cwe_list_basics. Acesso
em: 14 out. 2020.
MARTIN, R. A.; CHRISTEY, S. M.; JARZOMBEK, J. The case for common flaw
enumeration. (s.d.). Disponível em: https://cwe.mitre.org/documents/case_for_
cwes.pdf. Acesso em: 22 dez. 2020.
139
NESSUS Essentials. Versão 8.12.1. [s.l.]: Tenable Inc., 2020. Disponível em: https://pt-
br.tenable.com/products/nessus. Acesso em: 2 dez. 2020.
140
UNIDADE 3 —
ANÁLISE DE
VULNERABILIDADES
OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, você deverá ser capaz de:
PLANO DE ESTUDOS
Esta unidade está dividida em três tópicos. No decorrer dela, você encontrará
autoatividades com o objetivo de reforçar o conteúdo apresentado.
CHAMADA
Preparado para ampliar seus conhecimentos? Respire e vamos em frente! Procure
um ambiente que facilite a concentração, assim absorverá melhor as informações.
141
CONFIRA
A TRILHA DA
UNIDADE 3!
Acesse o
QR Code abaixo:
142
UNIDADE 3 TÓPICO 1 —
TÉCNICAS DE VARREDURAS DE
VULNERABILIDADES
1 INTRODUÇÃO
Caro acadêmico! A Unidade 2 apresentou a você o mundo das vulnerabilidades
com seus tipos e suas ferramentas de análise. Aliada a esses conhecimentos esteve
a aplicação prática de uma ferramenta de análise de vulnerabilidades como forma de
compreender como ela deve ser utilizada e integrada a um ambiente corporativo.
2 TÉCNICAS DE VARREDURAS
A varredura em redes de computadores é uma forma importante de garantir
a manutenção de serviços e verificar as atividades de hosts (qualquer dispositivo
cliente conectado) em uma grande rede. Para executá-la são usados os chamados
programas de varreduras de portas (Port Scanners ou simplesmente scanners), que
podem ser utilizados não só pelos administradores de redes, mas também por pessoas
mal-intencionadas que queiram explorar vulnerabilidades da rede.
143
Varredura em redes, ou scan, é uma técnica que consiste em
efetuar buscas minuciosas em redes, com o objetivo de identificar
computadores ativos e coletar informações sobre eles como, por
exemplo, serviços disponibilizados e programas instalados. Com
base nas informações coletadas é possível associar possíveis
vulnerabilidades aos serviços disponibilizados e aos programas
instalados nos computadores ativos detectados.
NOTA
É interessante saber que o CERT.br, Centro de Estudos, Resposta
e Tratamento de Incidentes de Segurança no Brasil, “[...] é um dos
serviços prestados para a comunidade Internet do Brasil pelo Núcleo
de Informação e Coordenação do Ponto BR (NIC.br), o braço executivo
do Comitê Gestor da Internet no Brasil (CGI.br)" (CERT.BR, 2012, iii).
Uma varredura não é executada por diversão, mas, principalmente, por questões
de segurança, sendo que um dos pilares da segurança é que a diminuição do número e
da complexidade dos serviços oferecidos reduz a oportunidade de ataques para quebrá-
los. Sabe-se que a exploração de um ataque pode ser frustrada apenas modificando as
portas padrão de serviços usados por aplicações TCP (Trasmission Control Protocol) ou
UDP (User Datagram Protocol), por exemplo (LYON, 2008).
NOTA
Portas são simplesmente uma abstração de software, usadas para
distinguir entre canais de comunicação. Similar à forma como os
endereçamentos IP são usados para identificar máquinas na rede,
portas identificam aplicação específicas em uso em uma máquina. Por
exemplo, o seu navegador web por padrão se conectará na porta TCP
80 de máquinas com URLs HTTP. Se, ao invés disso, você especificar o
protocolo seguro HTTPS, o navegador tentará conectar a porta 443 por
padrão (LYON, 2008, p. 73, tradução nossa).
144
Perceba que existem então, basicamente, duas intenções por aqueles que
executam scanners, uma intenção de manter a segurança e a intenção em quebrar a
segurança dos dispositivos em rede ou da própria rede. Nesse contexto, Cert.br (2012)
aponta que a aplicação de uma varredura para a exploração de vulnerabilidades pode
ocorrer de duas formas:
• Possuir uma autorização por escrito por parte dos representantes da rede alvo, uma
vez que administradores da rede podem reportar ao ISP um relatório de abuso do uso
de scanner.
• No caso de testes de penetração ou intrusão (pentests), a autorização precisa ser
formalizada em uma Declaração de Trabalho para testes em sua companhia, além da
garantia de que essa atividade esteja dentro de uma alçada formalizando uma descrição
de trabalho dentro da companhia.
• Consultores de segurança precisam estar familiarizados com o OSSTMM (Open
Source Security Testing Methodology Manual, Manual de Metodologia de Teste de
Segurança de Código Aberto) que fornece boas práticas para as situações descritas.
Portas são reservadas tanto para serviços comuns como serviços da internet: web,
FTP (File Transfer Protocol), DNS (Domain Name System) e servidores SMTP (Simple
Mail Transfer Protocol), como para outras aplicações mais específicas, como bancos de
dados (Microsoft SQL Server, Oracle, PostgreSQL, entre outros). Assim, ao se determinar
uma porta aberta em um dado host, talvez seja possível mapeá-la para uma aplicação
específica ser executada nesse host (KUROSE; ROSS, 2010).
145
A aplicação de técnicas de varredura permite ao administrador de redes criar
mecanismos de segurança mais efetivos e objetivos contra scripts maliciosos, além de
permitir a avaliação do ambiente ou mesmo a simulação de testes de intrusão. As técnicas
podem ser usadas para a verificação de serviços ativos (portas abertas) ou os programas
que as executam podem agir como falsos clientes para verificação das portas ativas dos
hosts da rede (MELO, 2017).
146
FIGURA 1 – TÉCNICAS CLÁSSICAS DE VARREDURAS BASEADAS EM PORTA
147
2.1 TCP SYN (HALF SCAN)
Trata-se da técnica mais popular – e mais rápida – para varredura de portas TCP.
É mais furtiva do que uma varredura baseada em serviços (conexão) e funciona bem contra
toda pilha TCP padrão (LYON, 2008). A Figura 2 apresenta uma varredura de porta usando
a técnica TCP SYN, do grupo Half Scan. Melo (2017) ressalta que a rapidez se dá devido à
varredura, e não requerer um handshake completo, já que um datagrama SYN é enviado
simulando uma conexão real para testar a atividade da porta. Nesse caso, um TCP SYN/
ACK (acknowledgement) indica que uma porta está "ouvindo" e no caso do TCP RST (reset)
há o indicativo contrário.
