Análise de Vulnerabilidade de Riscos

Análise de
Vulnerabilidade
de Riscos
Prof. Carlos André de Sousa Rocha

Prof. Jorge Werner
Prof.a Muriel de Fátima Bernhardt
Indaial – 2021
1a Edição
Elaboração:
Prof. Jorge Werner
Prof. Muriel de Fátima Bernhardt
a
Copyright © UNIASSELVI 2021
Revisão, Diagramação e Produção:

Equipe Desenvolvimento de Conteúdos EdTech
Centro Universitário Leonardo da Vinci – UNIASSELVI
Ficha catalográfica elaborada pela equipe Conteúdos EdTech UNIASSELVI
R672a
Rocha, Carlos André de Sousa
Análise de vulnerabilidade de riscos. / Carlos André de Sousa Rocha;

Jorge Werner; Muriel de Fátima Bernhardt. – Indaial: UNIASSELVI, 2021.
210 p.; il.
ISBN 978-65-5663-398-5
ISBN Digital 978-65-5663-399-2
1. Vulnerabilidade de segurança. - Brasil. I. Rocha, Carlos André

de Sousa. II. Werner, Jorge. III. Bernhardt, Muriel de Fátima. IV. Centro
Universitário Leonardo Da Vinci.
CDD 004
Impresso por:
APRESENTAÇÃO
Prezado acadêmico! O Livro Didático “Análise de Vulnerabilidade de Riscos”
apresentará a você conhecimentos sobre os conceitos de vulnerabilidades e riscos:
os principais tipos de vulnerabilidades; as ferramentas para análise de vulnerabilidade
de segurança; a análise de vulnerabilidade; as principais técnicas de varreduras de
vulnerabilidade, incluindo vulnerabilidades on-line e testes de invasão.
Caro acadêmico, os problemas de segurança estão presentes cada vez mais em

no nosso dia a dia. Com o advento da computação e a crescente utilização das redes de
computadores, as rotinas de segurança se tornaram essenciais para o bom funcionamento
dos negócios, negócios cada vez mais dependentes da tecnologia. Vários são os desafios,
no tocante à proteção dos usuários e de seus dados nos computadores e nas redes. A
análise de vulnerabilidades de riscos busca auxiliar na identificação e correção das falhas
de segurança.
Na Unidade 1 serão apresentados os principais conceitos relacionados à análise

de vulnerabilidades e riscos: falaremos sobre o que é a gestão de riscos, e trataremos das
diferenças entre as ameaças e os ataques. Conceitos básicos relacionados à análise de
vulnerabilidade também serão introduzidos nesta unidade.
Na sequência, na Unidade 2, você aprofundará seus estudos sobre os principais

tipos de vulnerabilidades e como são classificadas, para logo em seguida conhecer
algumas ferramentas de análise de vulnerabilidade e verificar a utilização prática de
uma ferramenta específica, além de conhecer como é preparado o ambiente para a
utilização da referida ferramenta.
Encerrando sua caminhada, na Unidade 3 você será apresentado às diferentes

técnicas de varreduras que podem ser aplicadas em um ambiente computacional e
se aprofundará sobre as vulnerabilidades on-line. Por fim, você estudará os testes de
invasão, conhecendo seu conceito e suas principais características.
Este é o fascinante mundo da segurança da informação em redes. Aproveite,

revise e construa novos conceitos que inevitavelmente farão parte de sua vida.
Bons estudos e sucesso na sua vida acadêmica!
Prof. Jorge Werner

Prof.a Muriel de Fátima Bernhardt
GIO
Olá, eu sou a Gio!
No livro didático, você encontrará blocos com informações

adicionais – muitas vezes essenciais para o seu entendimento
acadêmico como um todo. Eu ajudarei você a entender
melhor o que são essas informações adicionais e por que você
poderá se beneficiar ao fazer a leitura dessas informações
durante o estudo do livro. Ela trará informações adicionais
e outras fontes de conhecimento que complementam o
assunto estudado em questão.
Na Educação a Distância, o livro impresso, entregue a todos

os acadêmicos desde 2005, é o material-base da disciplina.
A partir de 2021, além de nossos livros estarem com um
novo visual – com um formato mais prático, que cabe na
bolsa e facilita a leitura –, prepare-se para uma jornada
também digital, em que você pode acompanhar os recursos
adicionais disponibilizados através dos QR Codes ao longo
deste livro. O conteúdo continua na íntegra, mas a estrutura
interna foi aperfeiçoada com uma nova diagramação no
texto, aproveitando ao máximo o espaço da página – o que
também contribui para diminuir a extração de árvores para
produção de folhas de papel, por exemplo.
Preocupados com o impacto de ações sobre o meio ambiente,

apresentamos também este livro no formato digital. Portanto,
acadêmico, agora você tem a possibilidade de estudar com
versatilidade nas telas do celular, tablet ou computador.
Preparamos também um novo layout. Diante disso, você

verá frequentemente o novo visual adquirido. Todos esses
ajustes foram pensados a partir de relatos que recebemos
nas pesquisas institucionais sobre os materiais impressos,
para que você, nossa maior prioridade, possa continuar os
seus estudos com um material atualizado e de qualidade.
QR CODE
Olá, acadêmico! Para melhorar a qualidade dos materiais ofertados a você – e
dinamizar, ainda mais, os seus estudos –, nós disponibilizamos uma diversidade de QR Codes
completamente gratuitos e que nunca expiram. O QR Code é um código que permite que você
acesse um conteúdo interativo relacionado ao tema que você está estudando. Para utilizar
essa ferramenta, acesse as lojas de aplicativos e baixe um leitor de QR Code. Depois, é só
aproveitar essa facilidade para aprimorar os seus estudos.
ENADE
Acadêmico, você sabe o que é o ENADE? O Enade é um
dos meios avaliativos dos cursos superiores no sistema federal de
educação superior. Todos os estudantes estão habilitados a participar
do ENADE (ingressantes e concluintes das áreas e cursos a serem
avaliados). Diante disso, preparamos um conteúdo simples e objetivo
para complementar a sua compreensão acerca do ENADE. Confira,
acessando o QR Code a seguir. Boa leitura!
LEMBRETE
Olá, acadêmico! Iniciamos agora mais uma
disciplina e com ela um novo conhecimento.
Com o objetivo de enriquecer seu conheci-

mento, construímos, além do livro que está em
suas mãos, uma rica trilha de aprendizagem,
por meio dela você terá contato com o vídeo
da disciplina, o objeto de aprendizagem, materiais complementa-
res, entre outros, todos pensados e construídos na intenção de
auxiliar seu crescimento.
Acesse o QR Code, que levará ao AVA, e veja as novidades que

preparamos para seu estudo.
Conte conosco, estaremos juntos nesta caminhada!

SUMÁRIO
UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE......................................... 1
TÓPICO 1 — FUNDAMENTOS DA GESTÃO DE RISCO.............................................................3

1 INTRODUÇÃO........................................................................................................................3
2 CONCEITOS SOBRE RISCO..................................................................................................4
3 PRINCÍPIOS DA AVALIAÇÃO DE RISCO.............................................................................. 7
RESUMO DO TÓPICO 1.......................................................................................................... 15
AUTOATIVIDADE................................................................................................................... 17
TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE................................................................ 19

1 INTRODUÇÃO...................................................................................................................... 19
2 AMEAÇAS.......................................................................................................................... 20
2.1 MODELAGEM DE AMEAÇAS...............................................................................................................29
3 ATAQUES........................................................................................................................... 32
RESUMO DO TÓPICO 2......................................................................................................... 38
AUTOATIVIDADE.................................................................................................................. 40
TÓPICO 3 — FUNDAMENTOS DAS VULNERABILIDADES................................................... 43

1 INTRODUÇÃO..................................................................................................................... 43
2 FUNDAMENTOS DA GESTÃO DE SEGURANÇA................................................................ 43
3 VULNERABILIDADES........................................................................................................ 45
3.1 IDENTIFICAÇÕES DE AMEAÇAS E VULNERABILIDADES............................................................49
LEITURA COMPLEMENTAR................................................................................................. 58
RESUMO DO TÓPICO 3......................................................................................................... 65
AUTOATIVIDADE...................................................................................................................67
REFERÊNCIAS...................................................................................................................... 69
UNIDADE 2 — TIPOS E FERRAMENTAS PARA ANÁLISE DE VULNERABILIDADES.................. 71
TÓPICO 1 — PRINCIPAIS TIPOS DE VULNERABILIDADES..................................................73

1 INTRODUÇÃO......................................................................................................................73
2 TIPOS DE VULNERABILIDADES........................................................................................73
3 CLASSIFICAÇÃO DAS VULNERABILIDADES................................................................... 77
3.1 CVE........................................................................................................................................................... 79
3.2 CWE.........................................................................................................................................................85
RESUMO DO TÓPICO 1......................................................................................................... 90
AUTOATIVIDADE................................................................................................................... 91
TÓPICO 2 — FERRAMENTAS PARA ANÁLISE DE VULNERABILIDADES............................95

1 INTRODUÇÃO......................................................................................................................95
2 EXEMPLOS DE FERRAMENTAS PARA ANÁLISE DE VULNERABILIDADES....................95
2.1 NESSUS...................................................................................................................................................98
2.2 OPENVAS...............................................................................................................................................99
2.3 ACUNETIX............................................................................................................................................100
2.4 GFI LANGUARD...................................................................................................................................101
2.5 NEXPOSE.............................................................................................................................................102
3 APLICAÇÃO PRÁTICA DE UMA FERRAMENTA...............................................................103
RESUMO DO TÓPICO 2........................................................................................................ 112
AUTOATIVIDADE................................................................................................................. 113
TÓPICO 3 — FUNDAMENTOS SOBRE O AMBIENTE............................................................117

1 INTRODUÇÃO.....................................................................................................................117
2 CONCEITO SOBRE O AMBIENTE......................................................................................117
3 INSTALAÇÃO E CONFIGURAÇÃO DO AMBIENTE........................................................... 118
LEITURA COMPLEMENTAR................................................................................................133
RESUMO DO TÓPICO 3........................................................................................................134
AUTOATIVIDADE.................................................................................................................135
REFERÊNCIAS.....................................................................................................................138
UNIDADE 3 — ANÁLISE DE VULNERABILIDADES............................................................. 141
TÓPICO 1 — TÉCNICAS DE VARREDURAS DE VULNERABILIDADES................................143

1 INTRODUÇÃO....................................................................................................................143
2 TÉCNICAS DE VARREDURAS..........................................................................................143
2.1 TCP SYN (HALF SCAN)......................................................................................................................148
2.2 TCP CONNECT (OPEN SCAN)..........................................................................................................148
2.3 UDP (OPEN SCAN)............................................................................................................................. 149
2.4 VARREDURAS BASEADAS NA RFC 793.......................................................................................150
2.4.1 TCP FIN (STEALTH)....................................................................................................................151
2.4.2 TCP XMAS TREE (STEALTH).................................................................................................. 152
2.4.3 TCP NULL (STEALTH).............................................................................................................. 152
2.5 TCP ACK (STEALTH).......................................................................................................................... 153
2.6. TCP WINDOW...................................................................................................................................... 154
3 APLICAÇÃO DAS TÉCNICAS DE VARREDURAS.............................................................155
3.1 USO DO NMAP PARA A APLICAÇÃO DAS TÉCNICAS DE VARREDURAS ESTUDADAS...... 155
3.1.1 Varredura de uma grande rede para uma porta TCP específica................................... 157
3.1.2 Aplicação da técnica TCP CONNECT...................................................................................158
3.1.3 Aplicação da técnica TCP SYN .............................................................................................158
3.1.4 Aplicação da técnica TCP FIN............................................................................................... 159
3.1.5 Varredura para encontrar todos os servidores rodando uma aplicação insegura.........160
3.1.6 Varredura customizada para a detecção de proxies abertos.......................................160
3.1.7 Varredura para detectar pontos de acesso wireless falsos........................................ 161
RESUMO DO TÓPICO 1........................................................................................................163
AUTOATIVIDADE.................................................................................................................164
TÓPICO 2 — VULNERABILIDADES ON-LINE...................................................................... 167

1 INTRODUÇÃO.................................................................................................................... 167
2 PRINCIPAIS VULNERABILIDADES ON-LINE.................................................................. 167
3 APLICAÇÃO DAS VULNERABILIDADES ON-LINE.......................................................... 179
RESUMO DO TÓPICO 2........................................................................................................184
AUTOATIVIDADE.................................................................................................................185
TÓPICO 3 — TESTES DE INVASÃO......................................................................................189
1 INTRODUÇÃO....................................................................................................................189
2 CONCEITO DE TESTE DE INVASÃO.................................................................................189
2.1 ETAPAS DE UM TESTE DE INVASÃO.............................................................................................. 194
3 TIPOS DE TESTE DE INVASÃO......................................................................................... 197
3.1 TESTE WHITE BOX (CAIXA BRANCA)............................................................................................. 199
3.2 TESTE GRAY BOX (CAIXA CINZA)................................................................................................... 199
3.3 TESTE BLACK BOX (CAIXA PRETA)............................................................................................... 199
3.4 ENGENHARIA SOCIAL...................................................................................................................... 200
3.5 HACKING DE DISPOSITIVOS MÓVEIS........................................................................................... 200
LEITURA COMPLEMENTAR................................................................................................201
RESUMO DO TÓPICO 3....................................................................................................... 203
AUTOATIVIDADE................................................................................................................ 204
REFERÊNCIAS.................................................................................................................... 207
UNIDADE 1 -
PRINCÍPIOS DA ANÁLISE
DE VULNERABILIDADE
OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, você deverá ser capaz de:
• conhecer os conceitos básicos relacionados à gestão de riscos;
• compreender as ameaças, os ataques e os seus conceitos;
• identificar os conceitos básicos relacionados à análise de vulnerabilidades;
• relacionar os conceitos de gestão de riscos, ameaças, ataques à análise de

vulnerabilidades em sistema da informação.
PLANO DE ESTUDOS
Esta unidade está dividida em três tópicos. No decorrer dela, você encontrará
autoatividades com o objetivo de reforçar o conteúdo apresentado.
TÓPICO 1 – FUNDAMENTOS DA GESTÃO DE RISCO

TÓPICO 2 – CONCEITOS DE AMEAÇA E ATAQUE
TÓPICO 3 – FUNDAMENTOS DAS VULNERABILIDADES
CHAMADA
Preparado para ampliar seus conhecimentos? Respire e vamos em frente! Procure
um ambiente que facilite a concentração, assim absorverá melhor as informações.
1
CONFIRA
A TRILHA DA
UNIDADE 1!
Acesse o
QR Code abaixo:
2
UNIDADE 1 TÓPICO 1 -
FUNDAMENTOS DA GESTÃO DE RISCO
1 INTRODUÇÃO
A segurança da informação é obtida com a implementação de controles, que
deverão ser monitorados, analisados e consecutivamente melhorados, com o intuito
de atender aos objetivos do negócio, mitigando os riscos e garantindo os preceitos
de segurança da organização: confidencialidade, integridade e disponibilidade (CID), a
tríade de segurança da informação (SÊMOLA, 2014).
O gerenciamento de riscos (em inglês, risk management) é o processo pelo qual

medimos ou estimamos o risco e depois desenvolvemos estratégias para governar. Na
área de Tecnologia da Informação (TI) não é diferente, o gerenciamento de riscos de TI
é a aplicação de métodos de gerenciamento de riscos para a tecnologia da informação.
O risco comercial associado ao uso, posse, funcionamento, envolvimento, influência
e adoção de TI em uma empresa ou organização. As pequenas ou grandes empresas
praticam informalmente ou possuem equipes dedicadas para o gerenciamento de
riscos. O gerenciamento de riscos de TI pode ser considerado um componente de um
sistema de gerenciamento de riscos corporativo mais amplo (BAARS et al., 2018).
A utilização, criação, manutenção e atualização contínua de um Sistema de

Gestão de Segurança da Informação (SGSI) fornece uma grande indicação de que uma
empresa usa uma abordagem sistemática para identificar, avaliar e gerenciar riscos para
a segurança das suas informações (SÊMOLA, 2014).
IMPORTANTE
Um Sistema de Gestão da Segurança da Informação (SGSI) é um sistema
voltado para segurança da informação, inclui todo o escopo de controles que
uma organização precisa para garantir a proteção da confidencialidade, da
disponibilidade, e da integridade (SÊMOLA, 2014).
O escopo deste tópico levará você a conhecer os assuntos relacionados ao

entendimento do gerenciamento de riscos da segurança da informação, desde os
conceitos de riscos, riscos de tecnologia da informação, até mesmo sobre a análise e a
avaliação dos riscos.
3
2 CONCEITOS SOBRE RISCO
Incialmente, neste tópico, caro acadêmico, você conhecerá os conceitos
sobre riscos de vulnerabilidades. O gerenciamento de riscos e a conformidade com as
questões legais são pré-requisitos para o desenvolvimento de suma boa estratégia de
segurança da informação. Uma boa identificação dos riscos pode contribuir para que
você compreenda as fraquezas e oportunidades de atendimento da segurança, assim
como das questões legais.
O risco de TI inclui não apenas o impacto negativo das operações e na prestação

de serviços, que podem levar à destruição ou redução do valor da organização, mas
também à vantagem, que permite o risco associado à possibilidade de usar a tecnologia
para melhorar o gerenciamento de negócios ou projetos de TI, para aspectos como
gastos excessivos ou atraso na entrega, com impacto negativo nos negócios (BAARS
et al., 2018).
Como o risco está intimamente relacionado à incerteza, a teoria da decisão

deve ser aplicada ao gerenciamento de riscos como uma ciência, ou seja, fazer
escolhas racionalmente em condições de incerteza. Os riscos devem ser identificados e
classificados para uma tomada de decisão correta em termos de priorização e alocação
de recursos. Para o seu monitoramento, é necessário, ainda, uma categorização de
acordo com sua natureza e relevância, pois todo risco envolve um ganho ou uma
perda. É de fato importante que o risco seja medido, pois todo ato ou fato relacionado
com a organização tem algum efeito nos seus resultados. Deve-se mensurar o risco,
sua ocorrência potencial e os seus possíveis impactos estratégicos, operacionais, de
conformidade e econômico (BAARS et al., 2018).
Os riscos podem ser divididos entre aqueles que têm origem interna e aqueles
de origem externa. Em geral, os riscos de origem interna podem adotar medidas para
seu controle, e os riscos de origem externa, geralmente, não possuem o controle.
Contudo, muitos riscos, verificam-se de processos inadequados ou da ineficiência da
sua gerência.
Os conceitos relacionados com os riscos são:
• Uma combinação da probabilidade de um evento e de suas consequências (ISO/IEC

27002, 2013).
• A probabilidade de ameaças explorarem vulnerabilidades, gerando perdas de
confidencialidade, integridade e disponibilidade (SÊMOLA, 2014).
• O produto da probabilidade com o impacto (risco = probabilidade impacto), ou seja,
a combinação das consequências advindas da ocorrência de um evento indesejado
com a probabilidade da ocorrência deste evento (ISO/IEC 31000, 2009).
4
IMPORTANTE
O risco é o potencial de uma ação ou atividade escolhida levar a uma perda ou
evento indesejável.
Ao longo dos anos, o gerenciamento de riscos se tornou cada vez mais

importante, colocando diretores e gerentes de negócios diante da necessidade de
detectar os métodos para identificar, medir e tratar os riscos corporativos. As medidas
tradicionais de proteção não são mais suficientes para fornecer cobertura adequada
contra os riscos de segurança cibernética, um setor fundamental para as empresas e
as partes interessadas no negócio (do inglês, stakeholders). Por esse motivo, parece
necessário ter ferramentas destinadas a impedir a invasão do computador com uma
análise detalhada dos riscos associados às informações.
A série de normas ISO/IEC 27000 (do inglês, International Organization for

Standardization) (ISO/IEC 27000, 2018) estabelece as condições necessárias para
estabelecer, implementar, manter, melhorar continuamente um sistema de gestão de
segurança da informação.
As principais normas da série ISO/IEC 27000 são:
• ISO/IEC 27000 – apresenta uma visão geral das normas e vocabulário;

• ISO/IEC 27001 – define os requisitos no estabelecimento do sistema de gestão de
segurança da informação;
• ISO/IEC 27002 – apresenta um conjunto de controles e objetivos de controle de
segurança da informação;
• ISO/IEC 27003 – apresenta linhas gerais para a implementação do sistema de gestão
de segurança da informação;
• ISO/IEC 27004 – define linhas gerais para a criação de métricas de segurança da
informação e a medição do sistema de gestão de segurança da informação;
• ISO/IEC 27005 – fornece diretrizes para o processo de gestão de risco em segurança
da informação;
• ISO/IEC 27006 – apresenta recomendações para o processo de auditoria e certificação
em segurança da informação.
A ISO/IEC 27005 trata a extensão de um risco para um risco de tecnologia da

informação pode ser determinada como:
• Um produto dos valores de: ameaça, vulnerabilidade e os ativos (recursos), conforme

apresentado na Figura 1. Um exemplo de ameaça, vulnerabilidade e os ativo, poderia
ser respectivamente, um acesso indevido, por quebra de senhas, em um banco de
dados de um sistema corporativo.
• O efeito da incerteza sobre os objetivos de controle de segurança da informação
(ISO/IEC 27005, 2018).
5
FIGURA 1 – CÁLCULO DO RISCO DE TECNOLOGIA DA INFORMAÇÃO
FONTE: Adaptado de ISO/IEC 27005 (2018)
NOTA
Ativo é aquilo que agrega valor para a organização. Um ativo pode ser
representado por uma informação, um processo, um produto, uma
base de dados, um software, um hardware, entre outras possibilidades
(ISO/IEC 27005, 2018).
O valor do risco pode ser medido pelo produto da probabilidade com o impacto
mediante aproximação (ISO/IEC 31000, 2009). A determinação de risco considera dois
parâmetros fundamentais:
• O impacto gerado por um evento negativo/positivo.

• A probabilidade de um evento ocorrer.
A Figura 2 apresenta a fórmula associada ao risco, ou seja, o produto da

probabilidade versus o impacto do risco ocorrer. Assim:
• Probabilidade – é calculada ou obtida em função do nível de maturidade do processo

de tecnologia da informação, ou melhor, perspectiva de ocorrência do risco. É
expresso em valores percentuais, por exemplo, 10%, 100% de ocorrência do risco;
• Impacto – é atribuído conforme a consequência da sua ocorrência, por exemplo, risco
não significativo ou risco alto.
FIGURA 2 – CÁLCULO DO RISCO
6
O conceito do risco relacionado à segurança da informação está vinculado à
possibilidade de um determinado evento explorar uma possível fragilidade de um ativo
ou de um conjunto de ativos, prejudicando, assim, a organização no seu dia a dia.
Mesmo quem nunca passou por isso pode imaginar que um risco alto
poderia ser um evento de um acesso indevido, por exemplo, devido à exploração de
uma falha no sistema de gerenciamento de senhas, prejudicando o ativo de rede e,
consequentemente, ocasionando a perda de dados de toda a organização.
3 PRINCÍPIOS DA AVALIAÇÃO DE RISCO

A gestão ou análise do risco deve em grande parte seguir uma estratégia de
governança corporativa, que inclui tratar um ciclo de planejamento, execução, checagem
e avaliação – PDCA (do inglês, Plan-do-Check-Act), o ciclo será detalhado no Tópico
3. A Figura 3 apresenta uma estratégia de gestão do risco corporativa, onde temos
um alinhamento estratégico aos negócios da empresa, a entrega de valor agregado a
empresa, o gerenciamento dos recursos e a análise ou medição do desempenho das
estratégias adotadas.
FIGURA 3 – ESTRATÉGIA DE GESTÃO DO RISCO
7
A análise de risco consiste no processo de compreender a natureza do risco e
determinar o nível de risco de um determinado evento, obtendo, dessa forma, uma
classificação. O nível de risco fornece uma medida da amplitude do risco, calculada
em termos da consequência da realização do risco e da probabilidade da ocorrência do
risco. Um exemplo, para a análise de risco, poderia ser quando uma instituição de ensino
contrata uma consultoria de segurança para avaliar se os seus colaboradores atendem
aos critérios estabelecidos na sua política de segurança da informação. Diversas
alternativas podem avaliar os colaboradores, um evento poderia ser o recebimento de
e-mails maliciosos e, neste caso, determinar uma classificação de risco e sua amplitude,
conforme a aderência dos colaboradores ao enfraquecimento do risco.
Você, acadêmico, deve compreender que o risco é expresso em valores

percentuais e é assim classificado em níveis de avaliação. A Figura 4 apresenta um exemplo
dessa classificação, em que quanto maiores os valores de risco, maior a probabilidade
de o risco acontecer. Quanto menores os valores, menores as probabilidades de o risco
ocorrer. Assim o risco é classificado em quatro níveis de impacto da ocorrência: não
significativo, baixo, alto e quase certo, para respectivamente, de 0 a 10%, 10%, 90% e
entre 90 a 100%.
FIGURA 4 – CLASSIFICAÇÃO DO RISCO
DICA
Conheça mais da norma ISO/IEC 27005 no Site da ISO em:
https://www.iso.org/standard/75281.html.
8
DICA
Conheça mais da norma ISO/IEC 31000 no Site da ISO em:
https://www.iso.org/obp/ui/#iso:std:iso:31000:en.
Em sistemas de tecnologia da informação, uma estimativa de impacto pode

ser obtida avaliando a perda em termos de integridade (exemplo, o recurso afetado
foi alterado ou destruído), confidencialidade (exemplo, o recurso se torna conhecido
pelo atacante) e disponibilidade (exemplo, acesso ao recurso negado). A norma ISO/IEC
27001 associa uma escala de valores de risco para cada um dos itens de segurança da
informação. A escala é definida por valores de risco baixo, risco médio e risco alto. A soma
da tríade de segurança da informação (integridade, confidencialidade e disponibilidade)
fornece o valor do ativo (do recurso). Por exemplo, para cada item, é atribuído um valor
de zero a quatro de acordo com o efeito que a quebra de confidencialidade, integridade
ou disponibilidade de um ativo tem sobre a organização.
A avaliação da probabilidade deve levar em consideração vários fatores,

como as habilidades e motivações do atacante, a natureza da vulnerabilidade e as
contramedidas adotadas para proteger o sistema. Da mesma forma com que você viu
a avaliação do risco, o valor da probabilidade também pode ser estabelecido de acordo
com uma escala de referência. Por exemplo, o modelo NIST (do inglês, National Institute
of Standards and Technology) também estabelece os valores de probabilidade baixa,
de probabilidade média e de probabilidade alta, para uma falha ou ataque ocorrer (NIST,
2012). Ainda se pode estabelecer uma pontuação para cada destes valores, por exemplo,
podem ser dados valores de zero a três.
DICA
O NIST (do inglês, National Institute of Standards and Technology) é um
importante instituto de padronização americano. Conheça mais sobre o
NIST em: https://www.nist.gov/.
A análise de risco fornece, assim, elementos para a realização da avaliação de risco. A

avaliação de risco é o processo de comparação dos resultados da análise de risco com
critérios de risco previamente definidos, com o objetivo de determinar se o risco é ou
não aceitável (ISO/IEC 27005, 2018). A avaliação de riscos é um componente essencial
de um processo de gerenciamento de riscos em toda a organização (NIST, 2012).
9
A Figura 5 apresenta o processo de avaliação de riscos de segurança da
informação definido na ISO/IEC 27005, seguindo uma metodologia PDCA, ou seja,
passando pela fase de planejamento, execução, verificação e ação.
FIGURA 5 – A VISÃO DO PROCESSO DE GERENCIAMENTO DO RISCO (ISO/IEC 27005, 2018)
FONTE: Adaptada de <https://www.aedb.br/seget/arquivos/artigos12/57616827.pdf>.