FIGURA 2 – VARREDURA DA PORTA 22 (SSH) ABERTA E DA PORTA 113 (SERVIÇOS ANTIGOS COMO IRC –
INTERNET RELAY CHAT)
148
FIGURA 3 – VARREDURA DA PORTA 22 (SSH) ABERTA E FECHADA
149
IMPORTANTE
Serviços importantes para a infraestrutura da internet como DNS,
SNMP (Simple Network Management Protocol), e DHCP (Dynamic Host
Configuration Protocol) (registrados nas portas 53, 161/162, e 67/68,
respectivamente) utilizam esse protocolo. Assim, falhas em serviços UDP
podem ser exploradas (LYON, 2008).
NOTA
Para mais detalhes sobre a publicação RFC 793, acesse:
https://tools.ietf.org/html/rfc793.
150
2.4.1 TCP FIN (STEALTH)
A lógica dessa técnica prevê que um host, ao receber um pacote contendo um
TCP FIN, não responde (pacote TCP FIN ignorado), indicando uma porta aberta. Caso
contrário, ele responde com um TCP RST, indicando um serviço inativo (porta fechada)
(SOBRAL, 2016). A Figura 5 apresenta o modelo de comportamento para o uso da técnica
TCP FIN.
151
2.4.2 TCP XMAS TREE (STEALTH)
A varredura Xmas Tree (árvore de Natal) tem um comportamento semelhante
ao da técnica TCP FIN, na qual um host não fornece uma resposta indicando serviços
ativos e quando fornece uma resposta TCP RST, esta indica uma porta aberta. A Figura 7
apresenta o modelo de comportamento para o uso da técnica TCP Xmas Tree.
152
2.5 TCP ACK (STEALTH)
Essa técnica se baseia em utilizar um datagrama TCP ACK (que não pertence
a nenhuma comunicação estabelecida entre hosts, isto é, um datagrama órfão) que
obtenha como resposta um RST para as ocorrências de porta aberta e porta fechada.
Logo, a condição dessa técnica é nunca determinar um estado de "aberto", pois ela é
usada para mapear conjuntos de regras de firewalls, verificando o seu estado, com o
host que "disparou" o ACK, recebendo um estado de conexão negada ou rejeitada, por
exemplo (LYON, 2008; MELO 2017).
153
2.6. TCP WINDOW
Essa técnica é conhecida como a varredura da janela do interruptor e, assim
como a sua prima TCP ACK, utiliza-se de um pacote ACK durante uma varredura.
Contudo, o objetivo da técnica TCP Window é mais específico, pois busca identificar
portas protegidas de um firewall. Ela também permite a identificação do estado das
portas (aberto ou fechado) em certos hosts, sendo que para tanto considera a existência
de uma resposta desses hosts na forma de um datagrama RST. Já a existência de
firewalls depende da ausência de uma resposta, ou da existência de uma resposta ICMP
3 por parte do host, para configurar a existência desse firewall (LYON, 2008; MELO, 2017).
154
Agora que você já se familiarizou com algumas das técnicas de varreduras, o
próximo subtópico traz alguns exemplos e aplicações de como as técnicas apresentadas
podem ser utilizadas através de alguns scanners.
INTERESSANTE
A ferramenta Nmap mereceu uma participação como ator coadjuvante
em um dos filmes da célebre trilogia Matrix, o filme Matrix Reloaded.
Nele, a personagem Trinity realiza o roteamento de um sistema usando
a ferramenta. Ela, então, identifica que a porta 22 (serviço SSH – Secure
Socket Shell) está aberta e utiliza um programa explorador para desligar o
sistema de uma usina elétrica (MELO, 2017).
155
Além disso, conforme mencionado, muitos sistemas operacionais de plataforma
livre (como Linux e BSD, por exemplo) trazem os pacotes do Nmap de forma nativa
sendo apenas necessário instalá-los (LYON, 2008).
IMPORTANTE
Aponte o Nmap para uma máquina remota e
ele poderá lhe dizer que as portas 25/tcp, 80/
tcp e 53/udp estão abertas. Utilizar o banco
de dados nmap-services, com cerca de 2.200
serviços bastante conhecidos, do Nmap iria
relatar que aquelas portas provavelmente
correspondem a um servidor de correio
eletrônico (SMTP), a um servidor de páginas
web (HTTP) e a um servidor de nomes (DNS)
respectivamente. Essa pesquisa normalmente
é precisa. [...] Entretanto, você não deveria
apostar a sua segurança nesta informação!
As pessoas podem e executam serviços em
portas estranhas (NMAP.ORG, [c2021, s.p.]).
156
3.1.1 Varredura de uma grande rede para uma porta
TCP específica
A varredura de uma grande rede pode ser necessária se, por exemplo, você
desejar encontrar rapidamente todas as máquinas em uma rede TCP que possui uma
porta específica aberta. Isso pode acontecer após a publicação de um grande fabricante
de um servidor web informar que uma nova vulnerabilidade foi encontrada em seu
software servidor. Dessa forma, você precisa realizar uma varredura tendo como alvo a
porta padrão TCP 80 reservada aos servidores web, ou até mesmo uma varredura para
verificar a existência de algum backdoor em portas como a 31337 (LYON, 2008).
NOTA
"Backdoor é um programa que permite o retorno de um invasor a um
computador comprometido, por meio da inclusão de serviços criados
ou modificados para este fim" (CERT.BR, 2012, p. 28). Alguns tipos de
programas maliciosos varrem as redes buscando serviços entre as
portas 31337 e 31340. Essas portas são denominadas de "elite" pelos
exploradores maliciosos (RED HAT ENTERPRISE LINUX, 2020).
• -PN: esta opção estabelece que o Nmap deve pular o comando de ping e escanear todos
os hosts indicados.
• -oG (grepable format output): esse formato ajusta a saída de cada host em uma linha
única, tornando fácil a busca por portas abertas.
• %D: indica que o nome do arquivo de log contendo as informações da varredura será
criado contendo a data atual do sistema.
157
3.1.2 Aplicação da técnica TCP CONNECT
No subtópico anterior, você aprendeu algumas técnicas de varreduras aplicáveis.
O Nmap oferece suporte a várias delas, uma de cada vez. Para determinar qual das técnicas
de varredura será utilizada, deve-se utilizar o comando -s<C>, onde -s indica que será
aplicada uma técnica específica, e <C> corresponde ao “caractere proeminente” do
nome da técnica, sendo este geralmente o primeiro.
158
QUADRO 3 – EXEMPLOS DE VARREDURAS TCP SYN USANDO O NMAP
Uma maneira direta para executar no Nmap esse tipo de varredura é feita através
do comando apresentado no 5. A situação representa a busca em uma faixa de números
IP em uma versão particular para o sistema gerenciador de bancos de dados MySQL.
• sV: detecção de versão, usado para diferenciar portas que estão realmente abertas
das portas filtradas.
160
IMPORTANTE
Proxy: servidor que atua como
intermediário entre um cliente e outro
servidor. Normalmente é utilizado em
empresas para aumentar o desempenho
de acesso a determinados serviços ou
permitir que mais de uma máquina
se conecte à Internet. Quando mal
configurado (proxy aberto) pode ser
abusado por atacantes e utilizado para
tornar anônimas algumas ações na
Internet, como atacar outras redes ou
enviar spam (CERT.BR, 2012, p. 119).
161
Onde (LYON, 2008):
NOTA
"Interceptação de tráfego, ou sniffing, é uma técnica que consiste em
inspecionar os dados trafegados em redes de computadores, por meio
do uso de programas específicos chamados de sniffers" (CERT.BR, 2012,
p. 19, grifo do autor).
162
RESUMO DO TÓPICO 1
Neste tópico, você adquiriu certos aprendizados, como:
• A aplicação de uma técnica de varredura pode ter uma finalidade legítima ou maliciosa.
163
AUTOATIVIDADE
1 As técnicas de varredura oferecem muitas utilidades para os usuários de uma rede,
pois permitem testar o estado de portas de comunicações dos seus dispositivos,
avaliar a existências de programas intrusos, além de verificar a versão das aplicações
que executam sobre essa rede, entre outras. Com base nessas afirmações sobre as
técnicas de varredura, assinale a alternativa CORRETA:
( ) Serviços em execução significam portas abertas enquanto que portas abertas, não
necessariamente indicam um serviço executando.
( ) Qualquer serviço de rede só pode executar se a sua porta de comunicação estiver aberta.
( ) Vulnerabilidade é o que se refere a uma classificação de uma limitação na qual uma
pessoa ou processo pode acessar, negar acesso a outras ou esconder a si mesmo
ou ativos dentro de um escopo.
( ) Serviços em execução e portas abertas são sinônimos, pois uma porta aberta
também significa um serviço executando.
164
3 Existem vários modos de execução para as técnicas clássicas de varredura, modos
mais ou menos sutis, ou mais ou menos intrusivo, com todas as técnicas tendo objetivo
em verificar o estado de portas de comunicação, e até mesmo o estado, ou versão, de
programas e aplicações mais complexas, como sistemas de bancos de dados. Acerca
dos conceitos sobre as técnicas de varreduras, analise as sentenças a seguir:
I- Uma vulnerabilidade pode ser visualizada como um estado atual dos limites percebidos, e
conhecidos, para canais, operações e controles em um ambiente de rede.
II- Técnicas de varredura podem prevenir, mas não expor, possíveis negações de acesso
aos recursos da rede para pessoas ou processos autorizados.
III- Técnicas de varredura podem prevenir, mas não expor, possíveis permissões de acesso
privilegiado a ativos para pessoas ou processos não autorizados.
IV- Técnicas de varreduras são necessárias devido a incapacidade de funcionamento
dos mecanismos de proteção serem suas próprias limitações.
4 As técnicas clássicas de varredura podem ser executadas, de uma maneira geral, de duas
formas, na sua forma mais intrusiva ou de uma forma menos intrusiva. Essa forma de
execução tem impacto nos objetivos de cada uma delas que vão desde a verificação do
estado de portas de comunicação até na verificação do estado, ou versão, de programas
e aplicações como sistemas de bancos de dados. Assim, tendo como premissa os
conceitos sobre as técnicas de varreduras, analise as sentenças a seguir:
I- As varreduras TCP FIN, TCP XMAS e TCP NULL são funcionais para exploração de
sistemas Microsoft e não Microsoft.
II- Uma grande vantagem da técnica de varredura TCP Connect é a não necessidade
de obter privilégios de rede para a sua execução.
III- A técnica de varredura UDP indica uma porta supostamente FECHADA, se um host
alvo não responder ao datagrama enviado a ele, caso contrário, retorna uma mensagem
de erro do tipo ICMP código 3 o que indica uma porta ABERTA.
IV- Apesar das varreduras TCP FIN, TCP XMAS e TCP NULL não serem aplicáveis aos
sistemas Windows, isso cria um ambiente com um cenário específico para a tentativa
de uma exploração, já que o explorador tem certeza de que o ambiente em questão
se trata de um ambiente Windows.
165
5 Os objetivos de uma técnica de varredura podem variar entre a simples verificação
do estado de uma porta de comunicação até uma verificação mais complexa como a
avaliação do estado, ou versão, de um sistema de banco de dados. Com base nessas
informações, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Uma desvantagem da técnica de varredura TCP ACK é que ela não distingue entre
portas abertas e fechadas.
( ) A técnica de varredura TCP Window, diferentemente da técnica TCP ACK, não pode
ser usada para caracterizar o estado de um firewall.
( ) A técnica de varredura TCP SYN pode ser usada para situações como a apresentada
no caso "3.1.1 VARREDURA DE UMA GRANDE REDE PARA UMA PORTA TCP
ESPECÍFICA".
( ) A execução da varredura dada pelo comando "nmap -sT -F -p20-143 192.168.100.1-
254" tende ser mais rápida do que a executada pelo comando "nmap -sT -p20-143
192.168.100.1".
166
UNIDADE 3 TÓPICO 2 -
VULNERABILIDADES ON-LINE
1 INTRODUÇÃO
Caro acadêmico! A expressão "estar conectado" está cada vez mais presente
no cotidiano das pessoas, uma vez que suas necessidades (pessoais, profissionais,
acadêmicas, de entretenimento, entre outras) estão de uma forma, ou de outra,
atreladas a um ambiente on-line. Assim, pode-se pensar que grande parte das
atividades realizadas pelos seres humanos podem ser realizadas pela internet:
compras em sítios de e-commerce, pedidos de supermercados, comunicação com
a família, reuniões profissionais, assistir a um filme, ler um livro, entre tantas outras.
Paralelo a isso nascem conceitos como WoT (Web of Things, Web das Coisas) que
surge com a intenção de fornecer padrões de interoperabilidade entre diferentes aplicações
e plataformas da IoT (Internet of Things, Internet das Coisas) e padrões da indústria como
a Indústria 4.0 com os seus autômatos conectados via rede. Percebe-se com isso que
o estado de "estar conectado" iniciou um processo que aparentemente não possui um
horizonte ainda definido, isto é, tecnologias, e também necessidades que desconhecemos,
podem surgir e dar ainda mais sentido a esse estado de "estar conectado".