Acesso em: 1 jun. 2020.
A visão do ciclo de vida do processo de gerenciamento de riscos pela norma

ISO/IEC 27005 tem seis grupos principais de atividades, são eles:
• Definição do contexto – é o primeiro passo no processo de gestão de risco. A

definição do contexto identifica o ambiente faísico, tecnológico e humano.
• Análise/Avaliação de riscos – este processo compreende a análise dos riscos
(subdividida em identificação e estimativa dos riscos) e a avaliação dos riscos.
O processo de avaliação dos riscos é realizado até que sejam gerados resultados
satisfatórios, ou seja, sejam gerados resultados capazes de apontar ações necessárias
para a redução dos riscos.
10
• Identificação do risco – o processo de localizar, listar e caracterizar elementos do risco.
Os elementos podem incluir fonte, evento, consequência e probabilidade;
• Estimativa do risco – o processo atribui valores à probabilidade e às consequências
de um risco. A estimativa do risco pode considerar custo, benefícios, preocupações
e outras métricas possíveis para a avaliação do risco.
• Avaliação do risco – nesta etapa o risco é comparado e estimado de acordo com
um determinado critério, verificando sua relevância. A avaliação do risco pode ser
usada para a tomada de decisão de aceitar e tratar um risco.
• Tratamento do risco – os resultados do processo da avaliação dos riscos são
aplicados à etapa de tratamento dos riscos.
• Aceitação do risco – após a realização dos devidos tratamentos, os riscos
resultantes são considerados aceitos pelo contexto previamente estabelecido.
• Comunicação do risco – nesta etapa ocorre a troca ou compartilhamento da
informação sobre o risco. É realizada entre o tomador de decisão e os outros
interessados. A informação pode estar relacionada a existência, a natureza, a forma, a
probabilidade, a gravidade, a aceitabilidade, ao tratamento ou outros aspectos do risco.
• Monitoramento e análise crítica de riscos – o monitoramento é um processo
contínuo de verificação, supervisão, observação crítica ou identificação da situação
para identificar mudanças. A análise crítica é a atividade realizada para determinar a
adequação, suficiência e eficácia do assunto em questão para atingir os objetivos.
Um cenário para o processo de gerenciamento de risco apresentado na Figura

5, onde temos as seis etapas definidas: definição de contexto, análise e avaliação dos
riscos, tratamento dos riscos, aceitação dos riscos, comunicação dos riscos e por fim
monitoramento e análise crítica de riscos. Você poderia na definição de contexto, avaliar
o ambiente organizacional, identificando escopo, limites e critérios, onde, por exemplo,
seria avaliar um contexto de um ambiente de Call Center, onde temos envolvidos,
pessoas, tecnologias e recursos. Ainda, nesta etapa, você definiria critérios de risco,
por exemplo, risco alto, problema de saúde das pessoas, inviabiliza a operação do Call
Center. Na análise e avaliação dos riscos, é uma etapa maior onde você identificaria os
ativos que tem importância e podem ter perda potencial no Call Center, por exemplo, as
pessoas, a central telefônica, o sistema de registro de atendimento. Aqui nesta etapa
se define a estimativa para cada ativo, por exemplo, as pessoas risco médio, a central
telefônica risco alto, o sistema de registro de atendimento risco baixo. E a avaliação
do risco probabilidade de ocorrência, por exemplo, as pessoas com alta probabilidade
de ter algum problema – algum problema de saúde, a central telefônica com pouca
probabilidade de ter problema – falhas de hardware ou software, o sistema de registro de
atendimento com média probabilidade de ter problema – bugs conhecidos na aplicação.
Na fase de tratamento dos riscos, serão tomadas as medidas preventivas para evitar que
o risco ocorra, por exemplo, avaliação médica de rotina para evitar a falta de pessoal, e/
ou pessoas extra, para suprir eventuais faltas. Na fase de aceitação dos riscos, os riscos
que não tenham um impacto considerável não há certa ação, por exemplo, problemas
com a central telefônica não são tratados, apenas aceitos. Na fase de comunicação dos
riscos, significa divulgar o risco entre as equipes, por exemplo, divulgar um painel na
11
organização dos riscos possíveis para que toda a equipe se conscientize. E, por fim, na
fase de monitoramento e análise crítica de riscos, é a etapa que fecha o ciclo de vida e
fica sempre avaliando e retornando as possíveis ações e relatórios sobre as ocorrências,
por exemplo, no ambiente de Call Center, monitorando os riscos possíveis e suas ações
e análises.
DICA
O call center é um termo em inglês que significa central de chamada telefônica,
ou seja, uma central de atendimento telefônico.
O Nist descreve outra perspectiva de um processo de gestão de risco, a abordagem

é compatível com o processo definido por ISO/IEC 27005. A Figura 6 apresenta as quatro
etapas do processo de gerenciamento de risco definido pela norma SP (do inglês, Special
Publication) 800-30 do Nist contém as seguintes etapas:
• Estruturação do risco – corresponde à etapa de definição de contexto do risco da

ISO/IEC 27005, descreve o ambiente em que as decisões baseadas em risco devem
ser tomadas. O objetivo é construir uma estratégia de gerenciamento de risco para
a tomada de decisão, ou seja, definir o planejamento das ações que serão adotadas
para cada risco identificado. Por exemplo, se no contexto do Call Center, ao mapear
um risco de indisponibilidade do sistema de registro de atendimento, poderíamos ter
um sistema de registro alternativo ou um processo manual de registro.
• Avaliação de risco – corresponde ao processo de avaliação de risco da ISO/IEC
27005. Nesta etapa, as organizações avaliam o risco dentro do contexto do quadro de
risco organizacional. O objetivo é identificar: as ameaças; as vulnerabilidades internas
e externas; os danos (isto é, impacto); e a probabilidade de dano ocorrer. O resultado
é uma determinação de risco (ou seja, normalmente uma função em relação ao grau
e a probabilidade do dano). Por exemplo, se no contexto do Call Center, ao identificar
um risco de indisponibilidade, faz-se a avaliação do risco de ocorrer efetivamente o
problema e se determina os possíveis danos ao contexto, assim tem-se uma métrica.
• Resposta ao risco – corresponde ao processo de tratamento de risco da ISO/IEC
27005. Aborda como as organizações respondem ao risco. O objetivo é fornecer uma
resposta consistente ao risco em toda a organização, por exemplo, desenvolvendo
e implementando ações apropriadas para mitigar o risco. No caso do Call Center,
se o risco é alto, você poderia contratar um link reserva de Internet para mitigar a
possibilidade de prejuízo à organização, tendo, assim, uma situação de contorno.
12
• Monitoramento do risco – o quarto componente do gerenciamento de riscos
aborda como as organizações monitoram os riscos ao longo do tempo. O objetivo é
determinar a eficácia das respostas, identificar mudanças e verificar se as respostas
planejadas aos riscos foram implementadas.
DICA
Conheça mais da norma SP 800-30 (Rev. 1) no Site do Nist em:
https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final.
FIGURA 6 – PROCESSOS DE GERENCIAMENTO DE RISCO DA NORMA NIST SP 800-30 REV 1
FONTE: Adaptado de NIST (2012)
Os processos de gestão do risco ainda podem incluir o tratamento do risco. Em

segurança da informação, antes de executar tratamento do risco, é necessário que sejam
avaliados os critérios com relação à aceitação do risco. Para cada risco identificado deve
se tomar uma decisão. As decisões são descritas pela norma ISO/IEC 17799 (2000), que
descreve um conjunto de práticas orientadas para a gestão da segurança da informação.
As decisões são:
13
• Aplicar controles para reduzir os riscos.
• Reconhecer e aceitar o risco.
• Não permitir ações que podem causar risco.
• Transferir, repassando o risco.
Você, no processo de aceitação do risco, poderia, por exemplo, reconhecer as

possibilidades de no Call Center haver prejuízos na empresa (recursos humanos, sistemas,
processos, equipamentos). No caso de risco na central telefônica, a ação poderia
repassar o risco para um terceiro, que prestaria a manutenção ou ficaria responsável por
manutenções preventivas, mitigando o risco.
Existem diversas classificações para medir a proteção de um ambiente de TI que

deve serem utilizadas para tratar o risco. Os riscos devem ser mitigados ou atenuados.
Uma possível classificação das medidas de proteção (BAARS et al., 2018) é:
• Medidas Preventivas – auxiliam no controle ou na redução da probabilidade se

concretizar. As ações preventivas diminuem as vulnerabilidades, evitando, assim, a
ocorrência ou ação das ameaças.
• Medidas Corretivas ou Reativas – reduzem o impacto causado. São as medidas
reativas tomadas após um possível ataque e/ou evento.
• Medidas Defectivas – é o método utilizado que expõe ataques e/ou incidentes com
o objetivo de criar reações e evitar e/ou reduzir a sua concretização.
A norma ISO/IEC 27001 (2013) indica os objetivos do tratamento do risco para o

processo de segurança da informação:
• Utilizar a avaliação de risco para selecionar opções de tratamento.

• Determinar os controles necessários para o tratamento dos riscos.
• Efetuar comparações entre os controles escolhidos para o tratamento do risco.
• Confeccionar o plano de tratamento de risco.
14
RESUMO DO TÓPICO 1
Neste tópico, você adquiriu certos aprendizados, como:
• O risco é uma combinação da probabilidade de um evento e de suas consequências.
• O risco pode ainda ser definido como o potencial de uma ação ou atividade escolhida
levar a uma perda ou evento indesejável.
• A probabilidade é calculada ou obtida em função do nível de maturidade do processo

de tecnologia da informação, ou melhor, perspectiva de ocorrência do risco. É expresso
em valores percentuais.
• O impacto é atribuído conforme a consequência da ocorrência de uma

determinada ação.
• A análise de risco consiste no processo de compreender a natureza do risco e

determinar o nível de risco de um determinado evento, obtendo, dessa forma, uma
classificação.
• A série de normas ISO/IEC 27000 estabelece as condições necessárias para

estabelecer, implementar, manter e melhorar continuamente um sistema de gestão
de segurança da informação.
• A ISO/IEC 27005 trata a extensão de um risco para um risco de tecnologia da

informação.
• O risco em tecnologia da informação pode ser determinado por um produto

dos valores de: ameaça, vulnerabilidade e os ativos – (risco = ameaças *
vulnerabilidades * ativos).
• O conceito do risco relacionado à segurança da informação está vinculado à

possibilidade de um determinado evento explorar uma possível fragilidade de um ativo.
• A gestão do risco deve seguir uma estratégia de governança corporativa, tratando

um ciclo de planejamento, execução, checagem, e avaliação – PDCA.
• O risco é expresso em valores percentuais e é assim classificado em níveis de

avaliação, geralmente definidos em: baixo, médio e alto.
• O processo de avaliação de riscos de segurança da informação é definido na ISO/IEC

27005, seguindo uma metodologia PDCA.
15
• A visão do ciclo de vida do processo de gerenciamento de riscos pela norma ISO/
IEC 27005 tem seis grupos principais de atividades são elas: definição do contexto,
análise/avaliação de riscos, tratamento do risco, aceitação do risco, comunicação do
risco, monitoramento e análise crítica de riscos.
• A gestão de risco descrita pelo Nist (2012) é um processo definido que apresenta
quatro etapas do processo de gerenciamento de risco definido pela norma SP 800-
30 Rev. 1.
• A norma SP 800-30 Rev. 1 contém as seguintes etapas: estruturação do risco,

avaliação de risco, resposta ao risco e monitoramento do risco.
16
AUTOATIVIDADE
1 O gerenciamento de riscos de TI pode ser considerado um componente de um
sistema de gerenciamento de riscos corporativo. O gerenciamento de riscos e a
conformidade com as questões legais são pré-requisitos para o desenvolvimento de
suma boa estratégia de segurança. Sobre a definição de risco, é CORRETO afirmar:
a) ( ) Risco é uma combinação da probabilidade de um evento e de suas consequências.

b) ( ) Risco é diferença entre a probabilidade de um evento e de suas consequências.
c) ( ) Risco é uma forma de gerenciar os processos (metodologias, normas e
procedimentos).
d) ( ) Risco é uma forma de gerenciar as pessoas (cultura, capacitação e
conscientização).
e) ( ) Risco é uma forma de gerenciar a tecnologia (ferramentas que comportam os
recursos físicos e lógicos).
2 A série de normas ISO/IEC 27000 – do inglês, International Organization for

Standardization – (ISO/IEC 27001, 2013) estabelece as condições necessárias para
estabelecer, implementar, manter, melhorar continuamente um sistema de gestão
de segurança da informação. Sobre a definição de risco, qual é a ISO que trata a
extensão de um risco para um risco de tecnologia da informação?
a) ( ) ISO/IEC 27005.
b) ( ) ISO/IEC 27001.
c) ( ) ISO/IEC 27002.
d) ( ) ISO/IEC 27003.
e) ( ) ISO/IEC 27004.
3 O nível de risco fornece uma medida da amplitude do risco, calculada em termos da

consequência da realização do risco e da probabilidade da ocorrência do risco. O risco
é expresso em valores percentuais e é assim classificado em níveis de avaliação. O
modelo Nist estabelece quais valores para a classificação do risco?
a) ( ) Os valores: baixo, médio e alto.

b) ( ) Os valores: padrão, conciso e perturbado.
c) ( ) Os valores: 1, 2 e 3.
d) ( ) Os valores: pequeno, médio, grande.
e) ( ) Os valores: I, II e III.
17
4 O processo de avaliação de riscos de segurança da informação é definido na ISO/IEC
27005 (2018), seguindo uma metodologia PDCA. A visão do ciclo de vida do processo
de gerenciamento de riscos pela norma ISO/IEC 27005 tem seis grupos principais de
atividades. Quais são elas?
a) ( ) Definição do contexto, análise/avaliação de riscos, tratamento do risco, aceitação

do risco, comunicação do risco, monitoramento e análise crítica de riscos.
b) ( ) Definição da estrutura, análise de riscos, avaliação do risco, aceitação do risco,
comunicação do risco, monitoramento e análise crítica das ameaças.
c) ( ) Definição da estrutura, análise de riscos, avaliação do risco, aceitação do risco,
comunicação do risco, monitoramento e análise crítica das vulnerabilidades.
d) ( ) Definição do contexto, avaliação de riscos, análise do risco, comunicação do
risco, aceitação do risco, monitoramento de riscos.
e) ( ) Definição do contexto, avaliação de riscos, análise do risco, monitoramento do
risco, aceitação do risco, comunicação de riscos.
5 Existem outros modelos para o gerenciamento de riscos, umas das recomendações é

descrita pelo Nist (2012). A gestão de risco descrita pelo Nist (2012) apresenta quatro
etapas do processo de gerenciamento de risco definido pela norma SP 800-30 Rev.
1. Quais são essas etapas?
a) ( ) Estruturação do risco, avaliação de risco, resposta ao risco e monitoramento do risco.

b) ( ) Análise do risco, avaliação de risco, resposta ao risco e monitoramento do risco.
c) ( ) Avaliação do risco, tratamento de risco, resposta ao risco e monitoramento do risco.
d) ( ) Resposta ao risco, monitoramento do risco, aceite do risco e análise de risco.
e) ( ) Resposta ao risco, monitoramento do risco, contexto do risco e avaliação de risco.
18
CONCEITOS DE AMEAÇA E ATAQUE
1 INTRODUÇÃO
Os incidentes podem causar, dentro da segurança da informação, uma
interrupção do serviço ou a perda da qualidade. Trata-se de um evento, confirmado ou
em suspeita, que leva a afetar os princípios básicos da segurança da informação. Os
agentes causadores dos incidentes são as ameaças à segurança da informação. As
ameaças têm crescido com o passar do tempo e com a evolução tecnológica.
As redes públicas e privadas têm sofrido com incidentes constantes,

provocando perdas, criando impactos negativos. As redes são invadidas por usuários
não autorizados e/ou por programas maldosos, o que causa perda de confiabilidade. A
cada ano que passa há um aumento nos incidentes de descoberta de vulnerabilidades
de diversos sistemas, muitos dos quais relatados pelo CERT (Computer Emergency
Response Team).
Normalmente, vários são os ataques contra usuários finais, por serem mais fáceis
e rentáveis tem ocorrido com frequência. As motivações para os ataques são de diversos
propósitos, como o financeiro. O objetivo financeiro, onde os criminosos desejam apenas
lucrar financeiramente com o ataque, por exemplo, roubando a senha bancária do
usuário e consequentemente roubando seu saldo bancário. Outra motivação é onde os
atacantes almejam a espionagem, desejando roubar informações que possam agregar
na competitividade ou até mesmo apenas por curiosidade. E outra motivação ainda é
quando outros atacantes, desejam fazer a sabotagem dos seus concorrentes. O fato
é que o ambiente de computação tem sido alvo de ameaças e ataques cada vez mais
constantes, e as aplicações web vulneráveis crescem com avanço rápido.
NOTA
O CERT é um Centro para Resposta e Tratamento de Incidentes
de Computadores. Existem vários grupos em todo o mundo que
auxiliam os estudos de segurança da informação.
19
Alguns dados sobre perda de dados estão disponíveis em sites como Wikipédia ou
Vigilante.pw (respectivamente, https://en.wikipedia.org/wiki/List_of_data_breaches,
https://vigilante.pw/) onde, por exemplo:
• Adobe – sofreu um ataque virtual e expos 152 milhões de nomes e senhas de usuários
em 2013.
• Facebook – sofreu um ataque virtual e expos no serviço de computação em nuvem
da Amazon, 540 milhões de registros de usuários, em 2019.
• Equifax (agência de relatório de crédito americana) – teve 163.119.000 registros de
clientes roubados em 2017, expondo números de Seguro Social, nomes, data de
nascimento, entre outros dados.
NOTA
Conheça mais sobre CERT no endereço http://cert.org/.
O escopo deste tópico cobrirá os assuntos relacionados ao entendimento das

ameaças, e dos ataques, desde os conceitos relacionados aos tipos de ameaças até sobre
os principais ataques encontrados nos ambientes computacionais.
2 AMEAÇAS
Neste subtópico, caro acadêmico, você conhecerá os conceitos relacionados
com as ameaças sobre os sistemas de tecnologia da informação. As ameaças são
elementos que têm a condição de explorar vulnerabilidades e causar problemas a
sistemas de informação e redes de computadores, incluindo fraudes eletrônicas,
espionagem, sabotagem, vandalismo, incêndio e inundação (ISO/IEC 17799, 2000).
É importante destacar que de acordo com a norma ISO/IEC 27002, a segurança

da informação consiste na preservação de três características básicas, apresentadas
na Figura 7:
• Confidencialidade – garantia de que a informação seja acessada somente por

pessoas autorizadas.
• Integridade – salvaguarda da exatidão e da integridade da informação e dos
métodos de processamento.
• Disponibilidade – garantia de que apenas os usuários autorizados podem obter
acesso à informação e aos ativos correspondentes, sempre que necessário.
20
FIGURA 7 – CARACTERÍSTICAS DE SEGURANÇA DA INFORMAÇÃO
FONTE: Adaptado de Dantas (2011)
A literatura ainda ressalta que a segurança da informação está relacionada

não apenas com as características, as propriedades de segurança da informação, mas
também com os estados da informação, e as medidas de segurança, apresentadas na
Figura 8. Os estados da informação são descritos pelas propriedades de segurança
da informação já conceituados, confidencialidade, integridade e disponibilidade. Os
estados da informação são relacionados com a transmissão, o processamento e o
armazenamento da informação, conectados com a situação da informação, onde ela
está e como ela está. Já as medidas de segurança se relacionam com o que fazer para
se proteger, as políticas e procedimentos de segurança da informação que devem fazer
parte do portfólio da instituição para se proteger de possíveis ameaças e ataques. As
possíveis ferramentas, as ferramentas tecnológicas que serão utilizadas para a proteção
e, ainda, as maneiras de conscientização que servirão de base para a construção de
uma prática segura dentro das instituições (ISO/IEC 27001, 2013).
21
FIGURA 8 – FATORES SOBRE A SEGURANÇA DA INFORMAÇÃO
FONTE: Adaptado de <https://www.ibm.com/developerworks/security/library/s-confnotes2/>. Acesso em:

10 jun. 2020.
NOTA
O NIC.BR Security Office (CERT.br) é responsável por receber, revisar
e responder a relatos de incidentes de segurança envolvendo a
Internet brasileira.
O CERT.br é o grupo de resposta a incidentes de segurança para

a Internet brasileira, mantido pelo NIC.br, do Comitê Gestor da
Internet no Brasil. O CERT.br é responsável por receber, analisar e
responder a incidentes de segurança envolvendo redes conectadas
à internet no Brasil.
A ISO/IEC 27002 cita a importância da implantação de uma política de segurança

da informação onde os requisitos que da política precisam contemplar as estratégias
de negócio, regulamentação, legislação e contratos, as ameaças (atuais e futuras) no
ambiente de segurança da informação.
22
DICA
A Política de Segurança da Informação é um dos passos principais
na gestão de segurança da informação. Essa política é composta de
uma documentação representando as diretrizes que a organização
escolheu para gerir a política de segurança.
As ameaças são classificadas quanto a sua intencionalidade (SÊMOLA, 2014),

que são:
• Naturais – ameaças causadas por fenômenos da natureza, são causas que

acontecem naturalmente, como incêndios, enchentes, terremotos, tempestades,
poluição, entre outros.
• Involuntários – ameaças inconscientes, geralmente causadas pelo desconhecimento,
sem a intenção, como um erro no procedimento de atendimento de um cliente, um
acidente de trabalho (um escorregão num piso molhado), a falta de conhecimento
dos ativos (algum recurso (ativo) não mapeado na organização), entre outros.
• Voluntárias – são ameaças propositais, que têm relação direta com a exploração
indevida de falhas. Por exemplo, a ação causada por hackers, invasores, criadores e
disseminadores de vírus, entre outros.
No contexto das tecnologias de informação uma ameaça refere-se a qualquer

circunstância que tenha potencial de causar danos ao sistema, por exemplo, uma
cópia ilegal de dados pessoais de clientes no Call Center. As ameaças podem gerar
vulnerabilidades que por sua vez podem ser exploradas colocando em risco, por exemplo,
indivíduos, sistemas ou organizações. No caso do Call Center, a vulnerabilidade seria
a falta de um mecanismo que pudesse evitar tal cópia dos dados. Podem ser mal-
intencionadas, quando existe a vontade de prejudicar algo ou alguém, ou por erro
humano (NIST, 2012).
O NIST define uma ameaça como “qualquer circunstância ou evento com o potencial
de afetar negativamente as operações organizacionais, indivíduos, outras organizações
através de um sistema de informação por via de acessos não autorizados” (NIST, 2012).
Existem quatro tipos principais de ameaças (SHOSTACK, 2014):
• Ameaças não estruturadas – em geral envolvem indivíduos inexperientes, com

habilidades limitadas e em desenvolvimento. O invasor utiliza ferramentas maliciosas
facilmente acessíveis e tentam explorar suas funcionalidades. A intenção maliciosa
pode ou não existir, no entanto, podem causar danos à operacionalidade do sistema
atacado. O sistema, muitas vezes, é pouco conhecido pelo invasor. No contexto
23
do Call Center, o invasor acaba usando o acesso ao sistema de autenticação para
realizar tentativas de logon com senhas padrão por exemplo, com usuário “admin” e
senha “admin”. O invasor não tem um sistema que deseja comprometer, no entanto,
vai testando algumas alternativas sem qualquer pretensão de alvo específico.
• Ameaças estruturadas – este tipo de ameaças vem de indivíduos com mais
habilidades técnicas que trabalham para comprometer um sistema. Os sistemas já
podem ser mais conhecidos sendo selecionados aleatória ou especificamente, com
um objetivo mais claro de ataque. O invasor ou invasores já podem desenvolver
ataques e utilizar técnicas de invasão mais sofisticadas, por exemplo, com scripts ou
aplicativos maliciosos. Neste caso, o atacante tem um objetivo específico e conhece
das ferramentas e possibilidades. No sistema do Call Center, já pode ter efetuado um
escaneamento de rede e verificado as portas de rede abertas e assim direcionar o
ataque às portas com maiores vulnerabilidades, ou seja, com problemas conhecidos.
• Ameaças externas – essas ameaças partem de indivíduos de fora da empresa, sem
acesso autorizado aos sistemas, sem acesso direto. O ataque pode ser estruturado
a partir de uma fonte externa, e afetar os sistemas internos da organização, ou até
mesmo comprometendo as atividades de um ou mais colaboradores da organização.
Podemos pensar que no Call Center, uma ameaça externa é quando um invasor
sem autorização de acesso faz um acesso não autorizado para roubar informações
pessoais do cadastro de clientes da organização.
• Ameaças internas – as ameaças internas são originadas de indivíduos com acesso
autorizado à organização, ou seja, funcionários, pessoas de dentro da organização.
E, ainda, pode ser considerada de origem interna, quando um funcionário insatisfeito
deixa a organização e se utiliza dos acessos que ainda possui, para desferir ataques.
São os indivíduos insatisfeitos, oportunistas ou infelizes, cujo acesso ainda está ativo,
ou seja, ainda tem o acesso autorizado, por exemplo, há uma senha válida. Muitas
pesquisas e estudos mostram que os ataques internos podem ser significativos tanto
no número quanto no tamanho de quaisquer perdas. Em geral, esses indivíduos
utilizam de uma posição privilegiada para disferir um ataque. Você poderia imaginar
um supervisor de atendimento no Call Center, capturando dados dos clientes, por
exemplo, dados financeiros para depois obter alguma vantagem extra.
A avaliação do risco é um ponto fundamental nas organizações permitindo

entender como a organização pode ser atacada e que impactos que podem provocar.
A criação de um modelo, adaptado à empresa, permite classificar a ameaças e a definir
regras de atuação. A OWASP propõe um modelo que permite identificar, quantificar e
tratar os riscos de segurança associadas a uma aplicação (pode ser aplicação, software,
funcionalidade) (OWASP, 2020):
• Decompor a aplicação – o objetivo é perceber como a aplicação e/ou funcionalidades

interage com as outras entidades e/ou atores. Identificar as entradas da aplicação,
que são um ponto por onde o invasor pode aproveitar de alguma vulnerabilidade.
Assim como identificar os tipos de acessos (usuário x perfil de acesso) que são
concedidos a entidades autênticas.
24
• Determinar e classificar ameaças – esta etapa representa um método de
identificação e categorização de uma ameaça. O objetivo é tentar identificar as
ameaças do ponto de vista do atacante, assim como da perspectiva do defensor e
classificá-las de ponto de vista do risco.
• Identificar medidas e mitigação – a implementação de medidas corretivas
que mitiguem as ameaças identificadas. Como as ameaças têm um valor de risco
predefinido é possível priorizar as regras que visem a sua correção e assim fazer uma
correta avaliação do risco. Não significa a sua correção desde que a avaliação do risco
não a justifique.
Você poderia imaginar no modelo da OWASP exemplificado no Call Center,

ao decompor a aplicação, teríamos um detalhamento, ou um fluxo dos dados e suas
responsabilidades. A aplicação que efetua registro de atendimentos, pode ter uma
funcionalidade de cadastro que apenas usuário cadastrados na aplicação com perfil
atendente têm acesso. Já para a mesma aplicação, a funcionalidade de exclusão
apenas o supervisor de atendimento tem o acesso. Assim, na etapa de determinar
e classificar as ameaças, você estabeleceria que o perfil de cadastro tem nível baixo
de ameaça, já no perfil de exclusão a ameaça é alta. E, por fim, com esses dados é
possível identificar medidas e mitigação, determinar para perfil de exclusão ter um
profissional melhor treinado e com senha de maior nível de segurança, mitigando o
risco de quebra de senha.
Como vimos, as ameaças não são apenas a nível computacional, existem

igualmente ameaças físicas como desastres, incêndios, falta de energia etc. Assim
como ameaças humanas como roubo, suborno, invasões, entre outras. Em uma
organização todo tipo de ameaça deve ser identificada assim como estar previsto no
plano de emergência.
NOTA
Um plano de emergência em segurança da informação, faz parte
do planejamento do risco. A organização deve ter um plano de
contingência para eventuais emergências envolvendo seus produtos,
serviços essenciais para a continuidade do negócio.
As principais ameaças encontradas na literatura (ISO/IEC 27005, 2018; SÊMOLA,

2014; STALLINGS, 2010) descritas são:
• Processamento ilegal dos dados – a informação sofre uma série de tarefas

sequencialmente realizadas com o intuito de produzir um arranjo determinado de
informações a partir de outras obtidas inicialmente sem autorização. Um exemplo,
poderia ser quando alguém (atacante) monitora a atividade Web de uma outra pessoa.
25
O atacante coleta diversos dados que juntos podem agregar valor e produzir uma
informação importante. Esses dados podem ser CPF, nome, e-mail, sites acessados,
fotos, pesquisas para compra. A informação gerada pode produzir uma ameaça à
segurança da pessoa.
• Divulgação indevida – a informação é processada e divulgada sem autorização
do proprietário. Você poderia imaginar alguém coletando seus dados ou fotos e
republicando em alguma rede social sem autorização.
• Cópia ilegal – a informação é processada e copiada para outro local sem permissão.
Quando alguém faz a cópia de arquivos de uma instituição sem a devida autorização,
por exemplo, arquivos da contabilidade da instituição.
• Dano físico à mídia – quando o dispositivo ou mídia sofre alguma ação de prejuízo,
acidental ou intencionalmente, ocasionando a perda dos dados e da mídia. Você
poderia imaginar que seu pendrive pudesse quebrar ou molhar, por exemplo.
• Engenharia social – manipulação psicológica de pessoas para a execução de ações
ou divulgação das informações confidenciais. Esta é uma ameaça muito utilizada,
quando você recebe e-mails falsos de instituições bancárias solicitando a devida
atualização cadastral.
• Modificação de dados sem autorização – a informação é alterada/modificada sem
autorização do proprietário. Dentro do ciclo de vida da informação temos o processo
de modificação. Neste caso, por exemplo, algum invasor acessa o banco de dados da
aplicação e modifica as informações dos usuários.
• Ataques baseados em senhas – um software malicioso realiza a execução de
algoritmos baseados em dicionários de palavras na tentativa de descobrir a senha
original. Você, acadêmico, poderia imaginar um invasor com um pouco mais de
experiência poderia utilizar um arquivo com muitas possibilidades de senhas
(dicionário de senhas), para tentar realizar um acesso não autorizado na aplicação,
por exemplo, de registro de chamados no Call Center.
• Acesso não autorizado das informações – a informação é acessada por pessoas
sem permissão. Por exemplo, alguém sem autorização pode invadir o sistema, a
aplicação e ter acesso aos dados pessoais dos clientes do Call Center.
• Abuso de poder – membro da organização com posição hierárquica maior utiliza-se
de sua autoridade para obter acesso às informações sigilosas. Neste caso, o abuso de
poder, é quando por exemplo, o gerente do Call Center, se apropria das informações
do cliente para fins particulares.
• Espionagem a distância – ato ou efeito de espionar, quando por exemplo alguém
secretamente observa de forma remota as ações de um determinado usuário. Por
exemplo, um invasor fica monitorando as ações e informações do Call Center através
da Internet.
• Espionagem interna e externa – ato ou efeito de espionar, podendo ser de
pessoas de fora ou de dentro da empresa. A espionagem pode ser de funcionários da
organização, ameaças internas ou de pessoas terceiras a organização, por exemplo,
capturando dados estratégicos de marketing da organização.
• Comprometimento dos dados – a informação sofre algum incidente de tal forma
que perca sua integridade. É quando algum atacante modifica os dados na base de
dados da aplicação, corrompendo os dados pessoais registrados.
• Furto de equipamentos – roubo dos equipamentos da organização tornando
as informações dos dispositivos inacessíveis. É a ameaça quando alguém rouba o
equipamento físico, pode ocorrer independente da tecnologia.
26
• Defeito de software – o serviço prestado pelo software é desviado do serviço
correto. A falha pode ocorrer, quando por exemplo uma implementação errada na
aplicação gera um bug no software.
• Falha de equipamento – um equipamento (hardware) apresenta problemas
de funcionamento. O equipamento físico, uma placa eletrônica queima algum
componente gerando um comportamento errado.
• Falhas de protocolo – alguma falha de comunicação entre os protocolos, deixando
vulnerável a interceptação da informação. É quando, por exemplo, um fluxo do
protocolo do sistema de registro foi modelado de forma errada e não armazena os
dados do registro da demanda de atendimento de forma correta, gerando falhas no
atendimento ao cliente.
• Falhas de autenticação – o sistema possui erros de projetos levando a falhas de
autenticação. Um exemplo, seria quando por um erro do sistema é provocado uma
autenticação em uma funcionalidade incorreta ao atendente do Call Center.
• Ataques de Negação de Serviço (do inglês, DDoS – Denial Of Service) – ataques
que visam causar indisponibilidade dos serviços de um determinado processo através
do envio de simultâneas requisições. É quando por exemplo o sistema do Call Center
fica indisponível pois um atacante gerou muitas requisições à aplicação e gerou um
sobrecarga no servidor e parou o sistema.
A maioria das ameaças podem causar incidentes de segurança em todas as

etapas do ciclo de vida da informação: criação, armazenamento, transporte e descarte.
Por exemplo, um ataque de força bruta pode ocorrer e gerar problemas de segurança,
roubando dados dos usuários, quando a informação está sendo criada, armazenada,
transportada ou descartada (SHOSTACK, 2014).
IMPORTANTE
Um ataque de força bruta é quando um invasor realiza diversas tentativas
persistentes de forma exaustiva até conseguir os dados que deseja.
Se pensarmos no ciclo de vida da informação podemos atentar para uma

diferenciação das ameaças que ocorrem em cada uma das partes. Na sequência
descrevemos cada uma dessas ameaças.
A espionagem a distância e o acesso de endereços não conhecidos ou não

confiáveis geralmente não afetam a criação e nem o descarte da informação, pois a
ameaça ocorre somente quando o arquivo/dado já está ativo/criado, incidindo o risco
apenas no armazenamento e transporte (SHOSTACK, 2014).
27
As ameaças como dano físico à mídia, furto dos equipamentos, defeito de
equipamentos, modificação ilegal dos dados não ocorrem no momento do descarte da
informação, pois se os equipamentos/informações não forem mais úteis para o negócio,
dificilmente poderá afetar o negócio da empresa (SHOSTACK, 2014).
Em paralelo, algumas ameaças se fazem presente na fase do descarte, sendo

assim, se uma informação for descartada incorretamente, ela poderá ser utilizada
ilegalmente por pessoas mal-intencionadas, tornar-se um problema para os negócios
da organização (SHOSTACK, 2014).
NOTA
Crime cibernético é uma atividade criminosa que tem como alvo ou faz uso de um
computador, uma rede de computadores ou um dispositivo conectado em rede.
Os principais tipos de ameaças podem ainda se diferenciar em sistemas de

tecnologia da informação que comprometem o correto funcionamento de programas que
auxiliam o dia a dia das organizações. Impedir que ameaças explorem os pontos fracos e
afetem os princípios básicos da segurança (integridade, disponibilidade, confiabilidade) é
um dos objetos da segurança da informação, a fim de não provocar danos aos sistemas
da informação (SÊMOLA, 2014). Uma das duas ameaças à segurança que ganha maior
destaque é a do intruso (a outra são os vírus), geralmente conhecido como hacker ou
cracker (STALLINGS, 2010).
Uma ameaça é qualquer causa potencial de um incidente, resultando em danos

aos ativos. Por exemplo: dano físico (incêndio, inundação, envenenamento); evento
natural (climático, sísmico, vulcânico), perda de serviços (eletricidade, telecomunicações);
comprometimento da informação (espionagem, roubo). Falha técnica (equipamento,
software); comprometimento de funções (erro, abuso, negação). As ameaças podem se
transformar de duas maneiras: acidental ou malicioso.
Você pode observar, a seguir, alguns exemplos de ameaças em sistemas de TI:
• Vírus – programas desenvolvidos para destruir dados ou sistemas de computador.

• Worms – possui a capacidade de autorreplicação, exploram vulnerabilidades e não
necessitam da interação com usuário.
• Bots – propaga-se automaticamente explorando vulnerabilidades ou falhas na
configuração de softwares, e pode ser controlado remotamente.
• Keyloggers – programas que registram as teclas digitadas pelo usuário, incluindo
senhas, cartão de crédito e números da conta.
• Screenlogger – programa capaz de armazenar a posição do cursor e a tela
apresentadas no monitor.
28
2.1 MODELAGEM DE AMEAÇAS
O conhecimento das ameaças é crucial para a definição dos requisitos de um
sistema, pois auxilia na seleção das medidas de segurança que serão desenvolvidas,
implementadas e instaladas. E você poderia utilizar do processo de modelagem de
ameaças para compreender as possíveis ameaças dos sistemas, e buscar medidas de
contorno para se proteger. O processo de modelagem de ameaças está se tornando
comum na engenharia de software, onde existe a preocupação em garantir a segurança
da informação.
Uma modelagem de ameaças é uma abordagem estruturada para identificar

potenciais ameaças que poderiam explorar vulnerabilidades do sistema. Essa
modelagem tem como foco determinar quem seria o atacante e como este atacante
poderia ter sucesso no ataque. É uma forma de antecipar as ameaças que poderiam
afetar o sistema (SHOSTACK, 2014).
Mas você pode se perguntar: o que é a modelagem de ameaças? A modelagem de

ameaças se compreende pelo uso de modelos para encontrar problemas de segurança.
Usar um modelo significa abstrair muitos detalhes para dar uma olhada em uma imagem
maior, em vez do código em si. Você modela porque permite encontrar problemas em
coisas que ainda não foram criadas e porque permite detectar um problema antes que
ele comece. Assim a modelagem de ameaças é uma forma de antecipar as ameaças
que podem afetá-lo (SHOSTACK, 2014).
Um exemplo de modelagem poderia ser, quando identificamos no Call Center,

um desenho de como os sistemas se relacionam, quais os papéis das pessoas envolvidas
em cada uma das fases. Poderíamos assim ter um modelo com as funcionalidades e os
pontos fortes e fracos em cada fase do processo. Por exemplo, as responsabilidades dos
atendentes são menores do que as dos supervisores. Mesmo assim, ainda poderíamos
ter os administradores do sistema com maior acesso às funcionalidades e diferentes
camadas do sistema de registro de atendimentos.
Uma das metodologias usadas para a modelagem de ameaças é a STRIDE (do

inglês, Spoofing, Tampering, Repudiation, Information disclosure, Denial of service,
Elevation of privilege, ou seja, falsificação, adulteração, repúdio, divulgação de
informações, negação de serviço, elevação de privilégio) da Microsoft (SHOSTACK, 2014).
Stride é uma metodologia de modelagem de ameaças desenvolvido por Praerit Garg e
Loren Kohnfelder na Microsoft para identificar ameaças à segurança de computadores.
O modelo divide as ameaças de segurança em seis categorias. As ameaças de segurança
são divididas em: falsificação, adulteração, repúdio, divulgação de informações (violação
de privacidade ou vazamento de dados), negação de serviço e elevação de privilégio. A
Figura 9 apresenta a taxonomia de ameaças em segurança no seu ciclo de vida.
29
FIGURA 9 – MODELAGEM DE AMEAÇAS STRIDE
FONTE: Adaptado de <https://msdn.microsoft.com/en-us/library/ee823878(v=cs.20).aspx>.

Acesso em: 4 nov. 2020.
DICA
Conheça mais sobre o projeto Stride de modelagem de ameaças da
Microsoft visitando a página na internet https://msdn.microsoft.com/en-
us/library/ee823878(v=cs.20).aspx.
Outra metodologia utilizada para a modelagem de ameaças de segurança é

descrita por (DENG, 2011). A metodologia intitulada de LINDDUN vem do acrônimo, ligação,
identificação, não repúdio, detecção, descoberta de informações, desconhecimento e
não conformidade (do inglês, Linkability, Identificability, Non-repudiation, Detectability,
Disclosure of information, Unawareness, Non-compliance). A metodologia avalia
cada uma dessas características que representa a sigla, nas diferentes categorias
de segurança. LINDDUN é basicamente uma técnica de modelagem de ameaças que
considera de forma sistemática as questões de privacidade.
30
A metodologia LINDDUN foi avaliada e melhorada com base em resultados
empíricos surgindo a metodologia LIND(D)UN 2.0 (WUYTS, 2015). A nova metodologia
LIND(D)UN 2.0 (WUYTS, 2015) por um lado, estende o catálogo de árvore de ameaças,
e por outro, simplifica a metodologia, acrescentando uma etapa de priorização do
impacto das ameaças, considerando as tecnologias de reforço de privacidade – PET
(do inglês, Privacy Enhancing Technologies) existentes. A Figura 9 apresenta o fluxo da
metodologia LIND(D)UN 2.0 (WUYTS, 2015), a técnica LINDDUN melhorada.
A metodologia LIND(D)UN 2.0, conforme apresentado na Figura 10, é dividida

em etapas para o espaço do problema e o espaço da solução. Os passos que abordam
o problema são:
1- Definir um Diagrama de Fluxo de Dados (DFD).

2- Mapear as ameaças de privacidade para os elementos do DFD.
3- Identificar os cenários de ameaça. Já os passos que abordam a solução são:
◦ Priorizar as ameaças.
◦ Extrair as estratégias de mitigação.
◦ Selecionar as PETS correspondentes.
FIGURA 10 – OS PROCESSOS DA METODOLOGIA LINDDUN
FONTE: Wuyts (2015, p. 36)
NOTA
Conheça mais sobre o projeto Stride de modelagem de ameaças da
Microsoft visitando a página na internet https://msdn.microsoft.com/en-
us/library/ee823878(v=cs.20).aspx.
31
3 ATAQUES
Os ataques são os conjuntos de ações conduzidas por uma entidade não
autorizada visando às violações de segurança (IETF RFC 4949, 2007). O conceito de
ataque é muito importante quando falamos de ameaças e vulnerabilidades, pois é por
meio deles que as ameaças são concretizadas. Um exemplo poderia ser um agente
malicioso tentando roubar informações no sistema do Call Center. Você, acadêmico,
poderia entender como esta ação resulta em algum prejuízo ao sistema do Call Center,
ou as pessoas envolvidas no tratamento das informações.
Os ataques, às redes de computadores, podem gerar alguns tipos de

irregularidade, como por exemplo:
• Destruição de informação ou de outros recursos – por exemplo, quando o intruso

na central de atendimento telefônico apenas apaga as informações de registro de
atendimentos.
• Modificação ou deturpação da informação – por exemplo, quando o intruso no Call
Center altera as informações de registro de atendimentos.
• Roubo, remoção ou perda da informação ou de outros recursos – por exemplo,
quando o intruso no Call Center rouba os dados dos clientes para a venda ilegal do
cadastro na internet.
• Revelação de informações – por exemplo, quando o intruso no Call Center rouba as
informações dos funcionários, dos atendentes com o intuito de publicar esses dados
para os concorrentes.
• Interrupção de serviços – quando por exemplo, o intruso no Call Center faz ataques
que prejudicam o atendimento, corrompendo o acesso à internet ou os sistemas de
registro e atendimento, tornando o sistema indisponível.
Os ataques podem ser:
• Acidentais.
• Intencionais.
Os ataques acidentais são os que não estão associados à intenção premeditada.

Exemplo: descuidos operacionais; bugs de software e hardware (STALLINGS, 2010).
Ataques intencionais são os que estão associados à intenção premeditada.

Exemplos: observação de dados com ferramentas simples de monitoramento das redes;
alteração de dados, baseados no conhecimento do sistema (STALLINGS, 2010).
Os ataques podem ser classificados ainda como:
• Ativos.
• Passivos.
32
Os ataques passivos são aqueles que não alteram a informação, nem mesmo o
fluxo normal da informação no canal sob escuta. Nos ataques passivos, a informação
é interceptada, e assim passa a ser monitorada pelo atacante, tudo isso sem que o
sistema perceba. O atacante não tem a intenção de modificar (alterar) a informação
transmitida (STALLINGS, 2010).
O fluxo normal da requisição apresentado na Figura 11 é quando o atacante não

interfere no fluxo. A requisição é quando uma parte A troca comunicação com uma parte B,
por exemplo, quando uma parte A faz uma solicitação, um pedido de informações para uma
parte B. O atacante, por exemplo, se aproveita da comunicação em rede para monitorar os
eventos e apenas “ouvir”, “escutar” os dados que serão transmitidos. O atacante não altera
ou se faz perceber no fluxo da informação.
FIGURA 11 – ATAQUE NO FLUXO NORMAL DA REQUISIÇÃO
FONTE: Adaptado de Stallings (2010)
O ataque por interceptação apresentado na Figura 12 é quando o atacante não

interfere na comunicação, mas intercepta, rouba os dados transmitidos na comunicação
entre usuários. Este também é um ataque passivo, o atacante não atua ativamente para
alguma ação na comunicação.
FIGURA 12 – ATAQUE POR INTERCEPTAÇÃO
Os ataques ativos são os que modificam o fluxo normal da informação. Este tipo de
ataque pode alterar o conteúdo da informação, ou produzir informação não verdadeira,
normalmente com intuitos de violar a segurança de um sistema. No ataque passivo a
informação é interceptada e ela passa a ser monitorada pelo atacante, que não é notado
pelo sistema. Nesse caso, o atacante não tem a intenção de danificar a informação.
33
O ataque por interrupção, apresentado na Figura 13, é quando o atacante
interfere no fluxo. O objetivo do atacante é interromper a comunicação, prejudicando a
transmissão das informações no seu fluxo normal.
FIGURA 13 – ATAQUE POR INTERRUPÇÃO
O ataque por modificação apresentado na Figura 14 é quando o atacante interfere

no fluxo normal de comunicação. O atacante, neste caso, interrompe a comunicação,
modifica os dados e continua a comunicação. Em geral, esse tipo de ataque acaba
gerando dados falsos na comunicação. O atacante modifica os dados transmitidos pela
fonte da informação, parando a comunicação e distribuindo por exemplo, um endereço
de retorno falso, malicioso para o destinatário.
FIGURA 14 – ATAQUE POR MODIFICAÇÃO
O ataque por fabricação apresentado na Figura 15 é quando o atacante se faz

passar pela origem da comunicação e cria uma informação falsa, maliciosa para o
destinatário. O atacante, em geral, apenas se importa em se passar por um banco, por
exemplo, para roubar informações de um indivíduo.
34
FIGURA 15 – ATAQUE POR FABRICAÇÃO
São muitos os métodos de ataque, aliás, eles só são limitados pela imaginação,
aqui serão somente referenciados alguns dos mais frequentes. Não pense que
só pessoas com mentes de gênio são capazes de o fazer, hoje em dia existe muita
informação que está disponível livremente na internet acessível a qualquer curioso.
Quanto mais desprotegido se encontrar um sistema, mais são as formas de o atacar
sem necessidade de se ser um hacker experiente.
É importante que você, acadêmico, conheça os principais incidentes de

segurança. Os principais incidentes de segurança no último levantamento de segurança
de informação reportados pelo CERT.br são apresentados na Figura 16 e descritos a
seguir. Com essa relação é possível gerenciar melhor os problemas de segurança e de
alguma forma mitigá-los.
FIGURA 16 – ESTATÍSTICA DE INCIDENTES DO CERT.br
FONTE: <https://www.cert.br/stats/incidentes/2020-jan-jun/tipos-ataque.png>.
35
• Scan – um dos ataques com maior incidência, são varreduras em redes de
computadores. Em geral, tem o intuito de identificar quais computadores
estão ativos e quais serviços estão sendo disponibilizados por eles. É utilizado
por atacantes para identificar potenciais alvos, pois permite associar possíveis
vulnerabilidades aos serviços habilitados em um computador. Os serviços são
basicamente aplicações em um computador que podem possuir diferente portas
de rede, endereços e/ou funcionalidades. Quando, por exemplo, um atacante
apenas realiza uma varredura, através de ferramentas específicas, para mapear
as portas que são utilizadas e estão abertas no servidor web do Call Center.
• DoS – outro ataque com grande incidência, é o ataque de negação de serviço (do
inglês, DoS). O atacante utiliza um computador ou um conjunto de computadores
para tirar de operação um serviço, computador ou rede. A ação, em geral, é realizada
por uma sobrecarga na comunicação com o serviço. Por exemplo, um atacante gera
um tráfego imenso de requisições, através de ferramentas específicas, no servidor
web do Call Center.
• Worm – é um verme, um tipo de malware, que interfere e infecta os programas
de computadores. Essas atividades maliciosas em geral são relacionadas com o
processo automatizado de propagação de códigos maliciosos na rede. Quando por
exemplo, um atacante invade o servidor web do Call Center, e coloca um worm no
código da funcionalidade de cadastro, e quando alguém é cadastrado, vai um e-mail
com as informações para o atacante.
• Invasão – um ataque bem-sucedido que resulte no acesso não autorizado a um
computador ou rede. Por exemplo, um atacante apenas realiza o acesso não
autorizado, através de ferramentas específicas, ao servidor web do Call Center, com
o intuito de visualizar os dados cadastrados no servidor.
• Web – um caso particular de ataque visando especificamente ao comprometimento de
servidores Web ou até mesmo páginas na internet que são modificadas. Quando, por
exemplo, um atacante acessa o código fonte da página da internet do Call Center, com
o intuito de “pixar” o site e comprometer as informações de contato do Call Center.
• Fraude – esta categoria engloba as notificações de tentativas de fraudes, ou seja,
de incidentes em que ocorre uma tentativa de obter vantagem. Por exemplo, um
atacante apenas roubas as informações do servidor web do Call Center.
• Outros – notificações de incidentes que não se enquadram nas categorias anteriores.
Agora vamos falar sobre os passos típicos de um ataque. Os passos típicos para um
ataque (STALLINGS, 2010), são descritos na Figura 17, basicamente, a escolha de um alvo,
obtém informações, uso de ferramentas contra o alvo e exploração dos resultados.
36
FIGURA 17 – PASSOS TÍPICOS DE UM ATAQUE
• A escolha de um alvo – essa etapa ou processo é onde o atacante determina onde

fará o ataque, por vezes, isso pode ser aleatório ou premeditado, específico para um
determinado sistema ou organização.
• Obtém informações – nesta etapa, o atacante coleta informações sobre a vítima,
possibilitando conhecer o contexto, e até mesmo conseguir detalhes sobre os
acessos e/ou informações importantes que possam ser exploradas posteriormente.
Nesta etapa são utilizadas algumas técnicas que podem coletar esses dados.
• Uso de ferramentas contra o alvo – aqui o atacante de posse das informações,
utiliza algumas aplicações maliciosas que podem auxiliar no processo de ataque e
roubo de informações. Aqui o atacante realmente faz a ação pretendida.
• Exploração dos resultados – ao final no ataque, obtendo o êxito no ataque, o
atacante pode se aproveitar dos dados capturados, roubados.
37
RESUMO DO TÓPICO 2
• Ameaças são elementos que têm a condição de explorar vulnerabilidades e causar

problemas a sistemas de informação e redes de computadores.
• Ameaças derivam de uma chance de violação da segurança que existe quando há

uma circunstância, ação ou evento que poderia comprometer a segurança.
• A segurança depende de três características básicas: confidencialidade, integridade

e disponibilidade.
• Os fatores que influenciam a segurança da informação são: as propriedades, os

estados da informação e as medidas de segurança.
• As ameaças são classificadas quanto à intencionalidade: naturais, involuntárias e

voluntárias.
• As ameaças podem ser divididas em quatro tipos: estruturadas, não estruturadas,

externas e internas.
• Em todas as etapas do ciclo de vida da informação podem ocorrer as ameaças.
• O processamento ilegal dos dados e a divulgação indevida de informações, estão

entre as principais ameaças encontradas da literatura.
• Em sistemas de tecnologia da informação o nome técnico de alguns dos principais

tipos de ameaças são vírus, worms, bots, keyloggers e screenlogger.
• Impedir que ameaças explorem os pontos fracos e afetem os princípios básicos da

segurança é um dos objetos da segurança da informação.
• A modelagem de ameaças é uma abordagem estruturada para identificar potenciais

ameaças que poderiam explorar vulnerabilidades do sistema.
• STRIDE (do inglês, Spoofing, Tampering, Repudiation, Information disclosure, Denial

of service, Elevation of privilege) é uma das metodologias usadas para a modelagem
de ameaças.
• LINDDUN (do inglês, Linkability, Identificability, Non-repudiation, Detectability,

Disclosure of information, Unawareness, Non-compliance) é outra metodologia de
modelagem de ameaças com foco em privacidade dos dados.
38
• Os ataques são os conjuntos de ações conduzidas por uma entidade não autorizada
visando às violações de segurança.
• Os ataques podem ser classificados como acidentais ou intencionais.
• Os ataques podem ser classificados ainda como ativos ou passivos.
• Os passos típicos para um ataque, podem ser elencados em quatro fases: a pessoa
escolhe o alvo; obtém informações; usa de ferramentas contra o alvo; e faz a
exploração dos resultados.
• Os principais incidentes de segurança no último levantamento de segurança de

informação do CERT.BR no Brasil são: Scam; DoS; Worm; Fraude; Web e Invasão.
39
AUTOATIVIDADE
1 As ameaças à segurança da informação têm crescido enormemente. As redes do
governo públicas e privadas têm sido invadidas por usuários não autorizados e por
programas maldosos. Sobre o conceito de ameaça, assinale a resposta INCORRETA:
a) ( ) Ameaças são elementos que têm a condição de explorar vulnerabilidades e causar

problemas a sistemas de informação e redes de computadores, incluindo fraudes
eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação.
b) ( ) Ameaças são quaisquer circunstâncias ou eventos com o potencial de afetar
negativamente as operações organizacionais, indivíduos, outras organizações
através de um sistema de informação por via de acessos não autorizados.
c) ( ) Ameaças são quaisquer causas potenciais de um incidente, resultando em
danos aos ativos.
d) ( ) Ameaças derivam de uma chance de violação da segurança que existe quando
há uma circunstância, ação ou evento que poderia comprometer a segurança.
e) ( ) Ameaças são elementos que não têm a condição de explorar vulnerabilidades e
causar problemas a sistemas de informação e redes de computadores, incluindo
fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação.
2 O conhecimento das ameaças é crucial para a definição dos requisitos de um

sistema, pois auxilia na seleção das medidas de segurança que serão desenvolvidas,
implementadas e instaladas. Sobre a modelagem de ameaças é CORRETO afirmar:
a) ( ) Uma modelagem de ameaças é uma abordagem estruturada para identificar

potenciais ameaças que poderiam explorar vulnerabilidades do sistema.
b) ( ) Uma modelagem de ameaças é um processo estruturado para identificar
potenciais danos que poderiam gerar um manual de instruções.
c) ( ) Uma modelagem de ameaças é qualquer causa potencial de um incidente,
resultando em danos aos ativos.
d) ( ) Uma modelagem de ameaças é um processo desestruturado para identificar
potenciais danos que poderiam gerar um manual de instruções.
e) ( ) Uma modelagem de ameaças é uma abordagem estruturada para identificar
potenciais impactos que poderiam explorar vulnerabilidades do sistema.
3 Os ataques às redes de computadores podem gerar alguns tipos de irregularidade,

como: destruição de informação ou de outros recursos; modificação ou deturpação
da informação; roubo, remoção ou perda da informação ou de outros recursos;
revelação de informações; interrupção de serviços. Sobre a definição de ataques, é
CORRETO afirmar:
40
a) ( ) Os ataques são os conjuntos de ações conduzidas por uma entidade não
autorizada visando as violações de segurança.
b) ( ) Os ataques são os conjuntos de ações conduzidas por uma entidade autorizada
visando uma maior segurança.
c) ( ) Os ataques são os conjuntos de ações conduzidas por uma entidade não
autorizada visando uma maior segurança.
d) ( ) Os ataques são os conjuntos de oportunidades para as violações de segurança.
e) ( ) Os ataques é probabilidade de um evento acontecer com a autorização de um
agente de segurança.
4 Os ataques são os conjuntos de ações conduzidas por uma entidade não autorizada
visando às violações de segurança. Os ataques podem ser classificados ainda como:
ativos e os passivos. Os ataques passivos são aqueles que não alteram a informação,
nem mesmo o fluxo normal da informação no canal sob escuta. Sobre a ataques ativos,
é CORRETO afirmar:
a) ( ) Os ataques ativos são os que modificam o fluxo normal da informação.

b) ( ) Os ataques ativos são os que não modificam o fluxo normal da informação.
c) ( ) Os ataques ativos são os que corrigem o fluxo normal da informação.
d) ( ) Os ataques ativos são os que não alteram o fluxo alternativo da informação.
e) ( ) Os ataques ativos são os que estão associados à intenção premeditada não
trazendo problemas a informação.
5 Quanto mais desprotegido se encontrar um sistema mais são as formas de o atacar

sem necessidade de se ser um hacker experiente. São muitos os métodos de ataque,
aliás eles só são limitados pela imaginação, aqui serão somente referenciados a
alguns dos mais frequentes. Quanto aos ataques reportados pelo CERT.br, ou melhor,
os principais incidentes de segurança no último levantamento de segurança de
informação são:
a) ( ) Scam, DoS, Worm, Fraude, Web e Invasão.

b) ( ) Ativo, Inativo, Intencional, Acidental, Web e Invasão.
c) ( ) Virus, Worms, Bots, Keyloggers, Screenloggers e Invasão.
d) ( ) Naturais, Involuntários, Voluntários, Acidental, Web e Invasão.
e) ( ) Keyloggers, Screenloggers, Fraude, Acidental, Web e Invasão.
41
42
FUNDAMENTOS DAS VULNERABILIDADES
1 INTRODUÇÃO
O gerenciamento de vulnerabilidades não é um tópico novo, embora, hoje em dia,
tenha se tornado um processo importante dentro das organizações. O aparecimento
e a evolução constante de novas ameaças externas e internas são um desafio de
gestão. A exploração de vulnerabilidades por uma nova ameaça introduz um risco para
a organização que o gerenciamento de vulnerabilidades se compromete a mitigar.
Você, acadêmico, pode compreender gerenciamento de vulnerabilidades como

parte do gerenciamento de riscos. Muitas diretrizes e boas práticas recomendadas
sobre como implementar o processo de gerenciamento de vulnerabilidades são
descritas na literatura. Contudo, é importante que você, acadêmico, compreenda que o
gerenciamento de vulnerabilidades é um processo direcionado aos negócios. O sucesso
desse processo depende de pessoas qualificadas, e não apenas da tecnologia (SÊMOLA,
2014). Basicamente, todo o processo de TI, como um produto não palpável, depende
inerentemente do pessoal humano envolvido nos processos.
Você pode ainda considerar que o ciclo de vida da gestão da segurança da

informação passa de forma contínua pelos processos de utilização, da criação, da
manutenção e da atualização. A temática de um Sistema de Gestão de Segurança
da Informação (SGSI) fornece uma grande indicação de que uma empresa usa uma
abordagem sistemática para identificar, avaliar e gerenciar riscos para a segurança das
suas informações (STALLINGS, 2010). O que acabamos buscando nos tópicos anteriores
e você, acadêmico, pôde compreender até o momento.

O escopo deste novo tópico cobrirá os assuntos relacionados ao entendimento
do gerenciamento da segurança da informação, ao ciclo PDCA, além dos conceitos sobre
vulnerabilidades e do gerenciamento das vulnerabilidades.
2 FUNDAMENTOS DA GESTÃO DE SEGURANÇA

Você poderia se perguntar: como o ciclo PCDA se encaixa na Gestão da
Segurança? Então vamos lá, a gestão da segurança da informação, de acordo com
a norma ISO/IEC 27001, visa estabelecer, implementar, operar, monitorar e analisar
criticamente a decisão estratégica de uma organização. E a norma ISO/IEC 27001
apresenta os seguintes entendimentos junto aos usuários e sua importância:
43
1- Compreender os requisitos de segurança da informação estabelecendo políticas
e objetivos.
2- Implementar e operar os controles para o gerenciamento dos riscos de segurança da
informação no contexto do negócio.
3- Monitorar e realizar a análise crítica do desempenho e eficácia da segurança, com
base na melhoria contínua.
Na gestão da segurança da informação pode ser adotado o ciclo PDCA (do inglês,
Plan-do-Check-Act), que é implementado em seus processos. A Figura 18 apresenta
o ciclo PDCA onde por um lado, como entrada do ciclo, tem-se as expectativas e os
requisitos de segurança da informação das partes interessadas no ambiente. O próprio
ciclo como processo de Planejar, Fazer, Checar e Agir. E, do outro lado, como saída do
processo, o gerenciamento da segurança da informação no contexto abordado (ISO/
IEC 27001, 2006).
NOTA
Ciclo PDCA é um método interativo de gestão de quatro
passos, utilizado para o controle e melhoria contínua
de processos e produtos.
FIGURA 18 – MODELO PDCA APLICADO AOS PROCESSOS DE GESTÃO DA SEGURANÇA

DA INFORMAÇÃO
FONTE: ISO/IEC 27001 (2013, p. 6)

44
• Planejar (do inglês, Plan) – a atividade que estabelece os objetivos e práticas do
SGSI, em que traz evidência para a análise gerencial dos riscos e melhoria do sistema
de informação.
• Fazer (do inglês, Do) – o fazer opera a política de segurança alinhados aos programas
da SGSI.
• Checar (do inglês, Check) – a atividade monitora e analisa a SGSI. O checar traz os
resultados que são avaliados e analisados.
• Agir (do inglês, Act) – o agir é onde se mantém e melhora a SGSI. E nesta atividade
que está inserida a busca de melhores práticas junto à SGSI.
As diferentes metodologias foram propostas para gerenciar riscos de TI, cada

uma delas dividida em processos e fases, e seguindo um modelo de fluxo de trabalho de
melhoria contínua que serão apresentados nas próximas seções.
3 VULNERABILIDADES
Neste subtópico, caro acadêmico, você conhecerá os conceitos relacionados
com as vulnerabilidades sobre os sistemas de tecnologia da informação.
O termo vulnerabilidade para segurança da informação é tratado como uma

fragilidade, um erro, ou seja, uma deficiência ou falha que pode ser explorada. Essa
deficiência pode ser explorada em um determinado software, hardware, protocolo,
ferramenta, algoritmo, equipamento ou até mesmo em um processo. O sucesso na
exploração dessas vulnerabilidades pode acarretar vários problemas aos indivíduos,
empresas e instituições. As vulnerabilidades prejudicam a segurança da informação
(ISO/IEC 27005, 2018).
IMPORTANTE
Uma vulnerabilidade pode ser definida como uma
fraqueza em um sistema que permita a realização
e a concretização de um ataque a um sistema
computacional (STALLINGS, 2010).
Na segurança cibernética, uma vulnerabilidade é uma fraqueza que pode ser

explorada por um agente de ameaças. Um agente de ameaças pode se referir a um invasor,
que executa ações não autorizadas em um sistema. Para explorar uma vulnerabilidade,
o invasor deve utilizar pelo menos uma ferramenta ou técnica aplicável que possa se
relacionar com uma fraqueza do sistema. Nesta ideia, uma vulnerabilidade também é
conhecida como “superfície de ataque”. Uma “superfície de ataque” é basicamente o
45
número de maneiras possíveis que um invasor pode tentar explorar para realizar um
ataque bem-sucedido, incluindo todos os protocolos, interfaces, softwares e serviços
implementados. Por exemplo, a superfície de ataque em um carro, poderia ser uma porta
destravada, um vidro aberto, alarme desativado, entre outros. Assim, é possível verificar
que um ladrão tentaria roubar o carro mais facilmente. Neste contexto, administrar a
superfície de ataque seria perceber essas vulnerabilidades e protegê-las mitigando os
riscos de algum invasor explorá-las (SÊMOLA, 2014).
A ISO/IEC 27005 define vulnerabilidades como um ponto fraco de uma

atividade ou grupo de atividades que pode ser explorada por uma ou mais ameaças.
Relembrando, um ativo é tudo o que tem valor para a organização, suas operações
comerciais e sua continuidade, incluindo os recursos de informação que dão suporte
à missão da organização.
O IETF RFC 2828 define a vulnerabilidade como um defeito ou fraqueza no

projeto, implementação, ou operação de um sistema que pode ser explorado para violar
a política de segurança do sistema.
O NIST define vulnerabilidade no contexto da publicação do SP 800-30. A

vulnerabilidade é um defeito ou fraqueza nos procedimentos de segurança do sistema,
projeto, implementação ou controles internos que podem ser exercidos e resultar em
uma violação da segurança ou na política de segurança do sistema.
A ENISA (do inglês, European Union Agency for Cybersecurity) define

vulnerabilidades como a existência de um erro que pode levar a um evento inesperado
e indesejado comprometendo a segurança do sistema, rede, aplicativos ou protocolo
do computador.
ATENÇÃO
Conheça mais sobre a ENISA na página da internet
https://www.enisa.europa.eu/.
A ISACA (do inglês, Information Systems Audit and Control Association) conecta
a vulnerabilidade ao risco da estrutura de TI, definindo, assim como uma fraqueza no
projeto, a implementação, operação ou controle interno.
46
ATENÇÃO
Conheça mais sobre a ENISA na página da internet
https://www.enisa.europa.eu/.
Resumidamente, você, acadêmico, pode compreender que as vulnerabilidades

e exposições, de modo geral, podem ser as que:
• Permitem que um atacante execute comandos no sistema alvo.