167
QUADRO 7 – VULNERABILIDADES DE APLICAÇÕES WEB MENOS CONHECIDAS
Ao nos depararmos com uma lista como esta, mantida pela OWASP, podemos
perceber que ao se construir qualquer tipo de aplicação com foco nas tecnologias
web, devemos dar uma atenção muito especial para o componente segurança. Em
acréscimo, Luz (2011) ressalta não ser incomum que soluções de software seja aquelas
desenvolvidas para o ambiente desktop e posteriormente portadas para web, seja aquelas
desenvolvidas originalmente para essa plataforma, ignoram o requisito segurança.
168
Ao longo da Unidade 1 e Unidade 2 você foi apresentado a algumas instituições
que se dedicam às questões relacionadas à quebra de segurança no ambiente
computacional. Nesta subtópico especificamente, você será apresentado a algumas
outras instituições que se dedicam a avaliar quais tipos de vulnerabilidades on-line são
mais comuns e como ocorrem.
NOTA
A Fortinet lida com a segurança digital de grandes empresas,
provedores de serviço e organizações governamentais ao redor do
globo, contando com mais de 450.000 clientes (FORTINET, c2020).
Informações críticas sobre ameaças on-line globais podem ser obtidas a partir
do ISTR (Internet Security Threat Report, Relatório de Ameaças à Segurança na Internet),
relatório anual de segurança da Symantec (pertencente à empresa Broadcom).
Desta forma, por se tratar de uma publicação tão importante para a área de
segurança, apresentaremos na sequência alguns dados retirados dos ISTR desde
2013 até 2019, para que você possa verificar a evolução das tendências relacionadas a
ameaças e ataques on-line.
169
O ISTR apontou o ano de 2013 como o ano das megabrechas (do inglês
megabreaches) com mais de 10 milhões de identidades de usuários expostas e um
crescimento de mais de 700% em relação ao ano de 2012 (SYMANTEC, 2014). O Quadro
9 apresenta os dez tipos de informações mais violadas, apontadas no ISTR daquele ano,
enquanto a Figura 13 apresenta o aumento vertiginoso das identidades expostas de
2012 para 2013.
1) Nomes Reais
2) Datas de Nascimento
3) Números de Documentos de Identificação (Seguro Social)
4) Endereços Residenciais
5) Arquivos Médicos
6) Números de Telefones
7) Informação Financeira
8) Endereços de E-mail
9) Nomes de Usuários e Senhas
10) Seguro
FONTE: Symantec (2014, p. 12, tradução nossa)
170
FIGURA 14 – DECRÉSCIMO DAS VULNERABILIDADES MÓVEIS
INTERESSANTE
"Cavalo de troia, trojan ou trojan-horse, é um programa que, além
de executar as funções para as quais foi aparentemente projetado,
também executa outras funções, normalmente maliciosas, e sem o
conhecimento do usuário" (CERT.BR, 2012, p. 28, grifo do autor).
171
No tocante a ataques a sítios web, o ISTR apontou que em 2013 quase 67%
dos sítios web usados na propagação de malware foram identificados como legítimos e
comprometidos. Sítios de tecnologia somaram 10% dessa atividade maliciosa, com 7%
para os sítios relacionados a negócios e 5% relatados como sítios de hospedagem. Em
paralelo, 73% dos ataques baseados em navegadores foram provenientes de sítios web
usando servidores proxy na forma anônima com o restante dos ataques encontrados
em sítios de blogues envolvendo explorações de vulnerabilidades em navegadores
(SYMANTEC, 2014).
INTERESSANTE
"Atacantes geralmente precisam encontrar e explorar uma
vulnerabilidade em um sítio web legítimo para assumir o controle e
plantar seu programa malicioso dentro do mesmo" (SYMANTEC, 2014,
p. 22, tradução nossa).
172
O ISTR apontou também que um dos recursos usados pelos exploradores de
vulnerabilidades foram os chamados kits de ferramentas para ataques web, como o
Blackhole. De uma maneira geral, o que os exploradores buscam é algum tipo de benefício
monetário explorando as vulnerabilidades na web, sendo bem organizados em seus
ataques e tendo posse de uma sofisticada rede de distribuição maliciosa como infraestrutura.
Com isso, eles buscam comprometer computadores, configurá-los e administrá-los para
as mais variadas atividades maliciosas, sendo também possível o aluguel desses
equipamentos comprometidos para outros criminosos digitais (SYMANTEC, 2014).
A Figura 17 apresenta os dez kits de ferramentas mais usados para a exploração de
vulnerabilidades em ataques web.
173
Um destaque positivo do ano de 2013 apontado pelo ISTR foi a queda das
vulnerabilidades dos navegadores mais populares entre os usuários da web entre os anos de
2011 e 2013, como mostra a Figura 18. Percebe-se que o navegador Opera possui a menor
quantidade de vulnerabilidades seguida pelo Safari, enquanto os navegadores Firefox e
Chrome permanecem com uma quantidade significativa nos anos de 2012 e 2013.
INTERESSANTE
Bot é um programa que dispõe de mecanismos
de comunicação com o invasor que permitem
que ele seja controlado remotamente.
Possui processo de infecção e propagação
similar ao do worm, ou seja, é capaz de se
propagar automaticamente, explorando
vulnerabilidades existentes em programas
instalados em computadores (CERT.BR, 2012,
p. 26, grifo do autor).
174
INTERESSANTE
Phishing, phishing-scam ou phishing/scam, é
o tipo de fraude por meio da qual um golpista
tenta obter dados pessoais e financeiros de um
usuário, pela utilização combinada de meios
técnicos e engenharia social. O phishing ocorre
por meio do envio de mensagens eletrônicas
[...] (CERT.BR, 2012, p. 10, grifo do autor).
• Fake offers: tratam-se de scams (golpes) que representam eventos falsos ou grupos
que oferecem incentivos do tipo cartões de presente grátis nos quais os usuários
compartilham suas credencias com os atacantes.
• Manual sharing: nesses scams as vítimas são induzidas a compartilhar vídeos
intrigantes, ofertas falsas ou mensagens com seus amigos.
• Like jacking: esses scams se valem de falsos botões "Like" que após clicados por
um usuário instalam algum tipo de malware no seu dispositivo, podendo inclusive
afetar algum news feed (transmissão eletrônica de notícias) do usuário, através de
uma postagem, espalhando assim o ataque.