• Alcance os dados privados dos usuários ou das empresas.
• Se comporte como uma entidade reconhecida para explorar uma vulnerabilidade.
Agora conhecendo os conceitos e tentando conectar a análise de

vulnerabilidades, com a gestão dos riscos e o ciclo PDCA temos a Figura 19, que
apresenta como você poderia entender como o gerenciamento de vulnerabilidades
está posicionado no processo de gerenciamento de riscos. Uma ameaça é introduzida
quando a vulnerabilidade é identificada ou explorada. O ator que identifica ou explora
a vulnerabilidade é chamado de agente de ameaça. A quantidade de risco introduzida
pela vulnerabilidade depende da probabilidade de o agente de ameaça explorar a
vulnerabilidade e o impacto desse evento. O risco faz com que um ativo seja exposto
a perdas. Para remediar tal exposição, os controles de segurança estão em vigor para
fornecer uma contramedida contra o agente da ameaça (BAARS et al., 2018; DANTAS,
2011; ISO/IEC 27005, 2018). A análise de vulnerabilidade é um dos itens fundamentais
no gerenciamento de risco, pois de forma frequente são verificadas as vulnerabilidades
ou exposições existentes (BAARS et al., 2018).
FIGURA 19 – CICLO VIDA DA SEGURANÇA DA INFORMAÇÃO
47
DICA
Ameaças são quaisquer eventos que explorem vulnerabilidades, com
potencial de causar incidentes indesejados, resultando em danos para
a organização (DANTAS, 2011).
Você, acadêmico, pode compreender então que o resultado de uma análise

anterior, contemplando as ameaças, vulnerabilidades e impactos devem servir como
guia para adoção de medidas de segurança. As medidas de proteção devem atender às
necessidades da organização, considerando os custos, nível de proteção e facilidade de
uso dos sistemas tecnológicos (BAARS, 2018 et al., ISO/IEC 27005, 2018).
A seguir são apresentados exemplos de vulnerabilidades classificados como por tipo

de fatores causadores de vulnerabilidades, segundo a norma ISO/IEC 27005:
• Hardware – uma instalação defeituosa de mídia de armazenamento. Quando no caso

do Call Center, o administrador do datacenter do Call Center, formatou o disco em um
formatado errado, com um parâmetro inadequado com as rotinas de backup. Assim, o
sistema não consegue realizar o backup de registro de chamados todos os dias.
• Software – atribuições errôneas de controles de acesso. Por exemplo, no caso do
Call Center, o administrador do sistema de registro de chamadas do Call Center,
poderia atribuir o perfil de supervisor para um atendente, gerando problemas na
exclusão indevida de registros, por um usuário mal-intencionado.
• Rede – inexistência de firewall. Quando no caso do Call Center, não existe um firewall
responsável por bloquear os acessos a intrusos em portas do servidor. Deixando
assim o ambiente suscetível a possíveis ataques.
• Recursos humanos – treinamento insuficiente em segurança. Por exemplo, no
caso do Call Center, o gerente de segurança não tem políticas para a admissão
de novos funcionários, e assim eles não têm ciência do correto uso dos recursos
computacionais.
• Local e instalações – fornecimento de energia instáveis. Quando no caso do Call
Center, o sistema de energia instalado não suporta a quantidade de atendentes e
para no meio do turno de trabalho. A falta de energia deixa o sistema indisponível
gerando muitas reclamações por falta de atendimento.
• Organização – inexistência de registro formal para registro de problemas nos
sistemas. Por exemplo, no caso do Call Center, a TI não possui um processo de
atendimento e de registro de demandas. O que gera problemas no atendimento de
solicitações e incidentes, por atraso no atendimento.
48
IMPORTANTE
Um ataque de exploração de vulnerabilidades ocorre quando um atacante,
utilizando-se de uma vulnerabilidade, tenta executar ações maliciosas, como
invadir um sistema, acessar informações confidenciais, disparar ataques contra
outros computadores ou tornar um serviço inacessível (CERT.BR, 2020).
A vulnerabilidade, por si só, não causa danos, ela precisa estar ligada a uma
ameaça que possa explorá-la. Assim, uma vulnerabilidade que não possui ameaça
não requer um controle imediato, porém ela deve ser monitorada. Assim, os exemplos
apresentados mostram a você, acadêmico, que um controle sendo operado de forma
errada, implementado incorretamente ou com mau funcionamento pode ser considerado
uma vulnerabilidade (ISO/IEC 27005, 2018).
3.1 IDENTIFICAÇÕES DE AMEAÇAS E VULNERABILIDADES

Na fase preliminar é essencial analisar toda a infraestrutura: o hardware, o
software, a topologia da rede, os dados processados, a segurança física e as pessoas que
gerenciam e fazem interface com o sistema. Toda a informação obtida é fundamental
para (SÊMOLA, 2014):
• Identificação de ativos – com ativos, você define tudo o que tem valor ou representa
utilidade para a empresa e, portanto, deve ser protegido. Descreve os componentes
que, se atacados com êxito, geram uma perda. Podemos falar de recursos físicos
(por exemplo, poder de computação ou largura de banda da rede) e lógicos (por
exemplo, serviços ou aplicativos). Estabelecer o valor de um recurso é uma atividade
não trivial; uma abordagem possível seria considerar o custo da reconstrução se um
recurso estiver comprometido.
• Identificação de ameaças – deve identificar um conjunto de eventos capazes
de causar danos à empresa. Exemplos possíveis são a perda de dados confidenciais, a
alteração ou bloqueio de serviços. Para cada ameaça é importante identificar o ponto
de origem, os pré-requisitos necessários em termos de direitos e recursos, as ações
que devem ser executadas para alcançar seus objetivos e as consequências em caso
de sucesso.
• Identificação de vulnerabilidades – uma vulnerabilidade representa um defeito
no design, na implementação de um componente ou nos controles de segurança
do sistema que podem ser explorados, intencionalmente ou não, por uma ameaça de
violação do sistema. O resultado dessa fase é gerar uma lista de vulnerabilidades dos
componentes do sistema, as ameaças que poderiam usá-los e as ações necessárias
para explorar a vulnerabilidade.
49
DICA
Conheça mais sobre o projeto da OWASP visitando o
seu site em: https://owasp.org/.
DICA
Conheça mais sobre o projeto da WASC visitando o seu
site em: http://www.webappsec.org/.
Lembramos a você, acadêmico, que a vulnerabilidade é uma falha em um

sistema, e um cibercriminoso pode executar varreduras para localizar essa falha a fim de
explorá-la (NAKAMURA, 2007).
NOTA
Cibercriminoso – é um criminoso virtual, tem relação há um crime cometido
através da Internet, das redes de comunicação, de computadores.
A vulnerabilidade de software é a instância de um erro, que pode ocorrer na

especificação, no desenvolvimento, ou configuração de um software, de tal maneira que
sua execução pode violar diretivas de segurança explícita ou implícita. Neste contexto
podemos chegar ao seguinte raciocínio: se duas instâncias diferentes do mesmo erro
podem ser vulnerabilidades diferentes ou não, essa resposta advém do processo de Análise
de Vulnerabilidade (NAKAMURA, 2007; ISO/IEC 27002, 2013).
Análise de vulnerabilidade é o processo de análise de uma vulnerabilidade

descoberta, para identificar características, propriedades, causas e riscos envolvidos
(ISO/IEC 27002, 2013). Quanto às vulnerabilidades técnicas, a norma ISO/IEC 27002
trata algumas diretrizes necessárias para o gerenciamento dessas vulnerabilidades:
estabelecer funções e responsabilidades a respeito das vulnerabilidades técnicas com
monitoramento, avaliação de risco, correções e acompanhamento dos ativos:
50
• Recursos para gestão de vulnerabilidades, devidamente, identificados e atualizados.
• Definir prazos para reação em caso e identificação de vulnerabilidades.
• Analisar os riscos inerentes e ações tomadas após identificar a vulnerabilidade técnica.
• Analisar os riscos inerentes de correções novas quanto a sua instalação.
• Manter registro de auditoria dos procedimentos realizados.
• Monitoramento e avaliação periódica do processo de gestão de vulnerabilidade.
• Aliar o processo de gestão de vulnerabilidade técnica com o de gestão de incidentes.
• Procedimentos necessários para vulnerabilidades identificadas, mas que não tenham
um controle eficaz.
Ainda nesse contexto de software, a norma ISO/IEC 27002 fala também sobre
a restrição da instalação de software, que é uma funcionalidade que traz grande
vulnerabilidade para a organização. A norma cita diretrizes como, a política de restrição
de instalação para certos tipos de software, onde a organização pode definir quais tipos
de softwares podem ou não ser instalados nos computadores. Outra medida é a política
de privilégio que pode ou não permitir que um usuário tenha permissão para instalar
softwares. A medida relacionada à política de instalação de software é necessária, pois
a instalação descontrolada pode causar vulnerabilidades e automaticamente ferir os
princípios de segurança da informação (ISO/IEC 27002, 2013).
A gestão da análise de riscos de vulnerabilidades no seu ciclo de vida passa pela

elaboração e avaliação de uma matriz de risco. A Figura 20 apresenta um exemplo de
uma matriz de risco de queda da internet. A matriz de risco auxilia no processo de análise,
pois estabelece oportunidades e ameaças, assim como faz o relacionamento delas,
através do impacto e da probabilidade de o evento ocorrer. Desta forma, nós teríamos
a matriz com as cores vermelho, amarelo e vermelho. Indicando as possibilidades mais
altas de ocorrência, ou seja, vermelho – alto risco; amarelo – em alerta, médio risco;
verde – baixo risco. Assim, os usuários poderiam mapear ações onde pode haver a
necessidade mapeada.
FIGURA 20 – EXEMPLO DE MATRIZ DE RISCO
FONTE: Adaptada de: <https://blogdaqualidade.com.br/app/uploads/2017/12/matriz-de-risco-

queda-da-internet-blog-da-qualidade-1.jpg>. Acesso em: 11 jun. 2020.
51
Ao longo dos anos, surgiram várias organizações, como o Projeto Aberto de
Segurança em Aplicações Web – OWASP (do inglês, Open Web Application Security Project)
e o Consórcio de Segurança de Aplicações Web – WASC (do inglês, Web Application Security
Consortium), para oferecer um ponto de referência para entender os problemas de segurança
inerentes aos serviços da Web. Os sites gerenciados por essas organizações permitem o
acesso a uma quantidade considerável de informações sobre as vulnerabilidades mais
difundidas, os principais ataques que permitem que sejam exploradas e quais são as
contramedidas que devem ser tomadas para limitá-las. Também existem guias para
evitar problemas de segurança, com o objetivo ambicioso de educar os programadores
para adquirir um estilo de programação mais seguro. Algumas dessas organizações, em
particular o WASC, também tentam definir um padrão de referência para a classificação de
vulnerabilidades (SÊMOLA, 2014; NIST, 2012).
Por outro lado, existem diversas inciativas importantes para você, acadêmico,
conhecer a identificação de vulnerabilidades. Um dos padrões conhecidos pela
comunidade, indústria e pessoas em geral, para identificação de vulnerabilidades em
ambientes computacionais é chamado de Vulnerabilidades e Exposições Comuns
– CVE (do inglês, Common Vulnerabilities and Exposures). Esse padrão pode ser
considerado um dicionário das vulnerabilidades e tem por objetivo a identificação e o
desenvolvimento de ferramentas voltadas à busca das vulnerabilidades em ambientes
de tecnologia da informação.
DICA
Conheça mais sobre o projeto CVE na página
http://cve.mitre.org/about/index.html.
O projeto do CVE foi lançado em 1999 para suprir a necessidade da época em

relação à padronização das vulnerabilidades sistêmicas. O CVE se tornou um padrão para
nomes de vulnerabilidades. O padrão acabou criando nomes (CVES), números (CVES),
CVEs-Ids ou CVEs como ponto de referência para a troca de informação a respeito de
vulnerabilidades (CVE, 2020).
Você, acadêmico, pode conhecer mais sobre o projeto da CVE na sua página da
internet, que é apresentado na Figura 21.
52
FIGURA 21 – PÁGINA DO PROJETO CVE
FONTE: <http://cve.mitre.org/>. Acesso em: 4 nov. 2020.
A página do projeto do CVE (Vulnerabilidades e Exposições Comuns) traz

algumas informações importantes, que listamos a seguir, para que você, acadêmico,
possa melhor compreender:
• Um nome para uma vulnerabilidade ou exposição.

• Uma descrição padronizada para cada vulnerabilidade ou exposição.
• Um dicionário em vez de um banco de dados.
• Fazer bases de dados e ferramentas falarem a mesma língua.
• Caminho para melhor segurança sem falhas e interrupções.
• Base para avaliação entre ferramentas e base de dados.
• Software gratuito.
• Certificado através de CVE Naming Authorities, CVE Editorial Board e CVE
Compatible Products.
Ainda é importante que você possa compreender entre as vulnerabilidades

existentes as que afetam sistemas web. Essas vulnerabilidades são estudadas e
listadas pela fundação OWASP. A iniciativa da OWASP busca compreender e informar
periodicamente uma lista com as dez vulnerabilidades mais críticas, intitulada de OWASP
Top 10. Você, acadêmico, pode ver na Figura 22 um resumo das dez vulnerabilidades
descritas no documento. A OWASP ou The Open Web Application Security Project é
um projeto aberto de segurança em aplicações web, é considerado uma organização
mundial sem fins lucrativos, que visa demonstrar aspectos de segurança, tem como
objetivo melhorar a segurança de softwares, permitindo que indivíduos ou empresas
tomem decisões (OWASP, 2020).
53
FIGURA 22 – A LISTA DO OWASP TOP 10 DE 2017
FONTE: Adaptada de: <https://leverageinf.files.wordpress.com/2017/11/screen-shot-2017-11-21-

at-19-15-07.png?w=620>. Acesso em: 10 jun. 2020.
NOTA
Conheça mais sobre os dez riscos mais críticos de segurança de
aplicativos da Web do projeto da OWASP visitando o endereço:
https://wiki.owasp.org/images/0/06/OWASP_Top_10-2017-pt_pt.pdf.
Para que você, acadêmico de segurança da informação, possa conhecer mais

da classificação da OWASP Top 10 de 2017 e entender os saeus grupos, detalharemos
cada um dos pontos (grupos) a seguir (OWASP, 2020):
1- A1. Injeção (do inglês, Injection) – a vulnerabilidade de injeção ocorre quando

dados e as consultas não confiáveis são enviadas para o interpretador do banco de
dados. O intuito do atacante é enganar o interpretador fazendo com que ele execute
comandos indesejados de consulta SQL (do inglês, Structured Query Language).
Desta forma, o atacante tem acesso a dados restritos no banco de dados. Para que
você compreenda melhor, a Figura 23 apresenta um exemplo de injeção de SQL, no
ambiente de teste disponibilizado pela OWASP, em que o atacante em um navegador,
insere dados no campo name (username) para liberar o acesso desejado.
54
FIGURA 23 – EXEMPLO DE INJEÇÃO SQL
FONTE: Adaptado de: <https://www.tutorialspoint.com/ethical_hacking/images/name_field.jpg>.

Acesso em: 10 jun. 2020.
2- A2. Quebra de Autenticação (do inglês, Broken Authentication) – a vulnerabilidade

ocorre quando as funções da aplicação relacionadas com a autenticação e/ou
gerenciamento de sessão são implementadas incorretamente. Assim, os atacantes
têm o poder de comprometer as senhas, as chaves e os comprovantes (tokens) de
sessões, permitindo que o intruso assuma a identidade de outros usuários.
3- A3. Exposição de Dados Sensíveis (do inglês, Sensitive Data Exposure) – ocorre
quando os dados sensíveis não são protegidos de forma adequada (por exemplo,
com criptografia). A vulnerabilidade permite que os atacantes roubem ou modifiquem
os dados, possibilitando a ocorrência de fraudes.
4- A4. Entidades Externas de XML – XXE (do inglês, XML External Entities) – ocorre
quando um atacante explora um processador XML antigo ou mal configurado,
carregando ou inserindo código malicioso num documento XML.
5- A5. Quebra de Controle de Acesso (do inglês, Broken Access Control) – a falha
ocorre quando os usuários têm permissões de acesso mal configuradas. Um
atacante pode utilizar dessas falhas de configuração para modificar a requisição,
alterar as permissões de acesso e acessar conteúdos restritos.
6- A6. Configuração de Segurança Incorreta (do inglês, Security Misconfiguration)
– ocorre quando a configuração padrão de servidores, frameworks, banco de
dados está insegura, incorreta ou incompleta. A insegurança prove o acesso não
autorizado dos atacantes aos dados dos servidores.
7- A7. Cross-Site Scripting (XSS) – as falhas de XSS ocorrem quando uma aplicação
recebe dados sem uma validação permitindo que os atacantes executem scripts
no navegador da vítima. Desta forma, o atacante pode sequestrar as sessões do
usuário, com isso pode ainda desfigurar uma página Web e fazer o redirecionamento
para páginas de caráter malicioso.
55
8- A8. Desserialização Insegura (do inglês, Insecure Deserialization) – esta falha
permite a execução remota de código. A falha pode ocorrer quando o desenvolvedor
expõe uma referência à implementação interna de um objeto, permitindo que o
atacante manipule essas referências para o acesso de dados não autorizados. Com
isso pode ocorrer ataques de repetição, de injeção, e de escalonamento de privilégios.
9- A9. Utilização de Componentes Vulneráveis Conhecidas (do inglês, Using
Components with Known Vulnerabilities) – a vulnerabilidade é explorada quando se
faz o uso de componentes que possuem vulnerabilidades conhecidas. Em geral,
esses componentes são bibliotecas, estruturas ou módulos que possuem privilégios
elevados. Os componentes podem ser explorados ocorrendo perdas de dados ou
comprometimento dos servidores.
10- A10. Registro e Monitorização Insuficiente (do inglês, Insufficient Logging &
Monitoring) – em conjunto com uma resposta a incidentes inexistente ou insuficiente
permite que os atacantes possam abusar do sistema de forma persistente. Essa falha
permite que o atacante possa alterar, extrair ou destruir dados.
Você, acadêmico, ainda pode ficar curioso pela abrangência das vulnerabilidades,
e quais delas são mais importantes para o devido cuidado. A Figura 24 apresenta uma
estatística sobre os tipos de vulnerabilidades ocorrem mundialmente como as Top 10
que mais acontecem segundo o monitoramento da OWASP. Basicamente, podemos
observar que os três principais tipos de vulnerabilidades são a Configuração de
Segurança Incorreta, o XSS e a Quebra de Autenticação.
FIGURA 24 – ESTATÍSTICA TOP 10 OWASP
FONTE: Adaptada de: <https://www.ptsecurity.com/upload/corporate/ww-en/images/analytics/

article_297880/297880_6.jpg>. Acesso em: 4 nov. 2020.
56
DICA
As Top 10 ameaças traiçoeiras de computação em nuvem podem
ser consultadas em: https://cloudsecurityalliance.org/download/top-
threats-cloud-computing-plus-industry-insights/.
DICA
As Top 10 vulnerabilidades em IoT podem ser consultadas em:
https://www.owasp.org/index.php/Top_10_IoT_Vulnerabilities_(2014).
Mas para que serve a análise de vulnerabilidades, basicamente as principais

vantagens nas atividades da análise de vulnerabilidade são (OWASP, 2020):
• Identificação das vulnerabilidades.

• Correção das vulnerabilidades reduzindo os riscos.
• Mapeamento proativo das ameaças existentes.
• Redução no tempo de paradas.
• Economia de recursos; e
• Maior controle sobre os potenciais de riscos.
57
LEITURA
COMPLEMENTAR
SOBRE RISCO EM TI
Risco é um evento ou condição incerta e futura que, se ocorrer, terá uma

influência Positiva ou Negativa na realização das ações previstas no PDTIC e, por
conseguinte, no alcance das metas estipuladas. Outra definição, segundo a ISO/IEC
38.500:2009, é a combinação da probabilidade de um evento e suas consequências.
• Os riscos positivos são chamados de oportunidades.

• Os riscos negativos são chamados de ameaças.
• Um risco pode ter uma ou várias causas e pode ter impacto em uma ou mais ações.
Impacto: efeito resultante da ocorrência do evento.

Riscos são diferentes de problemas.
• Os riscos podem vir a acontecer no futuro; já que ainda não ocorreram. Eles podem
se transformar em um problema, caso ocorram.
• Os problemas já estão ocorrendo no presente; requerem uma solução imediata.
Risco inerente: nível de risco ao qual se estaria exposto caso não houvesse
nenhum controle implantado.
Probabilidade: possibilidade de ocorrência do evento.
Vulnerabilidade: ausência, inadequação ou deficiência em uma fonte de risco,
a qual pode vir a contribuir com a concretização de um evento indesejado.
Categorias
Os riscos foram identificados e agrupados em categorias, com vistas a facilitar

seu gerenciamento. Segue algumas sugestões de categorias:
• Estratégicos: estão associados à tomada de decisão que pode afetar negativamente

o alcance dos objetivos da organização.
• Operacional: riscos que afetam o desempenho e a qualidade das atividades
operacionais de TI. Os riscos devem ser mitigados, transferidos, eliminados ou
explorados, pois não poderão ser aceitos.
• Reputação ou Imagem: riscos que podem afetar a imagem do DTIC ou da
organização. Os riscos devem ser mitigados, transferidos, eliminados ou explorados,
pois não poderão ser aceitos.
• Financeiro: estão associados ao não cumprimento de princípios constitucionais,
legislações específicas ou regulamentações externas aplicáveis ao negócio, bem
como de normas e procedimentos internos.
58
• Conformidade: riscos externos ao controle direto do TJPR, mas que ainda assim
podem afetar o sucesso das metas e ação (dependência de outras áreas do TJPR/
CNJ, reestruturação organizacional, suporte organizacional, mudanças no governo,
mercado e tecnologias etc.). Os riscos externos podem ser aceitos, pois independem
de ação direta do Ibama.
• Tecnologia: riscos relacionados a problemas técnicos em hardware, software ou
outra solução de informática (apontamento genérico).
• Infraestrutura de TI: riscos relacionados a problemas técnicos em hardware,
software, ou demais equipamentos de TI (exige conhecimento técnico para definir
esta categoria).
• Software: riscos relacionados a problemas técnicos em um software específico
(exige conhecimento técnico para definir esta categoria).
• Escopo: riscos relacionados ao assunto escopo de um projeto, exemplo: indefinições,
alterações constantes, sem validação.
• Cliente/Usuário: riscos relacionados a clientes ou usuários de algum projeto, por
exemplo: indefinição, representante ausente, sem comprometimento.

Gerenciamento de RISCOS
Os riscos são gerenciáveis, isto é, podem ser previamente identificados,

analisados, monitorados e controlados. Eles também podem ser mitigados (ter reduzida a
sua chance de acontecer) e evitados. E para minimizar o impacto de suas consequências,
podem ser planejadas respostas a sua ocorrência. Além disso, as consequências do
risco podem ser transferidas para outrem.
Pelo exposto, gerenciar riscos envolve maximizar a probabilidade de ocorrência

dos eventos positivos e minimizar a probabilidade de ocorrência dos eventos negativos
(ameaças). Também envolve planejar respostas para minimizar o impacto da ocorrência
dos riscos negativos.
De uma maneira simplificada, o gerenciamento de risco é um processo

sistemático de Identificação dos riscos, avaliação ou análise, planejamento de respostas
(ação), comunicação e monitoramento para reduzir o risco ao um nível aceitável. Segue
o detalhamento dos processos:
• Proprietário do risco: pessoa ou entidade com a responsabilidade e a autoridade para

gerenciar um risco.
• Tolerância a risco: grau de quantidade e nível de risco a que o DTIC ou Tribunal
está disposto a se expor dentro de padrões considerados institucionalmente
razoáveis.
• Análise de riscos: processo de comparar os resultados da análise de riscos com os
critérios de risco para determinar se o risco e/ou sua magnitude são aceitáveis ou
toleráveis (auxilia na decisão sobre o tratamento de riscos).
• Apetite a riscos: está associado ao nível de risco que se está disposto a aceitar na
busca e realização da estratégia.
59
A ERM (Enterprise Risk Management) Gestão de Risco Corporativos é um
processo conduzido em uma organização pelo Conselho de Administração (CA),
diretoria e demais colaboradores, aplicado no estabelecimento de estratégias,
formuladas para identificar em toda a organização eventos em potencial, capazes de
afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco
da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.
Alguns frameworks que estudam RISCOS em TI: PMBOK, COBIT e ISO/IEC

27005:2011- Gestão de riscos de segurança da informação.
ETAPAS:
1- Identificação de Riscos
Este processo consiste em levantar os prováveis riscos que podem afetar o negócio,
a execução de projetos de TIC, e documentar suas características.
2- Avaliação/Análise (Qualitativa e Quantitativa) de Riscos
A análise qualitativa de riscos é o processo de avaliar a probabilidade de ocorrência e

o impacto causado pelos riscos identificados. A análise qualitativa baseia-se no julgamento,
na intuição e na experiência em estimar probabilidades de ocorrência de potenciais riscos e
medir a intensidade de perdas e ganhos potenciais.
A análise quantitativa, quando tangível, utiliza intervalos numéricos para

expressar a medida de avaliação. Exemplo, valores de perda da receita, o custo da
reparação de um sistema, ou o nível de esforço necessário para corrigir problemas
causados por um ataque.
A avaliação é calculada com base nos seguintes itens:
• Probabilidade de ocorrência do evento (estimativa).

• Gravidade do impacto ou efeitos ou consequências do impacto (também estimada).
• Nível do risco ou criticidade, é a magnitude do risco que é expressa pelo produto das
variáveis probabilidade X impacto).
A probabilidade e o impacto são variáveis independentes. Geralmente, usa-

se uma escala entre três a cinco pontos para parametrizar as estimativas dos eventos
(ameaças ou oportunidades).
Aconselha-se a utilizar uma escala não linear, a fim de dar maior peso a eventos
com alta probabilidade, em detrimento de eventos com baixa probabilidade.
60
TABELA 1 – SUGESTÃO DE ESCALA DE PROBABILIDADE DE OCORRÊNCIA DE DETERMINADO
EVENTO / RISCO (ESTIMATIVA)
Escala de PROBABILIDADE de riscos

Risco Baixa Moderada Alta Muito Alta
Peso 1 3 6 10
A concretização de um determinado evento produz impactos que no âmbito do

gerenciamento de riscos, no DTIC, foram classificados qualitativamente em quatro níveis:
TABELA 2 – SUGESTÃO DE NÍVEIS DE IMPACTO DE DETERMINADO EVENTO/RISCO
Escala de IMPACTO negativo do risco

Sobre o
Insignificante Moderado Relevante Catastrófico
objetivo do
(1) (3) (6) (10)
projeto
Aumento de Aumento
Sobre os Aumento de até Aumento de
10,01% até acima de
custos 5%. 5,01% até 10%.
20%. 20,01%.
Atraso de
Sobre o Atraso de até Atraso de Atraso acima
10,01% até
cronograma 5%. 5,01% até 10%. de 30,01%.
30%.
Partes pouco Sistemas Produto não
Sobre o Redução
importantes críticos serve para o
escopo imperceptível.
afetadas. afetados. cliente.
Degradação Degradação
Sobre a Degradação Produto sem
de itens não de qualidade
qualidade imperceptível. uso.
prioritários. significativa.
FÓRMULA PARA CALCULAR O NÍVEL DO RISCO ou CRITICIDADE DO RISCO:
Multiplicam-se os valores atribuídos para a probabilidade pelo valor do impacto,

ou seja: criticidade do risco = probabilidade x impacto.
61
TABELA 3 – MATRIZ DO NÍVEL DO RISCO OU CRITICIDADE, COM O PRODUTO DA
PROBABILIDADE PELO IMPACTO
PROBABILIDADE NÍVEL DO RISCO ou CRITICIDADE (ameaças)

Muito Alta (10) 10 30 60 100
Alta (6) 6 18 36 60
Moderada (3) 3 9 18 30
Baixa (1) 1 3 6 10
Insignificante Moderado Relevante Catastrófico
IMPACTO =>
(1) (3) (6) (10)
Legenda adotada: catastrófico, relevante, moderado e insignificante,

respectivamente com as cores vermelho, laranja, amarelo e verde.
Interessante destacar que esses parâmetros são produto de convenção, ou seja,

trata-se de proposição para o DTIC do TJPR. E, segundo os estudos acerca do tema
gerenciamento de riscos, neste aspecto não há certo e errado. A cada organização cabe a
convenção de parâmetros que se adequem as suas necessidades!
Para cada risco a ser identificado é adotada uma estratégia de tratamento e

resposta ao risco. Veremos a seguir...

3- Planejamento de Respostas aos Riscos
No planejamento de respostas aos riscos, são definidas estratégias de respostas

aos riscos, ou seja, execução de um plano ou conjunto de medidas adequadas de
redução do risco, com base no processo de avaliação:
• Prevenir / Evitar: quando o risco é elevado em termos de impacto e probabilidade,

simplesmente não pode ser aceito. Deve-se planejar uma forma de eliminá-lo
completamente; mudar o plano do projeto, não iniciar ou descontinuar a atividade
que dá origem ao risco. Exemplo: adotar uma abordagem tradicional em vez de uma
inovadora; excluir do escopo a área sujeita a risco. Nesse caso, o plano do projeto
será necessariamente alterado. Se não for possível alterar o plano do projeto, a opção
será a transferência do risco.
• Transferir / Compartilhar: se o risco é inaceitável, porém não há como alterar o
planejamento do projeto, procura-se transferir o impacto negativo e a responsabilidade
da resposta terceirizando as etapas do trabalho afetadas pelo risco. Indicado repassar
as consequências do risco, bem como a responsabilidade de resposta para quem
está mais bem-preparado para enfrentá-lo. Exemplo: contratos com fornecedor
contendo cláusulas específicas para tratamento dos riscos.
• Mitigar (suavizar)/Reduzir: desenvolver ações visando minimizar a probabilidade
da ocorrência ou de seu impacto, com o objetivo de deixar o risco dentro do limite
aceitável. Exemplo: projetar uma redundância; qualificação de recursos humanos.
• Aceitar: indicada nas situações em que a criticidade do risco é moderado ou
insignificante; ou na ocorrência de riscos externos em que não seja possível
implementar uma ação específica. Existem algumas derivações:
62
◦ Aceitar passivamente o risco: simplesmente não fazer nada e torcer para que o
risco não venha a acontecer; ou prever que o risco exigirá resposta, mas não será
preciso reservar recursos adicionais.
◦ Aceitar ativamente o risco: desenvolver planos alternativos (Contingência) caso venha a
ocorrer. Neste caso, será necessária alocação de valores monetários.
De acordo com a criticidade é sugerido escolher uma estratégia de ação:
TABELA 4 – ESTRATÉGIA DE AÇÃO SUGERIDA PARA A RESPOSTA AOS RISCOS
Criticidade Baixo Moderado Elevado Extremo

1a3 4 a 10 11 a 36 37 a 100
Prevenir/Evitar
Resposta Aceitar Aceitar Mitigar / ou Transferir/
ao Risco Passivamente Ativamente Reduzir Compartilhar
TABELA 5 – MATRIZ COMPLETA DE CRITICIDADE COM SUGESTÃO DE RESPOSTA AOS RISCOS
Nível da Nível do Criticidade do Sugestão de

Probabilidade Impacto Risco Resposta ao Risco
Prevenir / Evitar
Muito Alta (10) Catastrófico (10) Extremo (100) ou Transferir /
Compartilhar
Muito Alta (10) Relevante (6) Extremo (60) Mitigar / Reduzir
Muito Alta (10) Moderado (3) Elevado (30) Mitigar / Reduzir
Muito Alta (10) Insignificante (1) Moderado (10) Aceitar Ativamente
Prevenir/Evitar
Alta (6) Catastrófico (10) Extremo (60) ou Transferir/
Compartilhar
Alta (6) Relevante (6) Elevado (36) Mitigar / Reduzir
Alta (6) Moderado (3) Elevado (18) Mitigar / Reduzir
Aceitar
Alta (6) Insignificante (1) Moderado (6) Passivamente
Moderada (3) Catastrófico (10) Elevado (30) Mitigar / Reduzir
Moderada (3) Relevante (6) Elevado (18) Mitigar / Reduzir
Aceitar
Moderada (3) Moderado (3) Moderado (9) Passivamente
Aceitar
Moderada (3) Insignificante (1) Baixo (3) Passivamente
Baixa (1) Catastrófico (10) Moderado (10) Aceitar Ativamente
Baixa (1) Relevante (6) Moderado (6) Aceitar Ativamente

Aceitar
Baixa (1) Moderado (3) Baixo (3) Passivamente
Aceitar
Baixa (1) Insignificante (1) Baixo (1) Passivamente
63
• Comunicação
A comunicação do risco preconiza o compartilhamento contínuo das

informações referentes aos riscos entre as partes interessadas durante todo o processo
de gestão de risco.
• Monitoramento e controle de riscos
Após tomadas as devidas ações referentes aos riscos prioritários, é necessário

assegurar sua permanência, evolução se possível, no tempo. Algumas das técnicas úteis
nessa fase são:
• Sistemas de relatórios internos e externos (disclosure).

• Auditorias internas.
• Estabelecimento de técnicas de medição (ex. V@R, simulações de Monte Carlo etc.).
• Balanced Scorecard adaptado.
FONTE: Adaptado de: <https://dtic.tjpr.jus.br/wiki/-/wiki/Governança-TIC/sobre+Risco+em+TI>.

Acesso em: 12 out. 2020.
64
RESUMO DO TÓPICO 3
• A gestão da segurança da informação, de acordo com a norma ISO/IEC 27001,

visa estabelecer, implementar, operar, monitorar e analisar criticamente a decisão
estratégica de uma organização.
• Na gestão é adotado o ciclo PDCA (do inglês, Plan-do-Check-Act), que é implementado

em seus processos.
• Uma vulnerabilidade é uma fraqueza que pode ser explorada por um agente de ameaças,
como um invasor, para executar ações não autorizadas em um sistema de computador.
• As vulnerabilidades podem ainda ser uma fraqueza de uma atividade ou grupo de

atividades que pode ser explorada por uma ou mais ameaças.
• A análise de vulnerabilidade é um dos itens fundamentais no gerenciamento de risco,

pois de forma frequente são verificadas as vulnerabilidades ou exposições existentes.
• Uma análise, contemplando as ameaças, vulnerabilidades e impactos devem servir

como guia para adoção de medidas de segurança.
• Alguns exemplos de vulnerabilidades são: de hardware, de software, de rede, de

recursos humanos, de locais e instalações, e de organização.
• O padrão conhecido pela indústria para identificação de vulnerabilidades de ambientes

computacionais é chamado Vulnerabilidades e Exposições Comuns – CVE (do inglês,
Common Vulnerabilities and Exposures).
• As vulnerabilidades que afetam sistemas web, são estudadas e listadas pela fundação
OWASP.
• A OWASP organizada uma lista com as dez vulnerabilidades mais críticas intitulada de
OWASP Top 10.
• A classificação da OWASP consiste nos seguintes grupos: Injection, Quebra de

Autenticação e Gerenciamento de Sessão, Cross-Site Scripting, Referência Insegura
e Direta a Objetos, Configuração Incorreta de Segurança, Exposição de Dados
Sensíveis, Falta de Função para Controle do Nível de Acesso, Cross-Site Request
Forgery, Utilização de Componentes Vulneráveis Conhecidos e Redirecionamentos e
Encaminhamentos Inválidos.
65
• O Projeto Aberto de Segurança em Aplicações Web – OWASP (do inglês, Open Web
Application Security Project) e o Consorcio de Segurança de Aplicações Web – WASC
(do inglês, Web Application Security Consortium) são referência no entendimento de
problemas de segurança.
• Ao analisar a segurança, devemos nos preocupar com a identificação de ativos, de

ameaças e de vulnerabilidades.
• A gestão da análise de riscos de vulnerabilidades no seu ciclo de vida passa pela

elaboração e avaliação de uma matriz de risco.
66
AUTOATIVIDADE
1 A gestão da segurança da informação, de acordo com a norma ISO/IEC 27001:2013,
visa estabelecer, implementar, operar, monitorar e analisar criticamente a decisão
estratégica de uma organização. Sobre a gestão, qual ciclo é adotado?
a) ( ) É adotado o ciclo PDCA (do inglês, Plan-do-Check-Act).

b) ( ) É adotado o ciclo ADCA (do inglês, Act-do-Check-Act).
c) ( ) É adotado o ciclo PDCA (do inglês, Point-do-Check-Act).
d) ( ) É adotado o ciclo DCAP (do inglês, Do-Check-Act-Point).
e) ( ) É adotado o ciclo CRUD (do inglês, Create-Read-Update-Delete).
2 O termo vulnerabilidade para segurança da informação é tratado como um ponto

fraco, um erro (bug), ou seja, uma deficiência ou falha que pode ser explorada em um
determinado software e/ou hardware, protocolo, ferramenta, algoritmo, equipamento
ou processo. Sobre o conceito de vulnerabilidade, assinale a alternativa CORRETA:
a) ( ) É uma fraqueza que pode ser explorada por um agente de ameaças, como um
invasor, para executar ações não autorizadas em um sistema de computador.
b) ( ) É um risco que pode ser explorado por um agente de risco, como uma pessoa
autorizada em um sistema de computador.
c) ( ) São elementos que têm a condição de explorar vulnerabilidades e causar
problemas a sistemas de informação e redes de computadores.
d) ( ) É diferença entre a probabilidade de um evento e de suas consequências.
e) ( ) É um agente de ameaças, como um invasor, para executar ações autorizadas em
um sistema de computador.
3 A vulnerabilidade, por si só, não causa danos, ela precisa estar ligada a uma ameaça
que possa explorá-la. O padrão conhecido pela indústria para identificação de
vulnerabilidades de ambientes computacionais é chamado:
a) ( ) CVE (do inglês, Common Vulnerabilities and Exposures).

b) ( ) PDCA (do inglês, Plan-do-Check-Act).
c) ( ) OWASP (do inglês, The Open Web Application Security Project).
d) ( ) SQL (do inglês, Structured Query Language).
e) ( ) XSS (do inglês, Cross-Site Scripting).
4 Dentre as vulnerabilidades existentes há as que afetam sistemas web. Essas são

estudadas e listadas pela fundação OWASP, sendo organizadas em uma lista
com as dez vulnerabilidades mais críticas, a OWASP Top 10. Qual delas é uma das
vulnerabilidades Top 10 da OWASP?
67
a) ( ) Injection – Ocorre quando dados e consultas não confiáveis são enviadas para o
interpretador do banco de dados.
b) ( ) Worm – Notificações de atividades maliciosas relacionadas com o processo
automatizado de propagação de códigos maliciosos na rede.
c) ( ) DoS – Notificações de ataques de negação de serviço, onde o atacante utiliza
um computador tirar de operação um serviço, computador ou rede.
d) ( ) Invasão – Um ataque bem-sucedido que resulte no acesso não autorizado a um
computador ou rede.
c) ( ) Web – Um caso particular de ataque visando especificamente ao
comprometimento de servidores Web ou desfigurações de páginas na internet.
5 Análise de Vulnerabilidade é o processo de análise de uma vulnerabilidade descoberta,

para identificar características, propriedades, causas e riscos envolvidos. Quanto
às vulnerabilidades técnicas a norma ISO/IEC 27002 trata algumas diretrizes
necessárias para o gerenciamento dessas vulnerabilidades. Sobre a análise de
vulnerabilidade, assinale a alternativa INCORRETA:
a) ( ) Definir prazos para reação em caso e identificação de vulnerabilidades.

b) ( ) Analisar os riscos inerentes e ações tomadas após identificar a vulnerabilidade
técnica.
c) ( ) Analisar os riscos inerentes de correções novas quanto a sua instalação.
d) ( ) Manter registro de auditoria dos procedimentos realizados.
e) ( ) Tratar da queda da Internet esquecendo das melhores práticas definidas pelas
normas internacionais.
68
REFERÊNCIAS
BAARS, H. et al. Fundamentos de segurança da informação: com base na ISO
27001 e na ISO 27002. Rio de Janeiro: BRASPORT, 2018.
BEAL, A. Segurança da informação: princípios e melhores práticas para a proteção

dos ativos de informação nas organizações. São Paulo: Atlas, 2008.
CERT.BR. Práticas de segurança para administradores de redes internet. 2003.

Disponível em: http://www.cert.br/docs/seg-adm-redes/. Acesso em: 4 nov. 2020.
CVE, Common Vulnerabilities and Exposures, 2020. [On-line]. Disponível em: https://
cve.mitre.org/. Acesso em: 1 jun. 2020.
DANTAS, M. L. Segurança da informação: uma abordagem focada em gestão de

riscos. Olinda: Livro Rápido, 2011.
DENG, M. A privacy threat analysis framework: supporting the elicitation and fulfilment
of privacy requirements. Requirements Engineering, v. 16, n. 1, p. 3-32, mar. 2011.
ENISA, The European Union Agency for Cybersecurity. c2020. Disponível em:
enisa.europa.eu/about-enisa. Acesso em: 4 nov. 2020.
IETF/RFC 4949, Internet Security Glossary, Version 2. 2007. Disponível em: https://
datatracker.ietf.org/doc/rfc4949/. Acesso em: 4 nov. 2020.
ISACA, Information Systems Audit and Control Association, 2020. [Online]. Disponível
em: https://www.isaca.org/. Acesso em: 1 jun. 2020.
ISO/IEC. 27005:2018, Information Security Risk Management. 2018. Disponível em:

https://www.iso.org/standard/75281.html. Acesso em: 4 nov. 2020.
ISO/IEC. 27000:2018, Information technology — Security techniques — Information

security management systems — Overview and vocabulary. 2018. Disponível em:
https://www.iso.org/standard/73906.html. Acesso em: 4 nov. 2020.
ISO/IEC. 27001:2013, Information Security Management System. 2013. Disponível em:

https://www.iso.org/isoiec-27001-information-security.html. Acesso em: 4 nov. 2020.
ISO/IEC. 27002:2013, Information technology – Security techniques – Code of

Practice for Information Security controls. 2013. Disponível em: https://www.iso.org/
standard/54533.html#:~:text=ISO%2FIEC%2027002%3A2013%20gives,security%20
risk%20environment(s). Acesso em: 4 nov. 2020.
69
ISO/IEC. 31000:2009, Risk Management. 2009. Disponível em: https://www.iso.org/
standard/43170.html. Acesso em: 4 nov. 2020.
ISO/IEC. 17799:2000, Information technology — Code of practice for information

security management. 2000. Disponível em: https://www.iso.org/standard/33441.
html. Acesso em: 4 nov. 2020.
NAKAMURA, E.; GEUS, P. L. Segurança em redes em ambientes cooperativos. São

Paulo: Novatec, 2007.
NIST (National Institute of Standards and Technology). Guide for Conducting Risk
Assessments – Information Security. 2012. Disponível em: https://nvlpubs.nist.gov/
nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf. Acesso em: 4 nov. 2020.
OWASP, Open Web Application Security Project, 2020. [Online]. Disponível em: https://
owasp.org/. Acesso em: 1 jun. 2020.
SÊMOLA, M. Gestão da segurança da informação – uma visão executiva. Rio de

Janeiro. Editora Elsevier. 2. ed. 2014.
SHOSTACK, A. Threat modeling: Designing for Security. New Jersey: Wiley, 2014.
STALLINGS, W. Cryptography and network security: principles and practice. 5. ed.

New York: Prentice Hall, 2010.
WUYTS, K. Privacy Threats in Software Architectures. Heverlee: Tese KU Leuven

– Faculty of Engineering Science, 2015.
70
UNIDADE 2 —
TIPOS E FERRAMENTAS
PARA ANÁLISE DE
VULNERABILIDADES
• conhecer os principais tipos de vulnerabilidades;
• compreender como são classificadas as vulnerabilidades;
• conhecer as ferramentas de análise de vulnerabilidades;
• compreender o ambiente para utilização das ferramentas.
PLANO DE ESTUDOS
TÓPICO 1 – PRINCIPAIS TIPOS DE VULNERABILIDADES

TÓPICO 2 – FERRAMENTAS PARA ANÁLISE DE VULNERABILIDADES
TÓPICO 3 – FUNDAMENTOS SOBRE O AMBIENTE
CHAMADA
71
CONFIRA
A TRILHA DA
UNIDADE 2!
Acesse o
QR Code abaixo:
72
UNIDADE 2 TÓPICO 1 —
PRINCIPAIS TIPOS DE VULNERABILIDADES
1 INTRODUÇÃO
Caro acadêmico! Na Unidade 1, você se dedicou a aprender que a segurança
da informação é alcançada graças à implementação de elementos que promovam a
mitigação dos riscos aos quais os ambientes de TI das empresas estão sujeitos. Pôde
compreender que riscos associados a ameaças e ataques podem vir a se concretizar à
medida que vulnerabilidades são exploradas.
A definição de vulnerabilidade estabelece uma condição de deficiência ou

falha que possa ser explorada por um atacante, por exemplo, o que pode acarretar
problemas críticos à segurança do ambiente. Para que as consequências de problemas
ocasionados pela exploração de vulnerabilidades sejam evitadas é importante que
se tenha conhecimento dos tipos de vulnerabilidades existentes e como podem ser
identificadas para que o ambiente de TI possa ser resguardado.
O escopo deste tópico cobrirá os assuntos relacionados aos tipos de

vulnerabilidades e sua classificação, além do estudo mais detalhado de dois padrões
de identificação e classificação de vulnerabilidades: o CVE (Common Vulnerabilities
and Exposure – Vulnerabilidades e exposição comuns) e o CWE (Common Weakness
Enumeration – Enumeração de fraquezas comuns).
2 TIPOS DE VULNERABILIDADES
Conforme você aprendeu até aqui, vulnerabilidades são definidas como
fraquezas, condições que, quando exploradas, tornam um sistema suscetível a ataques,
que podem resultar em alguma violação de segurança.
As falhas que ocasionam as vulnerabilidades em um sistema computacional são

geralmente não intencionais, e costumam apresentar diversas origens, desde aspectos
relacionados a software ou hardware, até falhas de origem humana ou mesmo naturais
(MARTINELO; BELLEZI, 2014).
Por isso mesmo, ao estudar a literatura especializada, é comum perceber

diferentes formas de organizar ou mesmo identificar tipos de vulnerabilidades. Vejamos
na sequência como podemos encontrar e definir os diferentes tipos de vulnerabilidades.
73
Para Martinelo e Bellezi (2014) podemos organizar as vulnerabilidades de
sistemas computacionais nos seguintes tipos: software, hardware, humanas, físicas
e naturais.
• As vulnerabilidades de software estão relacionadas a falhas de programação.

Este tipo de vulnerabilidade abre brechas no sistema que podem ser exploradas
por atacantes.
• As vulnerabilidades de hardware estão relacionadas à indisponibilidade do sistema,
o que pode ocasionar perda de dados. Exemplo deste tipo de vulnerabilidade pode ainda
incluir o uso de hardware malicioso, como um keylogger.
• As vulnerabilidades de origem humana estão relacionadas ao mau uso do sistema
ou de alguma função deste por parte do usuário. Neste caso, pode ocorrer o mau
funcionamento do sistema ou a perda de informações.
• As vulnerabilidades físicas estão associadas à falta de controle de acesso, que
permite a pessoas não autorizadas o acesso a ativos de software e/ou hardware,
comprometendo a segurança do ambiente computacional.
• Por fim, as vulnerabilidades naturais estão relacionadas à ocorrência de desastres
ocasionadas por fenômenos naturais (como tempestades, por exemplo), que podem
vir a comprometer a segurança ou mesmo a disponibilidade dos dados armazenados.
NOTA
Keylogger são softwares maliciosos capazes de capturar tudo o
que se digita em um teclado.
Ao organizar tipos de vulnerabilidades, Ribera ([s.d.]) os resume em três

tipos gerais: as vulnerabilidades de projeto, relacionadas a falhas no projeto de
protocolos utilizados nas redes de computadores e também ao estabelecimento de
políticas de segurança falhas ou mesmo sua inexistência; as vulnerabilidades de
implementação, que podem existir em decorrência de erros na programação e a
ocorrência de “portas abertas” que facilitam invasões, e até mesmo em decorrência
da negligência dos fabricantes de software; e, por fim, as vulnerabilidades de uso,
relacionadas à má configuração de sistemas, falta de conhecimento e/ou mau uso dos
insumos de tecnologia por parte dos usuários, uso de ferramentas que facilitam ataques
e questões relacionadas à governança, que limitam o uso de tecnologias de segurança.
Ainda, Mather (2012, p. 3, tradução nossa, grifo do autor) apresenta dois tipos
de vulnerabilidades definidas: as vulnerabilidades de infraestrutura ou de rede, e as
vulnerabilidades de aplicativo ou software:
74
• Infraestrutura: “qualquer falha ou fraqueza na defesa da rede que poderia ser explorada
para obter acesso não autorizado, danos ou de outra forma afetar uma rede”.
• Aplicativo: “uma fraqueza em um aplicativo, seja uma falha de design ou um bug de
implementação, que permite que um invasor cause danos às partes interessadas de
um aplicativo”.
Ainda sob outro ponto de vista, pode-se destacar sobre vulnerabilidades de

software e hardware (CWE, 2020a, s.p., tradução nossa):
Uma vulnerabilidade de software [...], é um erro no software que pode

ser usado diretamente por um hacker para obter acesso a um sistema
ou rede. Uma vulnerabilidade de hardware é um erro no hardware
ou em seu firmware que pode ser usado por um hacker para obter
acesso remoto ou físico a um sistema.
Veja no Quadro 1 exemplos de tipos de vulnerabilidades identificadas em

softwares e hardwares.
QUADRO 1 – EXEMPLOS DE VULNERABILIDADES DE SOFTWARE E HARDWARE
Software
• Buffer overflow, strings de formato etc.

• Problemas de estrutura e validade de dados.
• Manipulação de elementos especiais comuns (diferentes maneiras com que elementos
podem ser introduzidos como entradas de um software).
• Erros de canal e caminho (maneiras pelas quais o uso de canais de comunicação ou caminhos
de execução podem ser relevantes para a segurança).
• Erros de manipulador (maneiras pelas quais manipuladores são indevidamente aplicados).
• Erros de interface do usuário.
• Erros de passagem e equivalência de nome de caminho.
• Erros de autenticação.
• Erros de gerenciamento de recursos.
• Verificação insuficiente de dados.
• Avaliação e injeção de código.
• Aleatoriedade e previsibilidade.
Hardware
• Problemas de núcleo e computação tipicamente associados a CPUs, gráficos, visão,

inteligência artificial, FPGA (Field Programmable Gate Array – Arranjo de Portas Programáveis
em Campo) e microcontroladores.
• Separação de privilégios e questões de controle de acesso relacionadas à identificação
e política, recursos compartilhados, controles de bloqueio, registros e outros recursos e
mecanismos.
• Preocupações de energia, clock e reset relacionadas à tensão, corrente elétrica, temperatura,
controle de relógio e economia/restauração de estado.
FONTE: Adaptado de Cwe (2020a) e Martin; Christey; Jarzombek (s.d.)
75
Veja, na sequência, algumas vulnerabilidades comumente conhecidas e
relacionadas a aplicações web, já apresentadas anteriormente a você na Unidade 1
(POPESCU, s.d.; RIBERA, [s.d.]):
• SQL Injection.
• Injeção de Comandos.
• Cross Site Scripting (XSS).
• Negação de serviço (DoS – Denial of Service).
• Estouro de buffer.
• Inclusão de arquivo remoto/local.
• Referências inseguras e diretas a objetos.
Não podemos ainda esquecer as vulnerabilidades a que estão sujeitos os

dispositivos de computação móvel. Neste contexto da tecnologia sem fio, cada vez mais
indivíduos e organizações dependem da computação móvel para a transmissão eficiente
de dados. Assim, “Se não forem protegidas por criptografia, as redes sem fio muitas
vezes passam informações confidenciais [...] que podem causar danos a indivíduos e/ou
organizações” (WLOSINSKI, 2016, p. 3, tradução nossa).
As vulnerabilidades em dispositivos móveis podem estar presentes nos

aplicativos instalados, tornando-os suscetíveis à exploração. Vulnerabilidades comuns
de aplicativos podem incluir (WLOSINSKI, 2016):
• A configuração incorreta de permissões permitindo acesso a funções controladas, como

GPS (Global Positioning System – Sistema de Posicionamento Global), por exemplo.
• Pontos fracos nas configurações de privacidade permitindo o acesso de aplicativos a
informações confidenciais, tais como contatos, fotos, acesso Bluetooth, entre outros.
• Exposição de protocolos de comunicação interna que passam mensagens do
dispositivo para ele mesmo ou para outros aplicativos.
• Ocultação, quando uma funcionalidade ou o processamento de recursos são
ocultados do usuário.
• Redução da disponibilidade do sistema e consumo de bateria pelo funcionamento
contínuo de aplicativos em segundo plano.
• Vulnerabilidades de software tradicionais, como edição insuficiente dos dados
inseridos, exploração de consultas (SQL) e práticas pobres de programação.
Perceba que, apesar de diferentes fontes da literatura adotarem diferentes

nomenclaturas para tipificar vulnerabilidades (e também fraquezas), a essência de suas
definições nos permite identificar que, vulnerabilidades de software, de implementação
ou de aplicativo estão relacionadas a erros/falhas presentes no software em questão e,
portanto, definem um mesmo tipo de vulnerabilidade.
Mas qual é a importância de se definir tipos de vulnerabilidades? Saber de sua

existência já não seria suficiente? Antes de respondermos a estas perguntas, veja
alguns dados sobre incidentes registrados pelo CERT.br (CERT.BR, 2020):
76
• No primeiro semestre de 2020 foram encaminhadas ao CERT.br 318.697 notificações
relacionadas à exploração de vulnerabilidades.
• No mesmo período foram encaminhadas 1.397 notificações de vulnerabilidades
graves (zero days), relacionadas a servidores e elementos de rede no espaço de
internet brasileiro que poderiam ser exploradas remotamente.
Ao avaliarmos os números fornecidos pelo CERT.br, torna-se mais simples

perceber a amplitude dos incidentes ocasionados pela exploração de vulnerabilidades.
Quando alguma coisa acontece, muitas vezes é importante conhecê-la; quando muitas
coisas diferentes acontecem, muitas vezes é importante conhecê-las e saber como
diferenciá-las entre si.
Após fazermos esta avaliação, fica fácil compreender porque não nos é
suficiente saber que a vulnerabilidade existe, mas saber definir de qual vulnerabilidade
se trata. Sem o estabelecimento de um processo que nos auxilie a classificar ou
mesmo enumerar um objeto de estudo, no nosso caso, as vulnerabilidades, está-se
sujeito ao risco de se cometer enganos na comunicação. Classificar ou enumerar torna
mais fácil diferenciar elementos entre si (MALERBA, 2010).
NOTA
“Vulnerabilidade do dia zero” é o termo utilizado por Ribera ([s.d.], p. 8,
tradução nossa, grifo do autor) para definir vulnerabilidades para as quais
“[...] não existe uma solução ‘conhecida’, mas é conhecido como explorá-la.”.
Chivers (2019, tradução nossa) complementa mencionando que “[...] é uma
falha de segurança de software conhecida pelo seu fornecedor, mas que
não possui um conserto imediato para fixar essa falha”.
Desta forma, no próximo subtópico, trataremos dos padrões já estabelecidos no

tocante a formas de classificação de vulnerabilidades.
3 CLASSIFICAÇÃO DAS VULNERABILIDADES

O processo de classificação de vulnerabilidade ainda representa um desafio, uma
vez que não se pode ainda afirmar que existe uma única forma correta para se realizar esta
tarefa. Temos hoje, várias organizações de pesquisa que vêm trabalhando e mantendo
padrões para enumerar e classificar vulnerabilidades (GODINHO, 2016; MALERBA, 2010).
Conforme você acabou de estudar, vários são os fatores que justificam a busca
por uma padronização na classificação de vulnerabilidades, incluindo (SEACORD, 2005
apud MALERBA, 2010, p. 22, grifo do autor):
77
• O entendimento das ameaças que elas representam;
• Correlacionamento de incidentes, de exploits e de artefatos;
• Avaliação da efetividade das ações de defesa;
• Descoberta de tendências de vulnerabilidades.
GIO
Exploit, do inglês exploração. Na bibliografia especializada, você encontrará
com muita frequência o termo em inglês quando estiver falando em
exploração de vulnerabilidades.
Alguns dos modelos de identificação e/ou classificação de vulnerabilidades

incluem PLOVER (Preliminary List of Vulnerability Examples for Researches – Lista
Preliminar de Exemplos de Vulnerabilidade para Pesquisas), CLASP (Comprehesive,
Lightweight Application Security Process – Processo de Segurança de Aplicativo
Abrangente e Leve), CVE e CWE. Destes, apresentaremos em detalhe a você dois deles:
o CVE, que trata de um modelo de enumeração de vulnerabilidades, e o CWE, modelo de
classificação de fraquezas.
IMPORTANTE
Vale ainda mencionar que “Métricas, relativas à gravidade e ao impacto,
também estão disponíveis e são empregadas no auxílio às instituições
nas tomadas de decisões” (MALERBA, 2010, p. 22), destacando-se nesse
sentido o CVSS (Common Vulnerability Scoring System – Sistema de
Pontuação de Vulnerabilidades Comuns) e o CWSS (Common Weakness
Scoring System – Sistema de Pontuação de Fraquezas Comuns).
78
3.1 CVE
Surgido em 1999, o CVE é um projeto instigado pelo MITRE, que estabeleceu
a padronização para a identificação das vulnerabilidades de forma única, sendo hoje
considerado o esquema de enumeração de vulnerabilidades mais difundido (ENISA,
2019; MALERBA, 2010).
Antes da criação do CVE, pelo fato de não existir um formato único para a
identificação de vulnerabilidades, cada organização recorria aos seus próprios bancos de
dados com seus nomes de vulnerabilidades. Veja no Quadro 2 um exemplo de como as
organizações se referiam a uma mesma vulnerabilidade antes do CVE (MALERBA, 2010).
QUADRO 2 – IDENTIFICAÇÃO DA MESMA VULNERABILIDADE POR DIFERENTES

ORGANIZAÇÕES ANTES DO CVE
Organização Como se referia à vulnerabilidade

CERT CA-96.06.cgi_example_code
Cisco Systems http – cgi-phf
DARPA 0x00000025 = http PHF attack
IBM ERS ERS-SVA-E01-1996:002.1
Security Focus #629 – phf Remote Command Execute Vulnerability
FONTE: Martin (2001 apud MALERBA, 2010, p. 24)
Com a criação do CVE, a vulnerabilidade identificada no Quadro 2 de tantas formas

diferentes, passou a ser reconhecida de uma única forma: CVE-1999-0067, tendo como
descrição “O programa phf CGI permite a execução remota de comandos por meio de
metacaracteres Shell” (CVE, 1999, tradução nossa).
Assim, o CVE então se trata de “[...] uma lista de identificadores comuns para
vulnerabilidades de segurança cibernética publicamente conhecidas” (CVE, 2019, s.p.,
tradução nossa), que fornece uma solução a esses problemas.
Veja as principais características atribuídas ao CVE (CVE, 2019, tradução nossa):
• Um identificador para uma vulnerabilidade ou exposição.