• Fake plug-in: nesses scams um usuário é enganado ao realizar um download com
falsas extensões de navegadores em suas máquinas. Essas extensões, passando-se
por legítimas, roubam informações privadas dos usuários quando instaladas.
• Fake App: através desses scams os usuários são levados a se inscrever em aplicações
que supostamente são integradas com alguma rede social. Isso permite que o atacante se
aposse de credenciais ou outros dados pessoais dos usuários.
175
Já em 2017, o ISTR destacou a explosão dos ataques de mineração de moedas,
nos quais os criminosos aproveitaram a explosão da exploração desse novo tipo de
ativo digital (as chamadas criptomoedas). O ano de 2017 foi como uma corrida do ouro
digital, que resultou em um aumento de 8.500% nas detecções de mineradores das
criptomoedas (SYMANTEC, 2019).
A IoT e a WoT também têm destaque sendo alvos dos ataques web tendo como
foco roteadores e câmeras computando 75% e 15% dos ataques tendo o malware Mirai
se valendo de ataques de negação de serviço para esse fim (SYMANTEC, 2019).
176
INTERESSANTE
"Formjacking é quando criminosos cibernéticos injetam um código
JavaScript malicioso para obter acesso a um sítio web e assumir a
funcionalidade de página e coletar informações confidencias dos
usuários" (GORRIE, c2020, s.p., tradução nossa).
177
FIGURA 23 – MÉDIA DE ATAQUES WEB POR MÊS NO ANO DE 2010
178
• Crescentes ameaças cibernéticas;
• Crescentes índices de crimes cibernéticos;
• Boas iniciativas em segurança cibernética, porém fragmentadas;
• Falta de alinhamento macropolítico e estratégico nas ações de segurança cibernética; e
• Baixa maturidade da sociedade em segurança cibernética.
Os kits para ataques web, que se tornaram uma verdadeira sensação em 2013,
passaram por uma chamada engenharia social indo de RAT (Remote Administration
Tool) até os famigerados Creepware, um trojan de acesso remoto que permite
atacantes contralarem seu computador ou dispositivo móvel a distância (CODY, 2017).
Pesquisadores da Universidade de Nova Iorque, a Cornell Tech, e a Norton informaram
terem descoberto centenas de aplicações creepware disponíveis para a plataforma de
dispositivos móveis Android removidos pela Google (HUMPHRIES, 2020; SYMANTEC,
2014).
179
INTERESSANTE
Os exemplos mais famosos de Creepware envolvem o uso de câmeras
e microfones de dispositivos para ver e ouvir as vítimas. Esse tipo de
spyware permite a hackers, criminosos cibernéticos ou curiosos on-line
espionarem sua família ou usar material armazenado com propósitos
ilegais (CODY, 2017).
NOTA
Os produtos da família Echo são dispositivos, baseados na IA (Inteligência
Artificial) Alexa da Amazon, capazes de serem usados e compor o dia a dia do
usuário (caixa de som no formato de um cilindro, anel, fone de ouvido, óculos
inteligentes) (AMAZON, 2019b).
180
modificando o hiperlink garantindo a eles ações como: adicionar ou excluir vídeos
da conta de um usuário, alterar a privacidade dos vídeos de um usuário, ou mesmo
recuperar informações privadas das contas de um usuário (e-mail, data de aniversário,
informações de pagamento, entre outras) (MURPHY, 2020).
<%=HTMLEncoder.encode(((Pessoa)
<c:outvalue=”pessoa.endereco.rua”/>. pessoa).getAddress().getStreet())%>.
Esse trecho de código busca por objetos O script pode traduzir o trecho ao lado
Java representados pelos escopos e pode estar contido na codificação, por
"pessoa", "endereço" e "rua". exemplo, de uma página web referente a
alguma aplicação específica.
FONTE: Adaptado de Di Paola e Dabirsiaghi (c2020, p. 3)
Tomando como base o Quadro 10, um atacante pode "injetar" códigos maliciosos
simulando os escopos apresentados e provocar danos pessoais, ou financeiros aos
usuários da aplicação em questão.
NOTA
Spring Framework é a plataforma Java que
provê uma compreensiva infraestrutura de
suporte para o desenvolvimento de aplicações
Java. O framework trata da infraestrutura e
você mantém o foco na sua aplicação. Spring
permite que você construa aplicação a partir
dos “plainold Java objects” (POJOs) e aplicar
serviços corporativos não invasivos aos
POJOs. Essa capacidade se aplica ao modelo
de programação Java SE e ao Java EE [...]
(JOHNSON et al., c2020, tradução nossa).
181
Gil (2017) apresenta outra forma de se aplicar vulnerabilidades on-line através do
Web Cache Deception Attack. Sítios web frequentemente usam as funcionalidades
promovidas pelo uso de caches como uma forma de reduzir a latência dos servidores
web e aumentar o tempo de resposta às requisições dos usuários. O autor explica que os
artefatos que são armazenados em cache são arquivos públicos estáticos: stylesheets
(css), scripts (js), arquivos de texto (txt), imagens (png, bmp, gif), entre outros.
Esse tipo de ataque ocorre sobre um servidor que reside entre o cliente e o servidor
web, atuando como um mecanismo de cache, afetando tecnologias como frameworks
web e mecanismos de cache. Essa forma de ataque expõe informações privadas
e confidenciais de usuários, e pode evoluir para uma tomada completa de contas de
usuários (GIL, 2017; POPESCU, c2021).
Os passos realizados pelo atacante na Figura 26 podem ser descritos como segue:
182
• 5: O mecanismo de cache recebe o arquivo e identifica que a URL finaliza com a extensão
estática (.png). Uma vez que o mecanismo de cache está configurado para pôr em cache
todos os arquivos estáticos e desconsiderar qualquer cabeçalho de cache, o arquivo
“.png” impostor é então posto em cache. Um novo diretório chamado banco.do é criado
no diretório de cache e o arquivo é armazenado com o nome logo.png.
• 6: O usuário recebe a página de sua conta.
• 7: O atacante acessa https://www.banco.com.br/conta.do/logo.png. A requisição
chega ao servidor proxy, que diretamente retorna a página da conta da vítima
armazenada em cache para o navegador do atacante.
183
RESUMO DO TÓPICO 2
Neste tópico, você adquiriu certos aprendizados, como:
• O foco dos ataques feitos pelos criminosos cibernéticos objetiva tanto dados
pessoais privados de usuários quanto dados de grandes corporações, organizações
ou instituições.
• Existe um conjunto de boas práticas que os usuários finais e o mundo dos negócios
corporativos e públicos podem seguir para mitigar as ameaças de ataques.