• Uma descrição padronizada para cada vulnerabilidade ou exposição.
• Um dicionário em vez de um banco de dados.
• Como bancos de dados e ferramentas díspares podem "falar" a
mesma língua.
• O caminho para a interoperabilidade e melhor cobertura de segurança.
• Uma base para avaliação entre serviços, ferramentas e bancos
de dados.
• Gratuito para download e uso público.
• Aprovado pela indústria por meio das Autoridades de Numeração
CVE, Conselho CVE e vários produtos e serviços que incluem CVE.
79
NOTA
Fazendo uso de uma comparação simplista, o CVE identifica de forma
única as vulnerabilidades que são divulgadas, assim como livros são
identificados de forma única pelo seu ISBN (International Standard Book
Number) (ENISA, 2019).
Ao estabelecer um padrão para a identificação de vulnerabilidades, o CVE permite

o compartilhamento de dados entre diferentes ferramentas e bancos de dados a partir
das chamadas inscrições CVE (CVE Entries) (CVE, 2020a).
“O CVE Entries também fornece uma linha de base para avaliar a cobertura de
ferramentas e serviços para que os usuários possam determinar quais ferramentas são
mais eficazes e adequadas para as necessidades de sua organização” (CVE, 2019, s.p.,
tradução nossa).
Falando-se de maneira simples, uma vulnerabilidade é padronizada a partir do

momento que é criada uma CVE Entry. No entanto, o processo de criação das CVE
Entries envolve uma sequência de etapas e elementos (CVE, 2019): após a descoberta de
uma vulnerabilidade potencial é atribuído um número de identificação CVE (também
chamado CVE ID) por uma Autoridade de Numeração CVE (CNA – CVE Numbering
Authority); a CNA então fornece uma descrição para a vulnerabilidade e acrescenta
referências. Uma vez finalizada, a CVE Entry é adicionada à lista CVE (CVE List) e
postada no site do CVE.
Veja no Quadro 3 os elementos que compõem uma CVE Entry:
QUADRO 3 – ELEMENTOS INCLUÍDOS EM UMA CVE ENTRY
• Número de identificação CVE (i.e., "CVE-1999-0067", "CVE-2014-

10001", "CVE-2014-100001").
• Breve descrição da vulnerabilidade ou exposição de segurança.
• Quaisquer referências pertinentes (i.e., relatórios e recomendações de
vulnerabilidade).
FONTE: Adaptado de Cve (2019)
Veja na Figura 1, os resultados pela busca de uma expressão relacionada a erro,

como “json input”, por exemplo, na CVE List:
80
FIGURA 1 – RESULTADO DE BUSCA NA CVE LIST
FONTE: <https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=json+input>. Acesso em: 21 jan. 2021.
Perceba que existem 30 CVE Entries relacionadas a nossa expressão, ou seja,

há 30 vulnerabilidades conhecidas relacionadas à json inputs em softwares. Agora,
suponhamos que a vulnerabilidade que você deseja conhecer seja aquela com CVE ID
CVE-2020-9861 (destacada na Figura 1). Ao clicar sobre ela, você será direcionado para
a página mostrada na Figura 2, com destaque para o CVE ID, sua descrição e referências:
FIGURA 2 – CVE ENTRY PARA A VULNERABILIDADE CVE-2020-9861
FONTE: <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9861>. Acesso em: 21 jan. 2021.
NOTA
“Outros esquemas de numeração incluem o Boletim de Segurança
da Microsoft (MS), o Banco de Dados de Vulnerabilidade (SSV) da
Seebug e o Aviso de Segurança da VMWare (VMSA)” (ENISA, 2019, p.
7, tradução nossa).
81
Vamos agora compreender como cada um dos elementos apresentados no Quadro
3 é definido para uma vulnerabilidade em uma CVE Entry.
Um CVE ID estabelece um número identificador para uma CVE Entry. Seu

formato segue a seguinte sintaxe: prefixo CVE, seguido do ano em que a vulnerabilidade
foi atribuída ou veio a público, seguido dos dígitos do número de sequência da referida
vulnerabilidade entre aquelas identificadas naquele ano (CVE, 2020a). Por exemplo, a
CVE Entry "CVE-2014-12345" é a de número 12.345, atribuída no ano de 2014.
Algumas questões pertinentes sobre como a porção “ano” do CVE ID é

administrada merecem ser consideradas (CVE, 2020a):
• Se, por exemplo, a vulnerabilidade foi descoberta em 2020 e um CVE ID é solicitado no

mesmo ano, o CVE ID dessa vulnerabilidade seria “CVE-2020-NNNN”.
• Se, por exemplo, a vulnerabilidade foi descoberta em 2019 e tornou-se pública
somente no ano seguinte, no caso 2020, o CVE ID dessa vulnerabilidade seria “CVE-
2020-NNNNN” se veio a ser solicitado em 2020.
• Se, por exemplo, a vulnerabilidade foi descoberta em 2015 e no mesmo ano um CVE
ID foi solicitado, mas a mesma não foi tornada pública: atribui-se o CVE ID “CVE-
2015-NNNN” que apareceria como “Reservado” na CVE List. Eventualmente CVE ID
não é divulgado publicamente até 2017. Neste caso, o CVE ID permanece “CVE-2015-
NNNN”, apesar de a vulnerabilidade não ser divulgada até 2017.
• Se, por exemplo, a vulnerabilidade foi descoberta e publicada em 2019 sem a
atribuição de um CVE ID, e eventualmente solicita-se a atribuição de um CVE ID em
2020. O CVE ID dessa vulnerabilidade seria “CVE-2019-NNNN” desde que foi tornada
pública pela primeira vez em 2019.
A descrição traz informações como o tipo e impacto da vulnerabilidade,

nome do produto e fornecedor afetados pela vulnerabilidade, o acesso requerido por
um invasor para explorar a vulnerabilidade. É importante mencionar que a descrição é
exclusiva de cada vulnerabilidade uma vez que devem auxiliar os usuários a encontrar
a CVE Entry de uma vulnerabilidade específica. A descrição também permite a distinção
entre vulnerabilidades semelhantes (CVE, 2020a).
As referências são essenciais CVE Entry, pois identificam sua fonte, além de
apontar o conteúdo relevante para a vulnerabilidade. É importante que as referências
estejam disponíveis para o público (CVE, 2020a).
Cada referência segue o formato FONTE: NOME onde (CVE, 2020b):
• FONTE é uma palavra-chave alfanumérica, por exemplo, APPLE, CERT, URL, entre
outras.
• NOME é uma linha de texto ASCII que pode incluir espaços e dois pontos.
82
IMPORTANTE
“Sempre que possível, o NOME é selecionado para facilitar as pesquisas
no site da FONTE. Para referências que não possuem um identificador
bem definido, uma data de lançamento e/ou cabeçalho de assunto pode
ser incluída” (CVE, 2020b, tradução nossa).
A Figura 3 mostra o mapa de referências CVE para a fonte CERT. O mapa

de referências apresenta uma lista de várias referências à, neste caso, fonte CERT o as
CVE Entries associadas. Repare no trecho destacado em vermelho o formato da fonte:
nome, no caso, CERT:CA-1989-01.
FIGURA 3 – MAPA DE REFERÊNCIAS PARA A FONTE CERT
FONTE: <https://cve.mitre.org/data/refs/refmap/source-CERT.html>. Acesso em: 21 jan. 2021.
Ao clicar sobre o CVE ID associado à referência em destaque na Figura 3, você

será direcionado para a CVE Entry da vulnerabilidade. Repare na Figura 4, destacada
em vermelho, a referência CERT:CA-1989-01 e a URL a ela associada para consulta do
público (Figura 5).
83
FIGURA 4 – REFERÊNCIA CERT:CA-1989-01 PARA A VULNERABILIDADE COM CVE ID CVE-1999-1471
FONTE: <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-1471>. Acesso em: 21 jan. 2021.
FIGURA 5 – INFORMAÇÃO PÚBLICA DA REFERÊNCIA CERT:CA-1989-01
FONTE: <https://resources.sei.cmu.edu/library/asset-view.cfm?assetID=496234>. Acesso em:

21 jan. 2021.
Por fim, os CVE ID são atribuídos pelas CNA, que são organizações autorizadas a
fazer esta atribuição garantindo confiança no compartilhamento de informações sobre as
vulnerabilidades (CVE, 2019; ENISA, 2019).
IMPORTANTE
“O Programa CVE não credita pessoas ou organizações que descobrem
vulnerabilidades” (CVE, 2020a, tradução nossa).
84
3.2 CWE
Conforme você acabou de estudar, com seu surgimento, o CVE auxiliou a
promoção de um formato padronizado para se identificar vulnerabilidades. No entanto, a
classificação das vulnerabilidades identificadas não fazia parte de seu objetivo primordial.
Após 2005 esforços no sentido de criar catálogos de classificação para

vulnerabilidade foram empreendidos, culminando em propostas como o PLOVER,
CLASP e Seven Pernicious Kingdoms.
Desses três, merece aqui destaque o PLOVER, criado pelo MITRE em colaboração
com o DHS (US. Department of Homeland Security – Departamento de Segurança Interna
dos Estados Unidos da América) e o NIST (National Institute of Technology – Instituto
Nacional de Tecnologia). Trata-se de um framework conceitual que permite a verificação
das vulnerabilidades em vários níveis. Mais de 1400 vulnerabilidades identificadas pelo
CVE foram classificadas utilizando o PLOVER (MALERBA, 2010).
Foi a partir dos estudos empreendidos para a classificação de vulnerabilidades

proporcionada pelo PLOVER que surgiu a CWE.
IMPORTANTE
O CWE está fortemente fundamentado na classificação feita pelo PLOVER,
mas também segue os padrões fornecidos pelos outros sistemas de
classificação anteriormente mencionados, CLASP e Seven Pernicious
Kingdoms (MALERBA, 2010).
Assim, por definição, a CWE “[...] é uma lista desenvolvida pela comunidade de
tipos de fraquezas de software e hardware. [...] serve como uma linguagem comum, [...]
uma linha de base para a identificação de fraquezas, mitigação e esforços de prevenção”
(CWE, 2020b, tradução nossa).
Perceba que a CWE captura as vulnerabilidades a partir das fraquezas

identificadas em software e hardware. Lembre-se de que vulnerabilidades que podem
ser exploradas estão normalmente baseadas na existência de alguma fraqueza, por
isso mesmo a CWE pode ser definida como uma lista de pontos fracos de segurança
(ENISA, 2019).
85
NOTA
“‘Fraquezas’ são falhas, bugs, ou outros erros na implementação de
software ou hardware, código, design ou arquitetura que, se deixados
sem solução, podem resultar em sistemas, redes ou hardware
vulneráveis a ataques” (CWE, 2020a, tradução nossa).
A partir da classificação das fraquezas, a CWE tem como objetivo atuar na

prevenção dos tipos de vulnerabilidades que possam afetar software e hardware,
servindo como uma definição padrão e assim mitigando os riscos para as empresas.
Isso é possível devido às seguintes características (BARBOSA, 2015; CWE, 2020a):
• Verifica a existência de pontos fracos em produtos de software e hardware.

• Faz uso de uma linguagem padrão para a descrição de tais fraquezas.
• Serve como padrão para ferramentas que visam à identificação dos pontos fracos.
• Serve como linha de base na identificação, mitigação e prevenção de fraqueza,
prevenindo desta forma vulnerabilidades antes da implantação.
Uma vez que você já tenha compreendido o que é a CWE e seu objetivo junto
à indústria de hardware e software é importante agora verificarmos como é organizada
a lista CWE. Quando lançada em 2006, a CWE listava apenas as fraquezas de software;
com o passar dos anos, porém, as preocupações relacionadas à segurança de hardware
cresceram fazendo com que fossem acrescentadas à lista CWE em 2020 (CWE, 2020a).
NOTA
Até agosto de 2020 estava registrado no site
do CWE um total de 891 fraquezas.
Em termos gerais, a lista CWE pode ser acessada a partir de três diferentes
visualizações: desenvolvimento de software, design de hardware e conceitos
de pesquisa. As duas primeiras visualizações organizam as fraquezas por conceitos
que são frequentemente usados ou encontrados no desenvolvimento de software e
design de hardware respectivamente. Já a visão de conceitos de pesquisa organiza as
fraquezas de acordo com seu comportamento (CWE, 2020a).
A Figura 6 mostra a página da visualização desenvolvimento de software da

lista CWE.
86
FIGURA 6 – VISUALIZAÇÃO DESENVOLVIMENTO DE SOFTWARE DA LISTA CWE
FONTE: <https://cwe.mitre.org/data/definitions/699.html>. Acesso em: 21 jan. 2021.
A lista CWE está organizada pelos chamados identificadores CWE, conhecidos

como CWE-IDs ou CWEs em quatro tipos principais: categoria, elemento composto,
visualização e fraqueza.
Os CWEs de categoria correspondem a uma entrada CWE (ponto fraco) que

contém um conjunto de outras entradas que compartilham características em comum
(CWE, 2020c). A Figura 7 mostra os CWEs de categoria da visualização desenvolvimento
de software organizados em árvore, com destaque para a categoria CWE-1228 API/
FunctionErrors. A Figura 8 demonstra as especificações desta categoria ao ser
acessado seu link.
FIGURA 7 – CWE DE CATEGORIA
87
FIGURA 8 – DETALHAMENTO DE UM CWE DE CATEGORIA
Os CWEs de elementos compostos definem agregações ou cadeias de vários

pontos fracos; os CWEs de visualização são atribuídos às diferentes perspectivas de
visualização dos pontos fracos CWE, como é o caso, por exemplo, da visualização de
desenvolvimento de software, cujo identificador é 699 (Figura 9) (CWE, 2020c).
FIGURA 9 – CWE DE VISUALIZAÇÃO
88
Finalmente, os CWEs de fraqueza são atribuídos às fraquezas propriamente
ditas (CWE, 2020c). A Figura 10 mostra o CWE-242: Use of Inherently Dangerous
Function (Uso de Função Inerentemente Perigosa), pertencente à categoria CWE-
1228 API/Function Errors, apresentada anteriormente na Figura 8, da visão de
desenvolvimento de software.
FIGURA 10 – CWE DE FRAQUEZA
89
RESUMO DO TÓPICO 1
• Há vários tipos de vulnerabilidades conhecidas, incluindo vulnerabilidades de software,

hardware, aplicações web e também vulnerabilidades em dispositivos móveis.
• De maneira geral, vulnerabilidades de software podem ser exploradas por um

atacante para obter acesso a um sistema ou mesmo rede de computadores.
• As vulnerabilidades de hardware estão relacionadas a erros no hardware ou seu firmware,

exploradas para que se obtenha acesso remoto ou físico a um sistema.
• As vulnerabilidades de aplicações web mais conhecidas incluem SQL Injection, Cross

Site Scripting (XSS), Estouro de buffer, Negação de serviço (DoS – Denial of Service),
entre outras.
• Ainda não se pode afirmar que existe uma única forma correta para se classificar
vulnerabilidades.
• A padronização para a classificação de vulnerabilidades é importante para que se

alcance, dentre outros fatores, a descoberta de tendências de vulnerabilidades e um
vocabulário comum para seu entendimento.
• O CVE é um projeto mantido pelo MITRE que estabeleceu a padronização para a

identificação das vulnerabilidades de forma única.
• O CVE é considerado o esquema de enumeração de vulnerabilidades mais difundido.
• O CVE permite o compartilhamento de dados entre diferentes ferramentas e bancos

de dados a partir das CVE Entries.
• A CWE é uma lista de tipos de fraquezas de software e hardware.
• A CWE tem como objetivo servir como uma definição padrão na prevenção dos tipos
de vulnerabilidades que possam afetar software e hardware.
• A lista CWE está organizada a partir de identificadores: os CWE-IDs ou CWEs, em quatro

tipos principais: categoria, elementos composto, visualização e fraqueza.
90
AUTOATIVIDADE
1 A análise de vulnerabilidades possui ferramentas eficazes que produzem resultados
importantes sobre falhas de segurança, apesar disso o raciocínio crítico aplicado para
análises manuais, também é um ingrediente importante da análise. Nesse contexto, analise
as sentenças relacionadas às vulnerabilidades nos sistemas computacionais e assinale a
alternativa CORRETA:
a) ( ) Vulnerabilidades, em sistemas computacionais, são exploradas devido à

existência de falhas ocasionadas de maneira intencional.
b) ( ) Vulnerabilidades, em sistemas computacionais, são exploradas devido à existência
de falhas, geralmente de hardware, ocasionadas de maneira não intencional.
c) ( ) Vulnerabilidades, em sistemas computacionais, são exploradas devido à existência
de falhas, geralmente de software, ocasionadas de maneira não intencional.
d) ( ) Vulnerabilidades, em sistemas computacionais, são exploradas devido à existência
das mais variadas falhas (hardware e software), inclusive humanas, ocasionadas
de maneira não intencional.
2 As vulnerabilidades são geradas por falhas em vários elementos de natureza

computacional: softwares para usuários finais, softwares embarcados em dispositivos
para conexões em rede, dispositivos para usuários finais como os computadores
pessoais, e também os dispositivos presentes na plataforma móvel. Com isso em
mente, analise as sentenças relacionadas aos tipos de vulnerabilidades recorrentes
nos aplicativos da plataforma móvel:
I- A má utilização das tecnologias presentes nesses dispositivos, por parte do usuário

final, que pode vir a dar acesso não permitido as suas funções.
II- A má utilização das tecnologias presentes nesses dispositivos, por parte do usuário
final, que pode vir a dar acesso não permitido as suas funções através da inclusão
de arquivo remoto/local.
III- A capacidade de programas exploradores de vulnerabilidades manterem ocultos uma
funcionalidade, ou algum processamento de recursos, não percebidos pelo usuário.
IV- A percepção de que os dispositivos móveis são "pequenos computadores pessoais"
que fazem com que as vulnerabilidades presentes em softwares tradicionais, banco de
dados e linguagens de programação, existam também para essa classe de dispositivos.
Assinale a alternativa CORRETA:

a) ( ) As sentenças I, II e III estão corretas.
b) ( ) As sentenças I, III e IV estão corretas.
c) ( ) As sentenças II, III e IV estão corretas.
d) ( ) As sentenças III e IV estão corretas.
91
3 Vulnerabilidades são geradas por ativos organizacionais não humanos e ativos de
natureza computacional (hardware ou software), e apesar desses dois elementos
geradores serem de natureza diferente, e algumas vezes as falhas humanas
ocorrerem por uma inconsistência computacional, é importante entender como essas
vulnerabilidades podem ser identificadas. Dessa forma, é importante que existam
formas de se identificar e classificar as vulnerabilidades, nesse contexto classifique V
para as sentenças verdadeiras e F para as falsas:
( ) As classificações Cisco Systems e IBM ERS são duas das mais usadas na indústria de
software e que servem como base para classificações menos importantes como o CVE.
( ) A lista CWE, que teve origem na lista CLASP, organiza fraquezas de natureza
de hardware.
( ) A lista CWE, que teve origem a partir dos estudos do PLOVER, organiza fraquezas
de natureza de hardware e software.
( ) A lista CVE é um artefato de natureza pública com foco na segurança cibernética.

a) ( ) F – V – F – V.
b) ( ) F – V – V – F.
c) ( ) V – V – F – F.
d) ( ) F – F – V – V.
4 Vulnerabilidades podem ser exploradas por indivíduos mal-intencionadas, os

chamados criminosos cibernéticos, e por essa razão precisam ser identificadas
por aqueles indivíduos bem-intencionados, que normalmente são profissionais
de segurança em tecnologias da informação e comunicação. Um exemplo dessa
exploração, e a importância na identificação de vulnerabilidades, pode ser verificada
no texto que mostra um vazamento de dados ocorrido no Brasil.
"O caso do vazamento de dados como nome completo, data de nascimento e CPF
que coloca em vulnerabilidade mais de 220 milhões de pessoas deixou em alerta
potencialmente quase todos os brasileiros".
FONTE: PRACIANO, D. Saiba o que você pode fazer no caso do vazamento de dados
do seu RG e CPF. 2021. Disponível em: https://diariodonordeste.verdesmares.com.
br/opiniao/colunistas/daniel-praciano/saiba-o-que-voce-pode-fazer-no-caso-
do-vazamento-de-dados-do-seu-rg-e-cpf-1.3035887. Acesso em: 4 fev. 2021.
Dessa forma, é importante que existam formas de se identificar e classificar as
vulnerabilidades, nesse contexto sobre as atribuições da CWE classifique com V as
sentenças verdadeiras e com F as falsas:
( ) Ferramentas a utilizam como padrão na identificação dos potenciais pontos fracos

capazes de afetar software e hardware.
( ) Reconhecida pela indústria através das Autoridades de Numeração CWE e Conselho
CWE, além de outros produtos e serviços que incluem a CWE.
( ) Representa um dicionário de classificação de fraquezas em vez de um banco de
dados de tipos de vulnerabilidades.
92
( ) Oferece um parâmetro para a identificação e mitigação de fraquezas,
prevenindo, assim, potenciais explorações de tais fraquezas por parte de
indivíduos mal-intencionados.

a) ( ) V – F – F – V.
b) ( ) F – V – F – F.
c) ( ) F – V – V – F.
d) ( ) F – F – V – F.
5 Vulnerabilidades podem ser exploradas por indivíduos mal-intencionadas, os

chamados criminosos cibernéticos, e por essa razão precisam ser identificadas
por aqueles indivíduos bem-intencionados, que normalmente são profissionais
de segurança em tecnologias da informação e comunicação. Um exemplo dessa
exploração, e a importância na identificação de vulnerabilidades, pode ser verificada
no texto que mostra um vazamento de dados ocorrido no Brasil.
"O caso do vazamento de dados como nome completo, data de nascimento e CPF
que coloca em vulnerabilidade mais de 220 milhões de pessoas deixou em alerta
potencialmente quase todos os brasileiros".
FONTE: PRACIANO, D. Saiba o que você pode fazer no caso do vazamento de dados
do seu RG e CPF. 2021. Disponível em: https://diariodonordeste.verdesmares.com.
br/opiniao/colunistas/daniel-praciano/saiba-o-que-voce-pode-fazer-no-caso-do-
vazamento-de-dados-do-seu-rg-e-cpf-1.3035887. Acesso em: 4 fev. 2021. Dessa
forma, é importante que existam formas de se identificar e classificar as vulnerabilidades,
nesse contexto sobre as atribuições da CWE classifique com V as sentenças verdadeiras
e com F as falsas:
I- Atua na prevenção de vulnerabilidades, cujos tipos podem afetar software e hardware.

II- Fornece uma definição padrão para os tipos de vulnerabilidades na intenção de
mitigar os riscos para as empresas.
III- Disponibiliza sua lista para uso público e gratuito.
IV- Sua característica de interoperabilidade permite uma melhor cobertura de segurança.

a) ( ) As sentenças I e II estão corretas.
b) ( ) As sentenças II e IV estão corretas.
c) ( ) Apenas a sentença IV está correta.
93
94
FERRAMENTAS PARA ANÁLISE DE
VULNERABILIDADES
1 INTRODUÇÃO
Caro acadêmico! À medida que seus estudos evoluíram até aqui, você já
estudou sobre os esforços desenvolvidos por entidades não somente para identificar
e classificar vulnerabilidades, mas também para fornecer um vocabulário comum aos
profissionais para que possam saber como tratá-las quando são encontradas.
Nesse sentido, buscar por vulnerabilidades passa a ser uma tarefa crítica não
somente por se tratar de uma decisão de negócios que envolve custo e riscos, mas
porque encontrá-las e compreendê-las tornará mais fácil traçar uma estratégia de ação e,
consequentemente, priorizar suas respostas (SELLITTO, 2017).
Por isso, analisar periodicamente a ocorrência de vulnerabilidades é uma tarefa

tão necessária quanto extensa, desta forma, o uso de ferramentas de apoio capazes de
detectar automaticamente vulnerabilidades auxilia o profissional a tornar as varreduras
mais frequentes.
A partir do exposto, neste tópico, abordaremos o conceito dos analisadores

ou scanners de vulnerabilidades, seu objetivo, funcionamento e características.
Dada a popularidade deste tipo de ferramenta, algumas serão apresentadas e, ao final
do tópico, faremos uma apresentação prática da ferramenta Nessus, descrevendo a
forma de apresentação de seus resultados após seu uso em uma rede doméstica.
2 EXEMPLOS DE FERRAMENTAS PARA ANÁLISE

DE VULNERABILIDADES
À medida que você prosseguiu com seus estudos até aqui foi possível
compreender que ambientes computacionais com diversos usuários, especialmente
ambientes corporativos de redes, são trabalhosos para manter livres de vulnerabilidades.
Seja porque pode se tornar difícil implantar políticas específicas de segurança,

ou porque vários softwares instalados indiscriminadamente pelos usuários possuem
vulnerabilidades conhecidas em algumas de suas versões, ou pela falta de controle sobre as
atualizações de softwares e sistemas operacionais, ou, ainda, pela impossibilidade de se estar
ciente de todas as vulnerabilidades existentes, é necessário que se possa contar com algum
recurso que ajude a manter o ambiente menos vulnerável (MARTINELO; BELLEZI, 2014).
95
Para solucionar cenários como este há ferramentas apropriadas que auxiliam na
identificação das vulnerabilidades presentes no ambiente (LINS, 2017). Esses recursos são
conhecidos como analisadores ou scanners de vulnerabilidade.
Um analisador de vulnerabilidade pode ser definido como um software que

busca, de forma automatizada, vulnerabilidades de segurança. Esse tipo de ferramenta
basicamente trabalha sozinha, realizando uma varredura em um intervalo de endereços IP
automaticamente (CASTRO et al., 2018; ORUETA et al., 2014).
De maneira geral, seu funcionamento ocorre da seguinte forma: o software

analisador é executado em uma máquina que é conectada a uma ou várias máquinas
alvo (target). O scanner então dispara uma quantidade de eventos sobre os alvos e
verifica quais desses eventos serão bem-sucedidos (LINS, 2017).
Assim, um scanner de vulnerabilidade pode realizar uma busca por portas para
verificar “[...] quais estão abertas para tentar obter informações sobre o serviço que está sendo
executado naquele momento e com esta informação procurar por vulnerabilidades
associadas precisamente a esses serviços” (CASTRO et al., 2018, p. 45, tradução nossa).
Como resultado, o analisador identifica as vulnerabilidades que foi capaz de

encontrar, além de fornecer recomendações sobre como e quando sanar as falhas de
segurança, prevenindo, assim, ataques (LINS, 2017; ORUETA et al., 2014).
Para que isso seja possível, esperam-se os seguintes requisitos de um scanner

de vulnerabilidades (GODINHO, 2016, p. 19):
• “Uma base de dados atualizada de vulnerabilidades”.

• “Evitar falsos positivos ou falsos negativos nos resultados da análise”.
• “Fornecer informações relevantes sobre os problemas encontrados de forma a
permitir as correções necessárias”.
Sobre os requisitos supracitados, vale aqui chamarmos sua atenção para

algumas expressões de interesse, relacionadas à comprovação de que os problemas
apontados pelo analisador são realmente vulnerabilidades: o falso positivo e o falso
negativo – e ainda o verdadeiro positivo.
Considerando-se a importância e complexidade do trabalho envolvendo a

análise de vulnerabilidades, espera-se que quando um scanner seja executado, no
caso da descoberta de alguma vulnerabilidade, que esta seja real. Neste caso, tem-se
o verdadeiro positivo. Por outro lado, o analisador pode eventualmente descobrir uma
vulnerabilidade que, uma vez analisada, acaba por não se tratar de uma. Tem-se então um
falso positivo. Há, ainda, situações em que a vulnerabilidade existe, porém, o scanner
não foi capaz de detectá-la, resultando no falso negativo (ORUETA et al., 2014).
96
É por conta de situações como esta que se torna necessária “[...] a supervisão de um
especialista em segurança para comprovar, depois da execução do analisador, quais são
realmente vulnerabilidades e quais não são” (ORUETA et al., 2014, s.p.).
As vulnerabilidades buscadas por uma ferramenta de análise podem ter origem

do próprio desenvolvedor/fornecedor do software, de atividades de administração
do sistema, ou ainda de atividades rotineiras realizadas pelos usuários. O objetivo do
scanner é exatamente avaliar essa variedade de falhas (GODINHO, 2016).
As vulnerabilidades cuja origem é o próprio desenvolvedor/fornecedor

de software incluem bugs, ausência de correções do sistema operacional,
configurações e/ou serviços vulneráveis, entre outros. As vulnerabilidades originadas da
administração do sistema podem incluir alterações incorretas, ausência de políticas
de segurança, entre outras. Por fim as vulnerabilidades cuja origem é o usuário incluem
o compartilhamento de pastas não autorizadas, ausência de antivírus no computador,
utilização de aplicações que podem conter código malicioso, entre outras.
Dada a variedade de situações que podem comprometer a segurança dos

sistemas computacionais, é importante também verificar a ferramenta adequada a
cada necessidade. Assim, é importante conhecer os diferentes tipos de scanners de
vulnerabilidades e suas finalidades (GODINHO, 2016; ORUETA et al., 2014):
• Analisadores de vulnerabilidades em aplicações em tempo real: esse tipo

de analisador é caracterizado por utilizar um “motor de busca” e uma lista de
vulnerabilidades conhecidas, que cresce com o tempo. Através desta lista de
vulnerabilidades conhecidas, o analisador verifica se uma máquina ou rede está
operando com algum problema. São mais comuns no mercado.
• Analisadores de vulnerabilidades de código (SSCA, Static Source Code
Analyzers): esse tipo de analisador detecta vulnerabilidades no código da aplicação
a partir do uso de algoritmos relacionados não só à linguagem na qual a aplicação está
escrita, mas também às vulnerabilidades conhecidas mais habituais.
É importante ainda mencionar que há uma grande variedade de analisadores

de vulnerabilidades disponíveis, muitos são pagos; outros são gratuitos e de código
aberto. Dado o crescimento de oferta e também a natureza deste tipo de aplicação,
nos últimos anos, novas iniciativas têm aparecido cada vez mais (CASTRO et al., 2018;
ORUETA et al., 2014).
Por esta razão, nas próximas seções, você será apresentado a algumas das
ferramentas de análise de vulnerabilidades disponíveis, sendo elas: Nessus, Openvas,
Acunetix, GFI Languard e Nexpose.
97
2.1 NESSUS
Considerado um dos scanners de vulnerabilidade mais populares da atualidade,
o Nessus (https://pt-br.tenable.com/products/nessus) é uma ferramenta de análise de
vulnerabilidades comercial, mantida e desenvolvida pela empresa Tenable Network
Security (https://pt-br.tenable.com/about-tenable/about-us).
O Nessus realiza varreduras em busca de vulnerabilidades em uma rede de

uma organização, sendo capaz de categorizá-las de acordo com o risco. Ainda, fornece
templates para auxiliar nas configurações de acordo com cada necessidade, relatórios
estatísticos além de plugins constantemente atualizados sempre que uma nova
vulnerabilidade é identificada (CASTRO et al., 2018).
A Figura 11 mostra uma visão geral de demonstração do Nessus.
FIGURA 11 – DEMONSTRAÇÃO DO NESSUS
FONTE: <https://pt-br.tenable.com/nessus-demo>. Acesso em: 21 jan. 2021.
Por ser tratar de uma ferramenta comercial, o Nessus é distribuído sob licença
paga (Nessus Professional). No entanto, existe a possibilidade de realizar o download
gratuito da versão Nessus Essentials (https://pt-br.tenable.com/products/nessus/
nessus-essentials), versão com algumas limitações de recursos, para uso doméstico
e acadêmico.
Nessus está disponível para operação em vários sistemas operacionais,

incluindo Windows ou Linux, além de ser possível integrá-lo a dispositivos móveis. Além
disso, possui fácil instalação.
98
IMPORTANTE
O Nessus foi a ferramenta de análise de vulnerabilidades escolhida para que
possamos demonstrar seu uso e configuração. Você verá os resultados do
uso do Nessus mais adiante neste tópico.
2.2 OPENVAS
Desenvolvido e mantido pela empresa Greenbone Networks desde 2009, o
OpenVAS é um scanner de vulnerabilidade bastante abrangente e poderoso, incluindo
entre seus recursos testes autenticados e não autenticados, vários protocolos de alto
e baixo nível, permitindo a realização de varreduras em um ambiente de avaliação
adequado (GODINHO, 2016; MARTINELO; BELLEZI, 2014; OPENVAS, 2020).
OpenVAS segue o modelo de arquitetura cliente/servidor: no lado servidor ocorre

o processamento das varreduras e detecção das vulnerabilidades; no lado cliente
é possível realizar a configuração das atividades e visualizar os resultados obtidos a
partir de uma interface gráfica conforme demonstrado na Figura 12 (GODINHO, 2016;
MARTINELO; BELLEZI, 2014).
FIGURA 12 – RELATÓRIO DE RESULTADOS DO OPENVAS
FONTE: <https://www.100security.com.br/openvas>. Acesso em: 21 jan. 2021
99
OpenVAS possui código aberto, distribuído sob licença GNU GPL (GNU General
Public License), contando com uma comunidade em crescimento, que contribui para a
melhoria da ferramenta.
NOTA
O OpenVAS foi desenvolvido a partir de uma derivação do Nessus, depois
que passou a ser de distribuição comercial (GODINHO, 2016; MARTINELO;
BELLEZI, 2014; OPENVAS, [2020]).
2.3 ACUNETIX
Acunetix (https://www.acunetix.com/) é um scanner de vulnerabilidades em
web sites e APIs web, seguindo as principais falhas estabelecidas pelo OWASP Top Ten
(CASTRO et al., 2018).
De maneira geral, o Acunetix funciona prevenindo ataques em potencial,

gerenciando a segurança web e de rede, automatizando varreduras e detectando
vulnerabilidades como SQL Injection, Cross Site Scripting entre outros problemas
(ACUNETIX, 2020).
A partir de sua interface gráfica web (Figura 13), o Acunetix é capaz de

detectar mais de 6500 vulnerabilidades em aplicações com baixíssimo percentual de
falsos positivos, priorizar e classificar os problemas encontrados, criar relatórios de
gerenciamento, além de rastrear problemas que já foram resolvidos (ACUNETIX, 2020).
100
FIGURA 13 – INTERFACE GRÁFICA DO ACUNETIX
FONTE: <https://www.acunetix.com/support/docs/wvs/overview/>. Acesso em: 21 jan. 2021.
NOTA
Distribuído comercialmente sob três formatos de licença, é possível baixar
uma versão de demonstração a partir do site da ferramenta.
2.4 GFI LANGUARD

O GFI LanGuard (https://www.gfi.com/products-and-solutions/network-
security-solutions/gfi-languard) é um scanner de vulnerabilidade que permite a
realização de varreduras tanto locais quanto em rede.
Seu funcionamento é baseado na automação de atualizações: é comum que

problemas de segurança sejam ocasionados pela falta de atualizações do sistema
operacional. Assim, em termos gerais, o GFI LanGuard busca por vulnerabilidades na
rede antes que possam ser expostas quando detecta que um sistema operacional não
efetuou uma atualização (CASTRO et al., 2018).
Disponível para os sistemas operacionais Windows, Mac e Linux, além da busca

por vulnerabilidades, o GFI Languard ainda realiza auditoria de hardware e software e
gera relatórios de conformidade. A Figura 14 mostra a interface de status de avaliação
do GFI LanGuard.
101
FIGURA 14 – INTERFACE DE STATUS DE AVALIAÇÃO DO GFI LANGUARD
FONTE: <encurtador.com.br/stuw0>. Acesso em: 22 jan. 2021.
NOTA
Distribuído comercialmente com valores que variam de acordo com a
quantidade de nodos que se deseja verificar, o GFI Languard pode ser
baixado para testes por trinta dias.
2.5 NEXPOSE
Nexpose (https://www.rapid7.com/products/nexpose/) é um scanner de
vulnerabilidades criado e mantido pela empresa Rapid7, criadora da ferramenta de
pentest Metasploit. A possibilidade do Nexpose de interagir diretamente com o Metasploit
permite a exploração de vulnerabilidades, uma de suas vantagens (CASTRO et al., 2018).
102
ESTUDOS FUTUROS
Sobre pentests (penetration tests ou testes de invasão) você estudará o que
são e seus tipos na Unidade 3.
Disponível em interface web, a partir de seus controles e configurações o

Nexpose auxilia a reduzir a exposição a ameaças, a detecção de vulnerabilidades e a
priorização de riscos. Além disso, o Nexpose detecta e avalia novos dispositivos e novas
vulnerabilidades, fornecendo relatórios personalizados e integrados (RAPID7, s.d.).
A Figura 15 mostra a interface do Nexpose.
FIGURA 15 – INTERFACE DO NEXPOSE
FONTE: <https://www.rapid7.com/products/nexpose/>. Acesso em: 21 jan. 2021.
3 APLICAÇÃO PRÁTICA DE UMA FERRAMENTA

Agora que você já conhece os fundamentos do que são e quais as
características das ferramentas de análise de vulnerabilidades, é importante para seus
estudos conhecer mais sobre o funcionamento deste tipo de ferramenta. Para tanto,
escolhemos para a continuidade de seus estudos a ferramenta Nessus, abordada
brevemente na seção anterior.
103
Conforme você já estudou, o Nessus figura entre os mais conhecidos scanners
de vulnerabilidade. Possui uma arquitetura cliente/servidor, disponibilizando acesso
HTTPS no lado cliente, e compatibilidade com sistemas operacionais Windows, Linux,
Mac OS, FreeBSD e Solaris no lado servidor. Desta forma, o Nessus pode ser acessado
sem dificuldades a partir de um navegador.
Algumas das características do Nessus que o tornaram uma ferramenta tão

popular incluem: análise em profundidade em faixa ilimitada de endereços IP,
podendo realizar a análise em redes de até 100 hosts em alta velocidade; auditoria de
dispositivos móveis; auditoria de antivírus e processos maliciosos uma vez que
pode identificar infecções e auditar ferramentas de antivírus buscando vulnerabilidades
e configurações errôneas e/ou desatualizadas; e gerenciamento de patches de
segurança já que se integra com produtos típicos, como o Windows Server Update
Services (WSUS) da Microsoft, permitindo-lhe fazer comparações para identificação de
discrepâncias (ORUETA et al., 2014).
NOTA
“[...] o Nessus tinha seu código aberto até 2005. A partir de 2008 sua
licença foi modificada, criando uma versão comercial. Sua versão
gratuita foi mantida, mas restringida apenas para o uso doméstico”
(SECTOOLS, 2012 apud MARTINELO; BELLEZI, 2014, p. 40).
A versão do Nessus utilizada para nossa demonstração é o Nessus Essentials

(anteriormente distribuído como Nessus Home), que possui download gratuito a partir
do site da Tenable (https://pt-br.tenable.com/products/nessus/nessus-essentials) e
permite a verificação de até 16 endereços IP.
ESTUDOS FUTUROS
O detalhamento sobre como você deverá proceder para efetuar o download
da ferramenta e sua configuração para uso será apresentado na Unidade 3.
Uma vez instalado, você terá acesso ao Nessus via navegador, informando login
de administrador e senha, a partir da porta 8834, conforme apresentado na Figura 16.
104
FIGURA 16 – PÁGINA DE ACESSO AO NESSUS ESSENTIALS
FONTE: Nessus (2020, s.p.)
Após a autenticação, você será direcionado para a página principal do Nessus

Essentials. Conforme Figura 17, esta página apresenta: (A) à esquerda um menu lateral no
qual você poderá navegar pelas análises (scans) já criadas; (B) na parte superior esquerda os
botões “Import”, “New Folder” e “New Scan”, que permitem importar um scan anteriormente
exportado pelo Nessus, criar uma nova pasta customizada para o armazenamento dos
scans, e realizar um novo scan, respectivamente; e (C) a lista MyScans ao centro.
FIGURA 17 – PÁGINA INICIAL DO NESSUS ESSENTIALS
A lista MyScans apresenta os scans ativos criados e agendados pelo usuário

administrador. Além do nome do scan, esta lista também apresenta o formato do
agendamento, a data da última modificação junto a do status atual do scan, e os botões
de ação que permitirão executar o scan ou excluí-lo (Figura 18).
105
FIGURA 18 – LISTA MYSCANS
Especificamente, a Figura 18 mostra em destaque o scan criado com o nome

“Varredura de rede básica” a partir do template Basic Network Scan. Esse scan foi
configurado para a varredura em uma rede doméstica contendo cinco dispositivos. A
Figura 19 apresenta o detalhe de sua configuração geral.
FIGURA 19 – CONFIGURAÇÃO GERAL DO SCAN DE REDE BÁSICO PARA CINCO DISPOSITIVOS
Uma vez finalizada a configuração do scan o mesmo é executado. Lembre-se

de que a execução pode ser feita de forma manual via botão de reprodução (launch)
já destacado na Figura 18. A Figura 20 apresenta o scan “Varredura de rede básica”
em curso. A medida que são encontrados na rede, os dispositivos (hosts) vão sendo
incluídos à lista de acompanhamento e as vulnerabilidades encontradas vão sendo
adicionadas à barra de progresso.
106
FIGURA 20 – SCAN EM CURSO
Uma vez finalizado o scan, o Nessus preenche os detalhes como o tempo

decorrido para a realização do scan, e apresenta as vulnerabilidades encontradas para
cada host (aba Hosts) em suas barras de progresso, e também em formato de gráfico
de pizza, diferenciando as vulnerabilidades em escala e cor, conforme demonstra
a Figura 21. É importante destacar que o tempo para se realizar um scan completo
depende de vários fatores, tais como velocidade e taxas de congestionamento da rede.
Perceba que, nessa varredura, foi encontrado um total de 28 vulnerabilidades, sendo
três consideradas de severidade média e uma de severidade baixa.
FIGURA 21 – SCAN FINALIZADO
A Figura 22 mostra em detalhe o gráfico das vulnerabilidades interpretado por

escala de cores. A escala organiza as vulnerabilidades por grau de severidade em crítica
(vermelho), alta (laranja), média (amarelo), baixa (verde) e info (azul).
107
FIGURA 22 – GRÁFICO DE VULNERABILIDADES ENCONTRADAS
O grau de severidade atribuída tem como base a pontuação CVSSv2 de

vulnerabilidade. Veja no Quadro 4 a descrição para cada categoria.
QUADRO 4 – GRAU DE SEVERIDADE PARA VULNERABILIDADES
Severidade Descrição
Crítica A pontuação CVSSv2 de vulnerabilidade mais alta é 10
Alta A pontuação CVSSv2 de vulnerabilidade mais alta é entre 7 e 9,9
Média A pontuação CVSSv2 de vulnerabilidade mais alta é entre 4 e 6,9
Baixa A pontuação CVSSv2 de vulnerabilidade mais alta é entre 0,1 e 3,9
A pontuação CVSSv2 de vulnerabilidade mais alta é 0 ou não
Info
encontrou por vulnerabilidades
FONTE: Adaptado de <https://docs.tenable.com/tenablesc/Content/RiskMetrics.htm>.
Acesso em: 21 jan. 2021.
NOTA
CVSS é um padrão mantido pela FIRST (Forum of Incident Response and
Security Teams – Fórum de Equipes de Resposta e Segurança a Incidentes)
que, a partir das características de uma vulnerabilidade atribui a ela uma
pontuação que reflete seu grau de severidade, auxiliando as organizações a
avaliar e priorizar a gestão de vulnerabilidades (FIRST, [entre 2015 e 2020]).
108
A partir do acesso à aba Vulnerabilities é possível verificar a lista das
vulnerabilidades encontradas no scan. As vulnerabilidades são identificadas pela escala
de cor, nome, e família (plugin) a que pertencem (Figura 23).
FIGURA 23 – LISTA DE VULNERABILIDADES ENCONTRADAS NO SCAN
Um clique sobre uma das vulnerabilidades permite acesso aos seus detalhes,
como descrição, solução e informações sobre riscos associados, conforme mostra a
Figura 24.
FIGURA 24 – DETALHAMENTO DA VULNERABILIDADE
109
É possível também acessar as vulnerabilidades encontradas para um host
específico. Nesse caso, deve-se proceder clicando sobre o host que se deseja consultar
(lista de resultado do scan apresentada na Figura 21). Uma lista de vulnerabilidades
para o host selecionado é apresentada (Figura 25). Da mesma forma que mencionado
anteriormente, o clique sobre uma das vulnerabilidades dá acesso aos detalhes da mesma.
FIGURA 25 – LISTA DE VULNERABILIDADES POR HOST
À medida que as análises vão sendo executadas é possível verificar as condições

do scanner, a partir do acesso ao menu Settings, opção Scanner Health. Esta opção de
configuração fornece uma visão geral do Nessus durante a realização de uma varredura
(Figura 26) e também uma visão da rede (Figura 27).
110
FIGURA 26 – VISÃO GERAL DO SCANNER HEALTH
FIGURA 27 – VISÃO DE REDE DO SCANNER HEALTH
111
RESUMO DO TÓPICO 2
• Para manter os ambientes computacionais livres de vulnerabilidades existem

ferramentas destinadas a sua identificação.
• Um analisador de vulnerabilidades ou scanner de vulnerabilidades é um software

que busca, de forma automatizada, por vulnerabilidades de segurança.
• As vulnerabilidades buscadas por um scanner possuem as mais variadas origens,

incluindo o próprio desenvolvedor do software, atividades de administração do sistema,
ou ações dos usuários.
• Analisadores de vulnerabilidades em aplicações utilizam um motor de busca e uma lista

de vulnerabilidades conhecidas através da qual o analisador verifica se uma máquina ou
rede está operando com algum problema.
• Analisadores de código, ou SSCA, detectam vulnerabilidades no código da aplicação.
• Nessus, OpenVAS, Acunetix, GFI Languard e Nexpose são alguns exemplos de

scanners de vulnerabilidades atualmente disponíveis.
112
AUTOATIVIDADE
1 Ambientes corporativos podem representar um ecossistema computacional,
contendo perfis diferenciados de usuários e aplicações das mais variadas plataformas,
que precisa ser salvaguardado de vulnerabilidades. Nesse contexto, analise as
sentenças relacionadas às vulnerabilidades nos sistemas computacionais e assinale
a alternativa CORRETA:
a) ( ) A implantação de políticas específicas de segurança é uma forma correta

e, de maneira geral, simples de se instaurar nesses ambientes para se evitar
vulnerabilidades.
b) ( ) Os softwares de uso pessoal instalado pelos usuários em seus dispositivos pessoais,
como os celulares, não representam ameaça para o ambiente uma vez que são
instalados em dispositivos privados desses usuários.
c) ( ) A implantação de políticas específicas de segurança não é uma forma correta de
se evitar vulnerabilidades, pois são complexas de se instaurar nesses ambientes.
d) ( ) Os softwares de uso pessoal instalado pelos usuários em seus dispositivos pessoais,
como os celulares, representam ameaças potenciais para o ambiente uma vez
que são instalados em dispositivos privados desses usuários sem um prévio
controle, ou mesmo conhecimento, por parte das organizações.
2 No início da história da computação, especialmente entra as décadas de 1940 até

1970, o computador, e os seus softwares, eram os ativos mais relevantes para as
organizações. Porém, no ecossistema tecnológico atual dos ambientes corporativos,
o componente humano é tão, e talvez até mais, importante que as próprias máquinas
e seus softwares. Assim, atualmente um ambiente corporativo é composto pelas
mais variadas plataformas, que precisam ser salvaguardados de vulnerabilidades.
Tomando isso como base, analise as sentenças sobre o uso de ferramentas para
análise de vulnerabilidades e, em seguida, classifique V para as sentenças verdadeiras
e F para as falsas:
( ) Trata-se de recursos de software que auxiliam a manter o ambiente menos

suscetível a vulnerabilidades.
( ) Analisadores de vulnerabilidade identificam vulnerabilidades de forma
automatizada, e possuem a capacidade de aplicar uma correção automática para
a vulnerabilidade identificada.
( ) Analisadores de vulnerabilidade identificam vulnerabilidades de forma automatizada,
além de fornecer informações sobre como resolver a falha de segurança identificada.
( ) Espera-se que da execução de um scanner, e na consequente identificação de
alguma vulnerabilidade, que ela possa ser, ou não, real.
113
a) ( ) V – V – V – F.
b) ( ) F – V – V – V.
c) ( ) V – F – V – F.
d) ( ) V – V – F – F.
3 Há muito os ambientes corporativos representam um ambiente de sincretismo entre

o componente Humano e o componente computacional (hardware e software). E
nesses ambientes há elementos propícios para o surgimento de vulnerabilidades e
que dessa forma, precisam ser salvaguardados por ações e ferramentas. Com isso
em mente, tendo como premissa os conceitos sobre as ferramentas de análise de
vulnerabilidade, analise as sentenças a seguir:
I- O caráter automatizado das ferramentas de análise de vulnerabilidade dispensa

a figura de um monitor, indivíduo especialista em segurança, para atestar uma
vulnerabilidade após a sua identificação.
II- Uma ferramenta de análise busca identificar potenciais ameaças geradas nas
mais variadas fontes, como atividades específicas de administração do sistema,
ou atividades de rotinas dos usuários, porém essas ferramentas não atuam sobre
ameaças a partir de softwares fornecidos terceiros.
III- O caráter automatizado das ferramentas de análise de vulnerabilidade não dispensa
a figura de um monitor, indivíduo especialista em segurança, para atestar uma
vulnerabilidade após a sua identificação.
IV- Ferramentas de análise buscam ameaças geradas pela ausência de políticas de
segurança, compartilhamento de pastas não autorizadas, ausência de softwares
antivírus e até mesmo códigos maliciosos existentes em aplicações.

a) ( ) As sentenças II e III estão corretas.
b) ( ) As sentenças III e IV estão corretas.
c) ( ) As sentenças I e IV estão corretas.
d) ( ) As sentenças I e II estão corretas.
4 Os eventos que podem ser disparados pela existência de vulnerabilidades, e sua

consequente exploração, pode ser catastrófica para uma organização. Por essa razão,
precisa-se de formas automatizadas para lidar com a ampla variedade de situações
com potencial de comprometer a infraestrutura de segurança de uma organização
dos sistemas computacionais. Dessa forma, tendo como premissa os conceitos
sobre as ferramentas de análise de vulnerabilidade, analise as sentenças a seguir:
I- Ferramentas SSCA são mais indicadas para a busca de códigos maliciosos embutidos
em aplicações de terceiros tanto na linguagem na qual a aplicação foi desenvolvida
quanto baseada nas vulnerabilidades mais conhecidas.
114
II- Ferramentas de vulnerabilidades em aplicações em tempo real são mais comuns no
mercado e utilizam como base de dados uma coleção de vulnerabilidades conhecidas
que pode ser atualizada com o passar do tempo.
III- Ferramentas de vulnerabilidades em aplicações em tempo real são mais indicadas
para a busca de códigos maliciosos embutidos em aplicações de terceiros tanto na
linguagem na qual a aplicação foi desenvolvida quanto baseada nas vulnerabilidades
mais conhecidas.
IV- Ferramentas de vulnerabilidades em aplicações em tempo real não são comuns no
mercado, pois, ao utilizarem como base de dados uma coleção de vulnerabilidades
conhecidas, tornam-se desatualizadas com o passar do tempo.

a) ( ) As sentenças II e III estão corretas.
b) ( ) As sentenças III e IV estão corretas.
d) ( ) As sentenças I e II estão corretas.
5 A segurança dos ativos corporativos (dados organizacionais, infraestrutura de hardware

e software, patrimônio humano) é um tema em voga nos dias atuais, especialmente
considerando o potencial poder destrutivo da exploração de uma vulnerabilidade existente
em uma organização que pode comprometer a infraestrutura de segurança desses ativos.
Tomando isso como base, avalie as sentenças sobre o uso de ferramentas para análise de
vulnerabilidades classificando-as com V as sentenças verdadeiras e F as falsas:
( ) Um dos pontos fortes da ferramenta OPENVAS é o uso de templates que permitem

padronizações de análises mais personalizadas e direcionadas para cada necessidade.
( ) Um dos pontos fortes da ferramenta Nessus é o uso de templates que permitem
padronizações de análises mais personalizadas e direcionadas para cada necessidade.
( ) Além da ferramenta Nessus possuir versões para várias plataformas, ela é baseada no
modelo de código aberto e distribuído sob uma licença pública.
( ) A ferramenta Acunetix é uma ótima opção para a avaliação de vulnerabilidades
de aplicações com foco na plataforma on-line (web), especialmente por estar em
conformidade com a lista das 10 mais fornecida pelo OWASP.

a) ( ) F – V – V – F.
b) ( ) F – V – F – V.
c) ( ) V – F – V – F.
d) ( ) F – V – F – F.
115
116
FUNDAMENTOS SOBRE O AMBIENTE
1 INTRODUÇÃO
Caro acadêmico! Você estudou, no Tópico 2 desta unidade, a importância do
uso de uma ferramenta de análise de vulnerabilidades em um sistema ou ambiente
computacional.
Você percebeu que estas ferramentas são executadas em uma máquina que estará
conectada a outras em uma rede, as chamadas máquinas alvo. O scanner testará esses
alvos basicamente disparando eventos sobre eles de modo a verificar quais serão bem-
sucedidos, ou seja, quais identificarão alguma vulnerabilidade (LINS, 2017).
Isso é possível porque essas ferramentas comparam os resultados dos testes com
listas de vulnerabilidades conhecidas, como CVE, por exemplo, permitindo a identificação
das vulnerabilidades encontradas no sistema e fornecendo um diagnóstico de como
proceder para corrigi-las.
No Tópico 2, você foi apresentado a uma lista de ferramentas destinadas à

análise de vulnerabilidades, e foi possível apresentar um cenário prático de aplicação de
uma delas, o Nessus Essentials.
Uma vez que você já viu a ferramenta em ação, neste tópico, apresentaremos os
passos para a instalação e configuração da ferramenta de análise de vulnerabilidades
Nessus Essentials, o ambiente sobre o qual a ferramenta realizará varreduras em
busca de eventuais vulnerabilidades e apresentação de resultados, em complemento à
apresentação prática feita anteriormente no Tópico 2.
2 CONCEITO SOBRE O AMBIENTE

Para que você possa compreender melhor o funcionamento de uma ferramenta
de análise de vulnerabilidade, uma boa opção é obter uma versão e colocá-la em prática
em um ambiente computacional.
A partir dos testes com uma ferramenta torna-se possível não somente
ampliar seus conhecimentos sobre falhas de segurança e os eventuais tipos de
vulnerabilidades que possam existir no ambiente testado, mas também permite
conhecer mais sobre as ferramentas disponíveis, suas limitações e grau de
aprofundamento das varreduras realizadas.
117
De maneira geral, as ferramentas de análise de vulnerabilidade funcionam sem a
necessidade de conhecimento prévio do ambiente onde serão executadas. Em primeira
instância as ferramentas precisam de uma rota na rede entre elas e as máquinas alvo
(LINS, 2017).
Uma vez que você tenha definido o ambiente onde realizará as varreduras e
também a ferramenta de análise que utilizará, é comum iniciar com uma varredura de
portas para cada IP alvo, a fim de verificar se a máquina responde e aceita conexões.
Uma vez que esteja de posse dessa lista de máquinas, o scanner retorna e realiza
uma varredura mais completa para determinar portas abertas para conexão. Então
verificações de vulnerabilidades são executadas contra cada uma dessas portas para
que a ferramenta possa verificar qualquer retorno inesperado que possa caracterizar
algum risco (LINS, 2017).
Ao término da varredura a ferramenta apresenta relatórios com os resultados

encontrados, apontando aqueles que merecem atenção.
Assim, o ambiente para a realização dos testes com o Nessus Essentials é uma
rede doméstica, composta por um roteador, dois dispositivos notebook com Windows 8 e 10,
e dois smartphones Android. As duas máquinas contam com a instalação de ferramentas
antivírus Kaspersky e não contêm atualizações pendentes.
O servidor Nessus foi instalado no notebook com Windows 10 a partir do qual

serão feitas as configurações para a realização de scans na rede.
Em seguida, serão apresentados os passos de instalação e configuração

da ferramenta de análise de vulnerabilidades Nessus Essentials. Espera-se que os
detalhamentos fornecidos permitam que você reproduza os testes realizados e possa
criar os seus próprios.
3 INSTALAÇÃO E CONFIGURAÇÃO DO AMBIENTE

A instalação da ferramenta Nessus é muito simples. Como já comentado, a versão
escolhida para a demonstração foi a Nessus Essentials. Esta versão pode ser acessada
a partir da opção Produtos no site da Tenable (https://pt-br.tenable.com/) conforme
Figura 28.
118
FIGURA 28 – SITE DA EMPRESA TENABLE
FONTE: <https://pt-br.tenable.com/>. Acesso em: 21 jan. 2021.
Ao selecionar a opção Nessus, você será direcionado para a página de download

dos produtos Tenable (Figura 29). O Nessus Essentials foi o escolhido por permitir o
download gratuito da ferramenta. Trata-se de uma versão que é indicada para uso
doméstico e acadêmico e, apesar de possuir algumas limitações, como o número
reduzido de hosts para verificação, realiza avaliações em profundidade e fornece os
relatórios de resultados nos mesmos formatos da versão Professional.
FIGURA 29 – PÁGINA DE DOWNLOAD DO NESSUS ESSENTIALS
FONTE: Adaptado de <https://pt-br.tenable.com/products/nessus>. Acesso em: 21 jan. 2021.
119
NOTA
A versão Professional é distribuída comercialmente sob aquisição de licença.
A Tenable disponibiliza uma licença de sete dias para testes desta versão.
Após o clique no botão de Download, você será direcionado para a página de

registro, conforme Figura 30.
FIGURA 30 – TELA DE REGISTRO DA FERRAMENTA NESSUS ESSENTIALS
FONTE: Adaptado de <https://pt-br.tenable.com/products/nessus/nessus-essentials>.

Acesso em: 21 jan. 2021.
Uma vez preenchido e enviado o formulário da Figura 30, a confirmação do

registro será enviada par seu e-mail que conterá também o código de ativação de sua
licença do Nessus Essentials; você será então direcionado para a página de download
da ferramenta, conforme Figura 31.
120
FIGURA 31 – PÁGINA DE DOWNLOAD DA FERRAMENTA NESSUS ESSENTIALS APÓS REGISTRO
FONTE: Os autores
O clique no botão Download irá direcioná-lo para a página de download

do instalador do Nessus. Nesta página, está disponível não somente a versão mais
atualizada do Nessus, como uma lista dos instaladores para os diferentes sistemas
operacionais compatíveis para a ferramenta. Verifique atentamente a versão do sistema
operacional desejada, lembrando de verificar, no caso de sistema operacional Windows,
se 32 ou 64 bits, conforme Figura 32.
FIGURA 32 – DOWNLOAD DO NESSUS ESSENTIALS PARA WINDOWS 10 64 BITS
FONTE: Os Autores
Uma vez efetuado o download do instalador, é hora de executá-lo para que se

dê início o processo de instalação da ferramenta na máquina escolhida. A instalação
segue o padrão Windows, conforme demonstra a Figura 33.
121
FIGURA 33 – INSTALAÇÃO NESSUS
FONTE: Os autores
Caso seja a primeira vez que você esteja instalando o Nessus, além do processo
de instalação da ferramenta em si, será necessário realizar a instalação do driver
WinPcap (Figura 34).
FIGURA 34 – INSTALADOR DO DRIVER WINPCAP
FONTE: Os autores
122
Terminada a instalação o Nessus é executado no navegador a partir da porta
8834. A página de boas-vindas do Nessus é apresentada, listando as versões do Nessus
para que se dê prosseguimento às configurações da ferramenta. Selecione a opção
Nessus Essentials para continuar (Figura 35).
FIGURA 35 – PÁGINA DE BOAS-VINDAS
NOTA
Ao acessar o Nessus no navegador um aviso sobre problema de privacidade
na conexão é exibido. Esse é um comportamento esperado, pois o Nessus
fornece um certificado SSL autoassinado (TENABLE, 2020a).
Selecionada a opção, você será direcionado para a página de registro (Figura 36)
onde você deverá informar o código de ativação enviado por e-mail.
123
FIGURA 36 – PÁGINA DE REGISTRO
Informado corretamente o código de ativação do Nessus, você deverá criar

uma conta de usuário, informando um nome de usuário e uma senha para acesso à
ferramenta (Figura 37).
FIGURA 37 – CRIAÇÃO DE CONTA DE USUÁRIO NESSUS
Criada a conta, o Nessus finaliza o processo de configuração efetuando o

download dos plugins conforme Figura 38. Os plugins são programas que contêm as
informações sobre as vulnerabilidades, as ações de correção e o algoritmo que testa
sua presença (TENABLE, 2020b).
124
FIGURA 38 – DOWNLOAD DOS PLUGINS
NOTA
“A TenableResearch publicou 149.792 plugins, cobrindo 60.054 IDs CVE [...]”
(TENABLE, 2020b, tradução nossa).
Finalizado o processo de configuração dos plugins, você poderá acessar o

Nessus utilizando sua conta de usuário criada, conforme Figura 39.
FIGURA 39 – PÁGINA DE ACESSO AO NESSUS ESSENTIALS
125
Ao acessar o Nessus Essentials pela primeira vez é apresentada sua página
inicial, com a opção de menu superior Scan habilitada, conforme Figura 40.
FIGURA 40 – PÁGINA INICIAL
IMPORTANTE
O detalhamento sobre o menu lateral esquerdo e os botões foram
anteriormente apresentados a você no Tópico 2.
Ao selecionar a opção Settings do menu superior, você terá acesso às opções

de configuração da versão Nessus instalada. Dentre as opções disponíveis no menu
lateral esquerdo você pode: visualizar informações sobre licença e a versão do software
(opção About), definir configurações de proxy (opção Proxy Server), exibir as condições
do scanner (opção Scanner Health), ou ainda alterar sua senha (opção MyAccount). A
Figura 41 mostra a opção About.
FIGURA 41 – SETTINGS → ABOUT
126
Uma vez que você já tenha se familiarizado com a interface do Nessus Essentials,
é chegado o momento de verificarmos como proceder para iniciar uma verificação de
vulnerabilidades. Para isso procederemos com a configuração de uma nova varredura a
partir do botão New Scan (Figura 42).
FIGURA 42 – INICIANDO UM NOVO SCAN
O clique no botão New Scan irá direcioná-lo para a página de templates do

Nessus. Os templates visam facilitar a criação de varreduras e políticas, uma vez que
determinam quais configurações são ajustáveis e como podem ser definidas (Figura 43).
FIGURA 43 – TEMPLATES DO NESSUS
Para efeitos de demonstração em nosso ambiente de teste, faremos uso de dois

templates: Host Discovery, template que permite uma varredura simples para descobrir
hosts ativos e portas abertas; e Basic Network Scan, que permite uma varredura
completa para qualquer host. A Figura 44 mostra os templates escolhidos em destaque.
127
FIGURA 44 – TEMPLATES SELECIONADOS
Iniciaremos com as configurações para o template Host Discovery. Ao clicar

sobre este template, você será direcionado para a interface de configurações (aba
Settings). Esta aba permite a você configurar quatro grupos de parâmetros: (1) Basic, (2)
Discovery, (3) Report e (4) Advanced.
• Basic: permite o preenchimento de informações gerais sobre o scan, como nome,

descrição, e as máquinas alvo (Figura 45). Nesta versão Essentials, é possível também
realizar um agendamento do scan para que seja executado automaticamente na
data e hora agendados (Figura 46).
FIGURA 45 – CONFIGURAÇÕES BASIC → GENERAL
128
FIGURA 46 – CONFIGURAÇÃO BASIC → SCHEDULE
• Discovery: determina os parâmetros da descoberta de acordo com o tipo de scan

selecionado e com o template (Figura 47).
FIGURA 47 – CONFIGURAÇÃO BASIC → DISCOVERY
• Report: apresenta opções de saída dos resultados do scan.