184
AUTOATIVIDADE
1 "O crescimento do trabalho remoto reacendeu o interesse dos criminosos
cibernéticos em ataques de força bruta, que são tentativas repetidas e sistemáticas
de adivinhar uma credencial, pelo envio de diferentes nomes de usuário e senhas
na tentativa de acessar um sistema" (FORTINET, 2019, p. 1, tradução nossa). Com
base nessas informações, assinale a alternativa CORRETA:
185
3 Existe uma classe de malware que se trata de "[...] um esquema criminoso para fazer
dinheiro que pode ser instalado através de links enganosos em mensagens de e-mail,
mensagens instantâneas ou sítios web. Essa classe tem a habilidade de travar a tela
de um computador, scripts importantes, ou arquivos predeterminados, liberando-os
através de uso de senha" (KASPERSKY, c2021, s.p. tradução nossa). Com base nessas
informações, assinale a alternativa CORRETA:
4 Esse tópico apresentou o Web Cache DeceptionAttack que atua sobre frameworks
e mecanismos de cache na exploração de suas vulnerabilidades. Com base nas
informações apresentadas sobre esse ataque, assinale a alternativa CORRETA:
186
( ) O ano de 2017 ficou conhecido como o ano das megabrechas no qual a exploração
das chamadas criptomoedas teve o seu auge.
( ) Em 2013, a exploração das chamadas criptomoedas ficou conhecido como o ano
das megabrechas.
( ) Em 2018, as tecnologias baseadas no modelo móvel mantiveram sua tendência
de crescimento com a redução das ameaças do tipo Ransomware em 33%.
( ) Em 2018, a plataforma móvel mantém a tendência de crescimento das ameaças do
tipo Ransomware, que crescem em 33% em relação ao ano anterior.
187
188
UNIDADE 3 TÓPICO 3 -
TESTES DE INVASÃO
1 INTRODUÇÃO
Caro acadêmico! Após os seus estudos sobre técnicas de varredura e de ser
apresentado à existência das vulnerabilidades on-line e como são exploradas, esta
unidade encerra os seus conteúdos abordando um tópico muito importante, mas
pouco explorado nas empresas, e até mesmo fora do radar daqueles que buscam um
diferencial profissional na área da segurança de redes: os chamados testes de invasão.
Com o que você estudou até aqui, já percebeu que dependemos, quase que em
uma totalidade, das aplicações e serviços on-line providos pela internet, mas que
vivemos, de certa forma, desprotegidos, pois podemos a qualquer momento sofrer um
ataque cibernéticos a nossa infraestrutura particular de aplicações e equipamentos, ou
um ataque que prejudique algum serviço, ou recurso, de uma aplicação ou infraestrutura
externa usada por nós – usuários finais.
189
No contexto do desenvolvimento de softwares, não é incomum que os testes
para a verificação de bugs ocorram em fases já muito avançadas dentro do Ciclo de Vida
do Desenvolvimento do Software (SDLC, Software Development Life Cycle), ou mesmo
quando o software ou aplicação web já se encontra em produção. Esta prática, além de
inadequada, incrementa os custos do desenvolvimento e pode permitir que o software
seja entregue com bugs que afetam sua segurança (OWASP, c2021).
190
FIGURA 27 – A JANELA DE UMA VULNERABILIDADE
Os testes de invasão possuem muitos sinônimos como: Pen testing, PT, Hacking,
Hacking Ético, Hacking Chapéu Branco, Segurança Ofensiva e Equipe Vermelha
(ENGEBRETSON, 2013). Apesar das denominações apresentadas adotaremos um termo
simplificado pentest, ou pentests, como forma de indicar um teste de penetração ou
teste de invasão.
191
O processo desencadeado por um pentest tem a intenção de investigar
vulnerabilidades e provar que um ataque a essas vulnerabilidades é algo real. Testes
adequados sempre finalizam com recomendações específicas na identificação e
correção das questões descobertas durante o teste (ENGEBRETSON, 2013).
Para que seja realizado, um pestest é empregado por uma organização através
de colaborador interno, ou uma entidade externa. Nos dois casos sua condução significa
que os pentesters pesquisam, avaliam e testam a segurança organizacional aplicando
técnicas, táticas e ferramentas que um hacker malicioso usaria (ORIYANO, 2017).
NOTA
Um pentester é o chamado hacker ético, aquele especialista que executa um
pentest de maneira legal. Ele combina conhecimento sobre como os sistemas
são projetados, criados e mantidos, com habilidades que incluem a descoberta
de maneiras criativas de evitar os mecanismos de defesa de um sistema ou
ambiente. Esse profissional é fundamental para identificar, e demonstrar, a
seriedade, e solidez, da postura de uma empresa no tocante à segurança de
suas informações, clientes e parceiros (WEIDMAN, 2014).
192
Assim, a discussão sobre os objetivos de execução de um pentest, envolvendo
aspectos profissionais e morais, posiciona o executor do teste de três formas
(VANGLLER, 2017):
• White hat (chapéu branco): qualificados como "hackers éticos", muitas vezes
profissionais pagos, ou contratados, que atuam em empresas como especialistas em
segurança com o intuito de expor falhas de segurança, aplicando técnicas de invasão.
Assim, eles atuam em conformidade com as exigências legais da organização.
• Black hat (chapéu preto): tratam-se de indivíduos que com sólidos conhecimentos
de invasão de redes de computadores, são criadores dos chamados malwares. São
motivados, geralmente, por ganhos pessoais e financeiros ilícitos e que podem ainda estar
envolvidos com espionagem cibernética. Podem ser amadores quando, por exemplo, são
responsáveis por espalhar malwares, ou experientes com o intuito de lesar os usuários na
forma de roubo de dados, como informações financeiras, pessoais ou credenciais de login.
• Grey hat (chapéu cinza): representam uma mescla entre os dois tipos anteriores e podem
atuar na busca de falhas de segurança sem o conhecimento prévio de uma empresa, ou
proprietário de um sistema, e depois cobrar algum retorno financeiro. Eles vivem em um
limbo, pois não são necessariamente maliciosos, porém diferentemente dos white hat são
considerados ilegais por parte da comunidade.
IMPORTANTE
Autorização é o processo de obter
aprovação antes da condução de
qualquer teste ou ataque. Uma vez obtida,
o testador e a companhia que está sendo
auditada precisam concordar sobre o
escopo do teste. Ele inclui informações
específicas a respeito dos recursos e
sistemas incluídos no teste. O escopo,
explicitamente, define a autorização dos
alvos para a o testador. É importante
que ambas as partes compreendam
totalmente a autorização e o escopo do
PT. Chapéus brancos precisam sempre
respeitar a autorização e se manter dentro
do escopo do teste (ENGEBRETSON, 2013,
p. 3, tradução nossa).
193
Wilhelm (2010) alerta para a atenção que devemos ter no tocante aos dados
dos usuários quando da realização de um pentest, uma vez que o seu executor obterá
acesso a esses dados. Os meios defendidos pelo autor envolvem encriptação de dados
(garantindo sua confidencialidade), hashing de dados (com o intuito de garantir sua
integridade). Ele também aponta para a própria segurança do teste em si, o uso de
discos rígidos encriptados e seguros, com os sistemas situados em um local físico com
acesso digital e físico controlado, para garantir a segurança do ambiente.
IMPORTANTE
Em muitos casos, um teste de penetração
representa o mais agressivo tipo de
teste que pode ser realizado em uma
organização. [...] Os clientes muitas vezes
não entendem isso totalmente, embora
o pen teste esteja sendo conduzido por
uma parte benevolente, ele ainda envolve
algum nível de risco, incluindo realmente
travamento de sistemas ou causando
algum dano (ORIYANO, 2017, p. 63,
tradução nossa).
194
FIGURA 8 – METODOLOGIA PENTEST
195
A partir de um outro ponto de vista, a Figura 30 apresenta a metodologia das etapas
de um pentest na forma de um processo cíclico. Isso indica que o produto produzido
pela etapa de pós-exploração do processo pode alimentar a etapa de reconhecimento
em um processo repetitivo.
196
Em complemento, Weidman (2014) apresenta algumas formas de exploração
que podem ser aplicadas na etapa de Exploração:
NOTA
“Embora não incluído como um passo formal na metodologia de teste de
penetração, a atividade final (e sem dúvida o mais importante) de um PT é o
relatório” (ENGEBRETSON, 2013, p. 17, tradução nossa).
IMPORTANTE
A pergunta "o que testar?", apresentada por Owasp (c2021), aponta
como os itens de teste pessoas, processos e tecnologia, está em
conformidade com a lista de itens supracitados da qual se espera
serem submetidos a pestests.
197
NOTA
“Embora não incluído como um passo formal na metodologia de teste de
penetração, a atividade final (e sem dúvida o mais importante) de um PT é o
relatório” (ENGEBRETSON, 2013, p. 17, tradução nossa).
Oliveira (2019) indica que os testes podem ser realizados de duas formas:
1- De acordo com as formas que descrevem como um executor de um pentest pode ser
percebido, ou seja, internamente ou externamente.
2- De acordo com o tipo de ataque, ameaça ou falha, a que uma rede ou algum de seus
recursos, ou serviços, são submetidos.
3- De acordo com os ativos organizacionais (arquitetura de rede, administração do
sistema, e aplicações e bancos de dados).
198
3.1 TESTE WHITE BOX (CAIXA BRANCA)
Neste tipo de teste, o administrador da rede repassa ao profissional executor
do pentest informações importantes como topologia da rede, estrutura física, marca
dos equipamentos e vulnerabilidades não resolvidas, para que ele direcione a busca de
forma a identificar potenciais riscos e tornar o teste mais objetivo (STAMP, 2011 apud
OLIVEIRA, 2019).
O teste do tipo black box representa um modelo de ataque muito mais próximo
de simular um ataque nascido no mundo real, muito mais discreto, furtivo, e praticado
por habilidosos especialistas maliciosos. Sua grande vantagem, que configura a
desvantagem do teste white box, é permitir que uma organização teste sua resposta a
incidentes ou sistemas de alerta antecipado (ENGEBRETSON, 2013).
199
3.4 ENGENHARIA SOCIAL
É notório, e até mesmo um consenso, de que o usuário final dos sistemas
computacionais é uma vulnerabilidade em carne e osso, pois não possui patches,
ou coisas do tipo. De nada adiantam controles altamente sofisticados aplicados às
tecnologias se um colaborador pode ser convencido a fornecer informações sensíveis
da empresa a terceiros. Por exemplo, o famoso hacker Kevin Mitnick explorou falhas
ao entrar em prédios e convencer seguranças de que ele tinha permissão para estar lá
(WEIDMAN, 2014).
Ao fazer isso, ele aplicou o que hoje se chama de ataque de engenharia social.
Esse tipo de ataque pode envolver requisitos técnicos complexos ou mesmo, nenhuma
tecnologia. Sua finalidade é a exploração das vulnerabilidades humanas como: um desejo
de ser prestativo, a falta de conscientização a respeito de políticas de segurança e assim
por diante, sendo que tais ataques (WEIDMAN, 2014).
NOTA
Se você quiser se aprofundar e se especializar no mundo da segurança
cibernética, existem certificações que podem ser realizadas oferecidas pelo
(ISC)2 (International Information Systems Security Certification Consortium).
Mais detalhes sobre as certificações visite https://www.isc2.org/.
200
LEITURA
COMPLEMENTAR
GUIA DE REFERÊNCIA DO NMAP (PÁGINA DO MANUAL)
Nome
nmap — Ferramenta de exploração de rede e segurança / scanner de portas
Sinopse
nmap [ <Tipo de Scan> ...] [ <Opções> ] { <especificação do alvo> }
Descrição
NOTA
Este documento descreve o Nmap versão 4.00. A documentação mais
recente está disponível em inglês em https://nmap.org/book/man.html.
201
está escutando as conexões/pacotes naquela porta. Filtrado (filtered) significa que o
firewall, filtro ou outro obstáculo de rede está bloqueando a porta de forma que o Nmap
não consegue dizer se ela está aberta (open) ou fechada (closed). Portas fechadas
(closed) não possuem uma aplicação escutando nelas, embora possam abrir a qualquer
instante. Portas são classificadas como não filtradas (unfiltered) quando elas respondem
às sondagens do Nmap, mas o Nmap não consegue determinar se as portas estão
abertas ou fechadas. O Nmap reporta as combinações aberta/filtrada (open|filtered) e
fechada/filtrada (closed|filtered) quando não consegue determinar qual dos dois estados
descrevem melhor a porta. A tabela de portas também pode incluir detalhes de versão
de software quando a detecção de versão for solicitada. Quando um scan do protocolo
IP é solicitado (-sO), o Nmap fornece informações dos protocolos IP suportados ao invés
de portas que estejam abertas.
Exemplo 1:
202
RESUMO DO TÓPICO 3
Neste tópico, você adquiriu certos aprendizados, como:
• Pentests podem ser altamente agressivos e intrusivos para o ambiente de uma organização
e que por essa razão, os dados dos seus usuários (e a própria infraestrutura organizacional)
deve ser preservada durante a execução de pentests.
• Existem certificações que podem ajudar profissionais a direcionar suas carreiras como
profissionais especializados na aplicação de pentests.
203
AUTOATIVIDADE
1 Um pentest pode ser motivado por razões diferentes que envolvem aspectos legais,
profissionais, e até mesmo morais, e sua execução posiciona quem o aplica em três
situações diferentes. Sobre as motivações para a aplicação dos pentests, classifique
V para as sentenças verdadeiras e F para as falsas:
2 Testes de penetração podem ser realizados pelas mais variadas motivações, inclusive de
ordem pessoal. Os testes quando realizados dentro de parâmetros legais e profissionais
são posicionados como objetos não criminosos, porém quando executados fora desses
parâmetros tendem a objetivar dolo de alguma natureza, de qualquer forma, sua
execução posiciona quem o aplica em três situações diferentes. Tendo como premissa
o papel de quem aplica um pentest, analise as sentenças a seguir:
204
Assinale a alternativa CORRETA:
a) ( ) As sentenças I e II estão corretas.
b) ( ) As sentenças II e IV estão corretas.
c) ( ) As sentenças I e IV estão corretas.
d) ( ) As sentenças II e III estão corretas.
205
5 Um ambiente organizacional é constituído por uma miríade de elementos, como
ecossistemas de redes, aplicações que usam as mais variadas tecnologias e o
elemento humano que atua sobre esses ecossistemas catalisando essas tecnologias.
Por essa razão, existem os mais variados tipos de pentests que podem ser aplicados
em um ambiente organizacional. Sobre os tipos de pentests, classifique V para as
sentenças verdadeiras e F para as falsas:
206
REFERÊNCIAS
AMAZON echo e kindle são vulneráveis a ataques cibernéticos. Olhar Digital. 2019a.
Disponível em: https://olhardigital.com.br/noticia/amazon-echo-e-kindle-sao-
vulneraveis-a-ataques-ciberneticos/93777. Acesso em: 25 jan. 2021.
AMAZON anuncia novidade para a linha Echo. Olhar Digital. 2019b. Disponível
em: https://olhardigital.com.br/video/amazon-anuncia-novidade-para-a-linha-
echo/90807. Acesso em: 24 nov. 2020.
ANDRION, R. Brasil é o terceiro país mais infectado por spams, diz relatório da
Symantec. Olhar Digital. 2019. Disponível em: https://olhardigital.com.br/2019/02/28/
seguranca/brasil-e-o-terceiro-pais-mais-infectado-por-spams-diz-relatorio-da-
symantec/. Acesso em: 24 dez. 2020.
BROAD, J.; BINDNER, A. Hacking com Kali Linux: técnicas práticas para testes de
invasão. São Paulo: Novatec, 2013. Disponível em: https://docplayer.com.br/2292571-
James-broad-andrew-bindner.html. Acesso em: 22 set. 2020.
207
ENGEBRETSON, P. The basics of hacking and penetration testing: ethical
hacking and penetration testing made easy. 2. ed. Waltham: Elsevier, 2013.
Disponível em: https://www.pdfdrive.com/the-basics-of-hacking-and-penetration-
testing-e38400471.html. Acesso em: 3 dez. 2020.
FORTINET. The threat intelligence insider Latin America: executive summary q2-
2020. 2019. Disponível em: https://www.fortinetthreatinsiderlat.com/en/Q2-2020/BR/
pdf/trends?type=pdf. Acesso em: 30 set. 2020.
GIL, O. White paper: web cache deception attack. 2017. Disponível em: https://www.
blackhat.com/docs/us-17/wednesday/us-17-Gil-Web-Cache-Deception-Attack-wp.
pdf. Acesso em: 24 nov. 2020.
GORRIE, M. What is form jacking and how does it work? c2020. Disponível em:
https://us.norton.com/internetsecurity-emerging-threats-what-is-formjacking.html.
Acesso em: 3 nov. 2020.
208
LYON, G.F. Nmap network scanning: official Nmap project guide to network Discovery
and security scanning. Sunnyvale: Insecure; Com LLC, 2008.
MURPHY, D. How to prevent hacks like the tik tok breach. 2020. Disponível
em: https://lifehacker.com/how-to-prevent-hacks-like-the-tiktok-breach-
1840875110?utm_source=lifehacker_twitter&utm_campaign=socialflow_lifehacker_
twitter&utm_medium=socialflow. Acesso em: 1ᵒ out. 2020.
OWASP. Introduction: the OWASP testing project. c2021. Disponível em: https://
owasp.org/www-project-web-security-testing-guide/stable/2-Introduction/README.
html#Penetration-Testing. Acesso em: 7 dez. 2020.
PARTINGTON, V.; KLAVER, E. Top ten web application vulnerabilities in J2EE. c2021.
Disponível em: https://owasp.org/www-pdf-archive/OWASP_NL_Top_Ten_Web_
Application_Vulnerabilities_in_J2EE.pdf. Acesso em: 1ᵒ out. 2020.
209
POPESCU, I. Less known web application vulnerabilities. c2021. Disponível em:
https://owasp.org/www-pdf-archive/OWASP_-_Ionut_Popescu_-_Less_Known_
Web_Application_Vulnerabilities.pdf. Acesso em: 1ᵒ out. 2020.
RED HAT ENTERPRISE LINUX. Guia de segurança: um guia para proteger o Red Hat
enterprise Linux. 1.5 ed. [s.l]: RedHat, 2020. Disponível em: https://access.redhat.
com/documentation/pt-br/red_hat_enterprise_linux/6/html/security_guide/sect-
security_guide-firewalls-malicious_software_and_spoofed_ip_addresses. Acesso
em: 26 set. 2020.
SYMANTEC. Internet security threat report (ISTR). v. 24. 2019. Disponível em:
https://docs.broadcom.com/doc/istr-24-2019-en. Acesso em: 1ᵒ out. 2020.
SYMANTEC. Internet security threat report (ISTR): executive summary. v. 23. 2018.
Disponível em: https://docs.broadcom.com/doc/istr-23-2018-executive-summary-en-
aa. Acesso em: 1ᵒ out. 2020.
SYMANTEC. Internet security threat report (ISTR): 2013 trends. v. 19. 2014.
Disponível em: https://www.itu.int/en/ITU-D/Cybersecurity/Documents/Symantec_
annual_internet_threat_report_ITU2014.pdf. Acesso em: 1ᵒ out. 2020.
SYMANTEC. Internet security threat report(ISTR): trends for 2010. v. 16. 2011.
Disponível em: https://docs.broadcom.com/doc/istr-11-april-volume-16-en. Acesso
em: 1ᵒ out. 2020.
210