• Advanced: apresenta opções de performance.
Finalizadas as configurações do scan, você será direcionado novamente para

a interface MyScans. A lista de scans criados está preenchida com a análise que você
acabou de configurar. Cada novo scan criado será adicionado a esta lista que apresenta
o nome dado ao scan, o tipo de agendamento (se houve agendamento para execução
129
automática ou se o scan será executado pelo usuário – on demand) e a informação da
última modificação. No caso de nosso exemplo, preferimos não agendar o scan para
execução automática. Então, para executá-lo, basta clicar no botão de reprodução
(Launch), conforme pode ser observado na Figura 48.
FIGURA 48 – EXECUTANDO SCAN MANUALMENTE
Um clique sobre o scan irá direcioná-lo para a interface de resultados, a qual

já foi especificada anteriormente no Tópico 2. Neste caso específico de nosso exemplo,
por se tratar do template Host Discovery, é apresentada a lista com os endereços de
IP de cada host, seu nome de domínio qualificado (FQDN, Fully Qualified Domain Name)
e as portas identificadas. A exemplo do que você já viu anteriormente, são também
apresentados os detalhes do scan e o gráfico de vulnerabilidades (Figura 49).
FIGURA 49 – RESULTADO DO SCAN
Passando às configurações para o template Basic Network Scan, da mesma

forma que feito anteriormente, ao clicar sobre este template, você será direcionado
para a interface de configurações (aba Settings). Esta aba permite a você configurar
os mesmos grupos de parâmetros existentes para o template Host Discovery, sendo
acrescentado o parâmetro Assessment.
130
• Assessment: permite a configuração de como o scan identificará as vulnerabilidades,
bem como quais vulnerabilidades serão identificadas de acordo com o tipo de scan
selecionado e com o template (Figura 50).
FIGURA 50 – CONFIGURAÇÃO BASIC → ASSESSMENT
Finalizadas as configurações do scan, você será direcionado novamente para a

interface MyScans onde poderemos selecionar este último scan criado e executá-lo da
mesma forma que feito anteriormente (Figura 51).
FIGURA 51 – EXECUTANDO SCAN MANUALMENTE
Um clique sobre o scan irá direcioná-lo para a interface de resultados, a qual

já foi especificada anteriormente no Tópico 2. Neste caso específico de nosso exemplo,
por se tratar do template Basic Network Scan, é apresentada a lista com os endereços
de IP de cada host e a quantidade de vulnerabilidades identificadas. A exemplo do que
você já viu anteriormente, são também apresentados os detalhes do scan e o gráfico de
vulnerabilidades (Figura 52).
131
FIGURA 52 – RESULTADO DO SCAN
132
LEITURA
COMPLEMENTAR
COMMON VULNERABILITY SCORING SYSTEM V3.1: DOCUMENTO
DE ESPECIFICAÇÃO
O Common Vulnerability Scoring System (CVSS) é um framework aberto para

comunicar as características e gravidade das vulnerabilidades de software. O CVSS consiste
em três grupos métricos: Base, Temporal e Ambiental. O grupo Base representa as qualidades
intrínsecas de uma vulnerabilidade que são constantes ao longo do tempo e em todos os
ambientes do usuário, o grupo Temporal reflete as características de uma vulnerabilidade
que mudam ao longo do tempo e o grupo Ambiental representa as características de
uma vulnerabilidade que são exclusivas de do ambiente do usuário. As métricas básicas
produzem uma pontuação que varia de 0 a 10, que pode ser modificada pontuando as
métricas Temporal e Ambiental. Uma pontuação CVSS também é representada como uma
string vetorial, uma representação textual compactada dos valores usados para derivar a
pontuação. Este documento fornece a especificação oficial para CVSS versão 3.1.
FIRST também disponibiliza o Common Vulnerability Scoring System Version

3.1 Calculator, um calculador on-line para identificar a gravidade das vulnerabilidades,
disponível em https://www.first.org/cvss/calculator/3.1. Acesse para testar.
FONTE: <https://www.first.org/cvss/calculator/3.1>.
FONTE: <https://www.first.org/cvss/specification-document>. Acesso em: 14 out. 2020.
133
RESUMO DO TÓPICO 3
• É importante que se configure adequadamente o ambiente que se deseja realizar a

varredura.
• O Nessus Essentials é um scanner de vulnerabilidade para download gratuito que

possui algumas limitações, no entanto mostra-se totalmente satisfatório para uso
doméstico e acadêmico.
• O Nessus Essentials possui templates que nos permitem configurar mais facilmente
vários tipos de varreduras.
134
AUTOATIVIDADE
1 Deve existir uma reciprocidade entre as ferramentas de análise de vulnerabilidade e o
ambiente corporativo no sentido de a ferramenta estar mais, ou menos, integrada ao
ambiente, isto é, configurada para executar uma análise da maneira mais criteriosa
e eficiente possível. Sobre o ambiente para a execução de uma ferramenta para a
análise de vulnerabilidades, assinale a alternativa CORRETA:
a) ( ) É incomum que o processo de execução se inicie com apenas uma varredura de

portas para IP alvos escolhidos.
b) ( ) Pode-se considerar padrão que o scanner realize de imediato uma varredura
mais abrangente, e completa, com o objetivo de determinar portas abertas
para conexão.
c) ( ) Pode-se considerar padrão que o processo de execução se inicie com apenas
uma varredura de portas para IP alvos escolhidos. Isso ocorre com o intuito de
verificar o estado da máquina e seu aceite a conexões.
d) ( ) Pode-se considerar padrão que o scanner realize de imediato uma varredura
mais abrangente, e completa, com o objetivo de determinar portas que estejam
fechadas para conexão.
2 Uma ferramenta para análise de vulnerabilidades é um recurso poderoso e essencial

para a manutenção da segurança dos ativos de uma organização. Dessa forma, seus
utilizadores devem estar cientes de que sua integração eficiente com o ambiente se
dá na forma de estar configurada, da maneira mais criteriosa e eficiente possível, para
extrair informações valiosas e úteis desse ambiente. Sobre o ambiente para a execução
de uma ferramenta para a análise de vulnerabilidades, assinale a alternativa CORRETA:
a) ( ) Apesar de importante o conhecimento mais claro e detalhado possível sobre

o ambiente no qual a ferramenta irá executar, recursos como redes Wi-fi podem
ser ignorados.
b) ( ) Os tipos de dispositivos portáteis (celulares, wearables – dispositivos vestíveis,
entre outros) de uso pessoal pelos usuários podem ser ignorados, pois como
são elementos de caráter mais pessoal, e de entretenimento, do que de caráter
pessoal, eles não representam ameaça para o ambiente uma vez que executam
softwares de forma privada longe dos dispositivos de comunicação corporativos
da empresa.
c) ( ) Apesar de importante o conhecimento mais claro e, detalhado, possível sobre o
ambiente no qual a ferramenta irá executar, recursos como softwares antivírus
podem ser ignorados, uma vez que se tratam de produtos por si só seguros.
135
d) ( ) Todos os tipos de dispositivos conectados de alguma forma à rede do ambiente,
inclusive os portáteis (celulares, wearables – dispositivos vestíveis, entre outros) de
uso pessoal dos usuários não podem ser ignorados, pois apesar de elementos de
caráter mais pessoal, eles podem representar potenciais ameaças para o ambiente
uma vez que executam softwares conectados à rede corporativos da empresa.
3 Para que um ecossistema corporativo seja devidamente protegido uma organização

deve implementar políticas de segurança e possuir tecnologias, e ferramentas, que
permitam, por exemplo a análise de vulnerabilidades de maneira mais, ou menos,
automatizada e entre essas ferramentas tem-se a Nessus. Tomando isso como base,
sobre o uso da ferramenta Nessus para a análise de vulnerabilidades, analise as
sentenças a seguir, classificando V para as verdadeiras e F para as falsas:
( ) O Nessus Essentials é uma versão indicada para uso profissional, pessoal e também
para finalidades acadêmicas.
( ) O Nessus Essentials é uma versão indicada para uso pessoal e também para
finalidades acadêmicas.
( ) O Nessus Essentials possui relatórios com as mesmas características da versão
Professional.
( ) O Nessus Essentials não possui relatórios com as mesmas características da versão
Professional.

a) ( ) V – F – F – V.
b) ( ) F – V – V – F.
c) ( ) V – F – F – F.
d) ( ) V – V – F – F.
4 Ferramentas para a análise de vulnerabilidades com a Nessus somam-se a políticas

de segurança de ambientes corporativos no intuito da criação do mais seguro,
e protegido, ecossistema corporativo possível dotando-o com tecnologias, e
ferramentas, que permitam a execução de análises de vulnerabilidades de maneira
automatizada – e em tempo real. Tendo isso como base, analise as sentenças a seguir
acerca do uso da ferramenta Nessus para a análise de vulnerabilidades:
I- A capacidade reduzida da versão Essentials para o número de alvos durante uma

aplicação é percebida não realizar análises em dispositivos como pontos de acesso.
II- A capacidade reduzida da versão Essentials para o número de alvos durante uma
aplicação é percebida não realizar análises em dispositivos como celulares.
III- A capacidade reduzida da versão Essentials para o número de alvos durante uma
aplicação não limita o tipo de alvo utilizado para uma execução como: computadores
pessoais, servidores, celulares e até mesmo pontos de acesso.
IV- Sua versão Essentials oferece recursos importantes, inclusive para ambientes
corporativos, apesar restrições como o número reduzido de alvos para a sua aplicação.
136
a) ( ) As sentenças III e IV estão corretas.
b) ( ) As sentenças I e II estão corretas.
c) ( ) As sentenças I e III estão corretas.
d) ( ) As sentenças II e IV estão corretas.
5 Um recurso de segurança indispensável para uma organização são as ferramentas

de análise de vulnerabilidade, propiciando um ambiente mais seguro, e protegido,
possível. Assim, podemos dotar um ambiente corporativo com ferramentas, e
tecnologias, como a Nessus que permitam a identificação de vulnerabilidades de
maneira automatizada e em tempo real. Tendo isso como base, avalie a veracidade
as sentenças sobre o uso da ferramenta Nessus para a análise de vulnerabilidades
e assinale a alternativa CORRETA:
( ) Após a instalação e ser acessada no navegador, a ferramenta exibe um aviso

indicando um problema de privacidade na conexão. Isso ocorre devido à detecção
de uma vulnerabilidade pré-existente no navegador.
( ) Após a instalação e ser acessada no navegador, a ferramenta pode exibir um
aviso indicando um problema de privacidade na conexão. Trata-se de um evento
inesperado que indica falta de segurança no ambiente e por isso a instalação de
ferramenta deve ser desfeita.
indicando um problema de privacidade na conexão. Trata-se de um evento
esperado que indica o uso de um certificado que garante a segurança das conexões
realizadas pela Nessus.
indicando um problema de privacidade na conexão. Trata-se de um evento
esperado que indica a inexistência de qualquer certificado que garanta a segurança
das conexões realizadas pela Nessus.
137
REFERÊNCIAS
ACUNETIX. Find, fix, and prevent vulnerabilities. 2020. Disponível em: https://
www.acunetix.com/. Acesso em: 11 nov. 2020.
BARBOSA, A. A. Análise estática de vulnerabilidades em software sob múltiplas

abordagens. 2015. 102 f. (Monografia) – Faculdade UnB Gama. Universidade de Brasília.
Brasília. DF: 2015. Disponível em: https://bdm.unb.br/bitstream/10483/11782/1/2015_
AlexandreAlmeidaBarbosa.pdf. Acesso em: 24 nov. 2020.
CASTRO, M. I. R. et al. Introducción a laseguridad informática y elanálisis de

vulnerabilidades. Alicante: 3 Ciências, 2018. Disponível em: https://www.3ciencias.
com/wp-content/uploads/2018/10/Seguridad-inform%C3%A1tica.pdf. Acesso em: 27
nov. 2020.
CERT.BR (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança

no Brasil). Incidentes reportados ao CERT.br – janeiro a junho de 2020: análise
de alguns fatos de interesse observados neste período. 2020. Disponível em: https://
www.cert.br/stats/incidentes/2020-jan-jun/analise.html. Acesso em: 15 out. 2020.
CHIVERS, K. Zero-day vulnerability: what it is, and how it works. 2019. Disponível
em: https://us.norton.com/internetsecurity-emerging-threats-how-do-zero-day-
vulnerabilities-work-30sectech.html. Acesso em: 9 nov. 2020.
CVE. Common Vulnerabilities and Exposures. Frequently asked questions. 2020a.

Disponível em: https://cve.mitre.org/about/faqs.html. Acesso em: 14 out. 2020.
CVE. Common Vulnerabilities and Exposures. CVE reference key/maps. 2020b.

Disponível em: https://cve.mitre.org/data/refs/index.html. Acesso em: 3 nov. 2020.
CVE. Common Vulnerabilities and Exposures. About CVE. 2019. Disponível em: https://
cve.mitre.org/about/index.html. Acesso em: 14 out. 2020.
CVE. Common Vulnerabilities and Exposures. CVE-1999-0067. 1999. Disponível em: https://
cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0067. Acesso em: 14 out. 2020.
CWE. Common Weakness Enumeration. About CWE: overview: what is CWE? 2020a.
Disponível em: https://cwe.mitre.org/about/index.html. Acesso em: 14 out. 2020.
CWE. Common Weakness Enumeration. Home. 2020b. Disponível em: https://cwe.

mitre.org/index.html. Acesso em: 14 out. 2020.
138
CWE. Common Weakness Enumeration. About CWE: frequently asked questions.
2020c. Disponível em: https://cwe.mitre.org/about/faq.html#cwe_list_basics. Acesso
em: 14 out. 2020.
ENISA. European Union Agency for Cybersecurity. State of vulnerabilities 2018-

2019: analysis of events in the life of vulnerabilities. [s.l.]: ENISA, 2019. Disponível
em: https://www.enisa.europa.eu/publications/technical-reports-on-cybersecurity-
situation-the-state-of-cyber-security-vulnerabilities/. Acesso em: 24 set. 2020.
FIRST. Forum of Incident Response and Security Teams. Common Vulnerability

Scoring System SIG [entre 2015 e 2020]. Disponível em: https://www.first.org/cvss/.
GODINHO, P. X. M. Preventive vulnerability scanner: sistema de detecção

de vulnerabilidade em aplicações instaladas em sistemas Windows. 2016.
85 f. (Dissertação) – Escola Superior de Tecnologia e Gestão, Instituto
Politécnico de Beja. Portugal: 2016. Disponível em: https://repositorio.ipbeja.pt/
bitstream/20.500.12207/4718/1/Pedro%20Godinho.pdf. Acesso em: 11 nov. 2020.
LINS, L. A. Avaliação de scanners de vulnerabilidades: dez riscos mais críticos em

aplicações web. 77 f. jul. 2017. (Monografia) – Escola de Informática Aplicada, Centro de
Ciências Exatas e Tecnologia, Universidade Federal do Estado do Rio de Janeiro. Rio
de Janeiro: 2017. Disponível em: https://bsi.uniriotec.br/wp-content/uploads/sites/31/
2020/05/201707LucasLins.pdf. Acesso em: 25 nov. 2020.
MALERBA, C. Vulnerabilidades e exploits: técnicas, detecção e prevenção. jun.

2010. 68 f. (Monografia) Instituto de Informática, Universidade Federal do Rio Grande
do Sul. Porto Alegre: 2010. Disponível em: https://www.lume.ufrgs.br/bitstream/
handle/10183/26337/000757768.pdf?sequence=1&isAllowed=y. Acesso em: 12 out. 2020.
MARTIN, R. A.; CHRISTEY, S. M.; JARZOMBEK, J. The case for common flaw
enumeration. (s.d.). Disponível em: https://cwe.mitre.org/documents/case_for_
cwes.pdf. Acesso em: 22 dez. 2020.
MARTINELO, C. A. G.; BELLEZI, M. A. Análise de vulnerabilidades com OpenVAS e

Nessus. T.I.S. Tecnologias, Infraestrutura e Software, São Carlos, v. 3, n. 1, p.
34-44, jan./abr. 2014. Disponível em: http://www.revistatis.dc.ufscar.br/index.php/
revista/article/view/74. Acesso em: 25 set. 2020.
MATHER, B. Streamlining application vulnerability management: communication

between development and security teams. Denim Group, OWASP Boston Application
Security Conference, 2012. Disponível em: https://owasp.org/www-pdf-archive//
DenimGroup_Streamlining_Application_Vulnerability_Management.pdf. Acesso em:
15 out. 2020.
139
NESSUS Essentials. Versão 8.12.1. [s.l.]: Tenable Inc., 2020. Disponível em: https://pt-
br.tenable.com/products/nessus. Acesso em: 2 dez. 2020.
OPENVAS. OpenVAS: Open Vulnerability Assessment Scanner. [2020]. Disponível em:

https://www.openvas.org/index.html. Acesso em: 11 nov. 2020.
ORUETA, G. D. et al. Procesos y herramientas para laseguridad de redes. Madrid:

Universidad Nacional de Educación a Distancia, 2014. Disponível em: https://books.
google.com.br/books?id=dG4lAwAAQBAJ&pg=PT280&dq=tipos+de+vulnerabilidades
&hl=pt-BR&sa=X&ved=2ahUKEwjz9fSZyf3rAhVuFrkGHeo-B484ChDoATAIegQICBAC#
v=onepage&q=tipos%20de%20vulnerabilidades&f=false. Acesso em: 22 set. 2020.
POPESCU, I. Less known web application vulnerabilities. [s.d.]. Disponível em:

https://owasp.org/www-pdf-archive/OWASP_-_Ionut_Popescu_-_Less_Known_
Web_Application_Vulnerabilities.pdf. Acesso em: 1 out. 2020.
RAPID7. Nexpose vulnerability scanner. [s.d.]. Disponível em: https://www.rapid7.

com/products/nexpose/. Acesso em: 11 nov. 2020.
RIBERA, J. I. M. Analisis de vulnerabilidades web. [s.l.]: OWASP, [s.d.]. Disponível em:

https://owasp.org/www-pdf-archive//Analisis_de_vulnerabilidades_web.pdf. Acesso
em: 15 out. 2020.
SELLITTO, D. Risk analysis inputs critical in assessing vulnerabilities. 2017.

Disponível em: https://www.isaca.org/resources/news-and-trends/isaca-now-
blog/2017/risk-analysis-inputs-critical-in-assessing-vulnerabilities. Acesso em: 28
set. 2020.
TENABLE. Nessus 8.12.x user guide. 2020a. Disponível em: https://docs.tenable.com/

nessus/8_12/Content/Resources/PDF/Nessus_8_12.pdf. Acesso em: 2 dez. 2020.
TENABLE. Plugins. 2020b. Disponível em: https://www.tenable.com/plugins. Acesso

em: 2 dez. 2020.
WLOSINSKI, L. G. Mobile computing device threats, vulnerabilities and risk are

ubiquitous. ISACA Journal, v. 4, 2016. Disponível em: https://www.isaca.org/
resources/isaca-journal/issues/2016/volume-4/mobile-computing-device-threats-
vulnerabilities-and-risk-are-ubiquitous. Acesso em: 28 set. 2020.
140
UNIDADE 3 —
ANÁLISE DE
VULNERABILIDADES
• identificar as técnicas de varreduras;
• entender as vulnerabilidades on-line;
• compreender os testes de invasão;
• conhecer as principais características dos testes de invasão.
PLANO DE ESTUDOS
TÓPICO 1 – TÉCNICAS DE VARREDURAS DE VULNERABILIDADES

TÓPICO 2 – VULNERABILIDADES ON-LINE
TÓPICO 3 – TESTES DE INVASÃO
CHAMADA
141
CONFIRA
A TRILHA DA
UNIDADE 3!
Acesse o
QR Code abaixo:
142
UNIDADE 3 TÓPICO 1 —
TÉCNICAS DE VARREDURAS DE
VULNERABILIDADES
1 INTRODUÇÃO
Caro acadêmico! A Unidade 2 apresentou a você o mundo das vulnerabilidades
com seus tipos e suas ferramentas de análise. Aliada a esses conhecimentos esteve
a aplicação prática de uma ferramenta de análise de vulnerabilidades como forma de
compreender como ela deve ser utilizada e integrada a um ambiente corporativo.
A Unidade 3 do livro didático complementa os conhecimentos sobre

vulnerabilidades ao destacar as técnicas para a varredura de vulnerabilidades, que
podem ser usadas no combate a essas ameaças ao mundo corporativo. As técnicas
de varredura são formas utilizadas no contexto da segurança de redes que objetivam
garantir o funcionamento confiável de dispositivos e serviços pertencentes a essa rede.
Essas técnicas para serem aplicadas no ambiente corporativo valem-se

de programas específicos, que buscam informações nas portas de comunicações,
utilizadas por serviços e aplicações, e nos próprios serviços oferecidos por uma
infraestrutura de rede corporativa. A ferramenta escolhida para esse fim foi a Nmap,
que possui recursos muito interessantes para pôr em prática muitas das técnicas
apresentadas em nossa Unidade 3.
2 TÉCNICAS DE VARREDURAS
A varredura em redes de computadores é uma forma importante de garantir
a manutenção de serviços e verificar as atividades de hosts (qualquer dispositivo
cliente conectado) em uma grande rede. Para executá-la são usados os chamados
programas de varreduras de portas (Port Scanners ou simplesmente scanners), que
podem ser utilizados não só pelos administradores de redes, mas também por pessoas
mal-intencionadas que queiram explorar vulnerabilidades da rede.
A varredura de redes é definida pelo Cert.br (2012, p. 17, grifo do autor) da

seguinte forma:
143
Varredura em redes, ou scan, é uma técnica que consiste em
efetuar buscas minuciosas em redes, com o objetivo de identificar
computadores ativos e coletar informações sobre eles como, por
exemplo, serviços disponibilizados e programas instalados. Com
base nas informações coletadas é possível associar possíveis
vulnerabilidades aos serviços disponibilizados e aos programas
instalados nos computadores ativos detectados.
NOTA
É interessante saber que o CERT.br, Centro de Estudos, Resposta
e Tratamento de Incidentes de Segurança no Brasil, “[...] é um dos
serviços prestados para a comunidade Internet do Brasil pelo Núcleo
de Informação e Coordenação do Ponto BR (NIC.br), o braço executivo
do Comitê Gestor da Internet no Brasil (CGI.br)" (CERT.BR, 2012, iii).
Scanners de vulnerabilidades podem encontrar brechas e limitações na rede de

maneira relativamente fácil para que então sejam definidos mecanismos de controle
padrão para os serviços descobertos. Isso permite que os administradores disponham de
um checklist contendo os controles necessários aplicáveis para diferentes soluções
comuns encontradas (HERZOG, 2010). Todavia, Lyon (2008) alerta que o uso mal-
intencionado de um scanner pode levar a quebra de um simples host ou mesmo de
uma rede inteira.
Uma varredura não é executada por diversão, mas, principalmente, por questões
de segurança, sendo que um dos pilares da segurança é que a diminuição do número e
da complexidade dos serviços oferecidos reduz a oportunidade de ataques para quebrá-
los. Sabe-se que a exploração de um ataque pode ser frustrada apenas modificando as
portas padrão de serviços usados por aplicações TCP (Trasmission Control Protocol) ou
UDP (User Datagram Protocol), por exemplo (LYON, 2008).
NOTA
Portas são simplesmente uma abstração de software, usadas para
distinguir entre canais de comunicação. Similar à forma como os
endereçamentos IP são usados para identificar máquinas na rede,
portas identificam aplicação específicas em uso em uma máquina. Por
exemplo, o seu navegador web por padrão se conectará na porta TCP
80 de máquinas com URLs HTTP. Se, ao invés disso, você especificar o
protocolo seguro HTTPS, o navegador tentará conectar a porta 443 por
padrão (LYON, 2008, p. 73, tradução nossa).
144
Perceba que existem então, basicamente, duas intenções por aqueles que
executam scanners, uma intenção de manter a segurança e a intenção em quebrar a
segurança dos dispositivos em rede ou da própria rede. Nesse contexto, Cert.br (2012)
aponta que a aplicação de uma varredura para a exploração de vulnerabilidades pode
ocorrer de duas formas:
• Legítima: quando executada por indivíduos autorizados com o intuito de verificar

a segurança de dispositivos e redes e, com isso, aplicar medidas corretivas e
preventivas.
• Maliciosa: quando executada por pretensos atacantes, que tentam explorar
vulnerabilidades de serviços disponibilizados e também do parque de softwares
instalados para a execução de atividades maliciosas. Durante essa exploração, os
atacantes podem utilizar os computadores ativos detectados como potenciais alvos
para a propagação automática de códigos maliciosos ou em ataques de força bruta.
Lyon (2008) levanta a questão sobre os aspectos legais do uso de scanners

uma vez que pretensos invasores de redes podem usá-los de modo mal-intencionado.
Podendo levar esse invasor a processos, demissão, expulsão ou banimento por um ISP
(Internet Service Provider, Provedor de Serviços de Internet) e até mesmo podendo ser
preso. O autor indica alguns caminhos a seguir para a prevenção e punições legais:
• Possuir uma autorização por escrito por parte dos representantes da rede alvo, uma
vez que administradores da rede podem reportar ao ISP um relatório de abuso do uso
de scanner.
• No caso de testes de penetração ou intrusão (pentests), a autorização precisa ser
formalizada em uma Declaração de Trabalho para testes em sua companhia, além da
garantia de que essa atividade esteja dentro de uma alçada formalizando uma descrição
de trabalho dentro da companhia.
• Consultores de segurança precisam estar familiarizados com o OSSTMM (Open
Source Security Testing Methodology Manual, Manual de Metodologia de Teste de
Segurança de Código Aberto) que fornece boas práticas para as situações descritas.
Portas são reservadas tanto para serviços comuns como serviços da internet: web,
FTP (File Transfer Protocol), DNS (Domain Name System) e servidores SMTP (Simple
Mail Transfer Protocol), como para outras aplicações mais específicas, como bancos de
dados (Microsoft SQL Server, Oracle, PostgreSQL, entre outros). Assim, ao se determinar
uma porta aberta em um dado host, talvez seja possível mapeá-la para uma aplicação
específica ser executada nesse host (KUROSE; ROSS, 2010).
Dessa forma, a varredura de uma porta trata-se da ação de testar um número

significativo de portas e determinar o seu estado, que pode ser "aberto" (o mais
interessante) e que indica uma aplicação "ouvinte" que pode aceitar conexões nessa
porta. Uma varredura é realizada utilizando uma técnica apropriada (LYON, 2008).
145
A aplicação de técnicas de varredura permite ao administrador de redes criar
mecanismos de segurança mais efetivos e objetivos contra scripts maliciosos, além de
permitir a avaliação do ambiente ou mesmo a simulação de testes de intrusão. As técnicas
podem ser usadas para a verificação de serviços ativos (portas abertas) ou os programas
que as executam podem agir como falsos clientes para verificação das portas ativas dos
hosts da rede (MELO, 2017).
Aplicar técnicas de varredura para a identificação de vulnerabilidades trata-

se de um importante quesito para manter a segurança de ambientes baseados na
Tecnologia da Informação (TI), sendo que a identificação de novas formas de exploração
de uma vulnerabilidade deve ser seguida de sua posterior divulgação para que os canais
competentes a registrem e a documentem. Incentivando o método indicado por Rieback
(2018), a Coordinated Vulnerability Disclosure (CVD) que serve para coordenar a divulgação
de uma vulnerabilidade, contribuindo assim para que ela se torne acessível, de forma
racional e confiável, a todos os interessados.
Sobral (2016) apresenta dois grupos para as técnicas de varredura: as baseadas

em portas e as baseadas nos serviços de rede:
• Técnica baseada em porta: o scanner atua como um falso cliente na identificação

das portas de serviços ativos (portas abertas) em um determinado host.
• Técnica baseada em serviços: são levantados dados mais específicos do que
apenas a verificação das portas e seus serviços ativos.
As técnicas baseadas em porta são organizadas nos seguintes grupos: Open

Scan, Half-Open ou Half Scan, Stealth, Methods, Sweeps e Services (Figura 1 - A).
Cada grupo de técnicas carrega junto de si as técnicas propriamente ditas (Figura 1 - B).
146
FIGURA 1 – TÉCNICAS CLÁSSICAS DE VARREDURAS BASEADAS EM PORTA
FONTE: Melo (2017, p. 65)
As varreduras do tipo Open Scan são consideradas varreduras de modo trivial,

as Half Scan são consideradas de modo mais sutil, mas ainda não tão sutis quanto as
varreduras de modo Stealth (cujo nome faz uma alusão às roupas de mergulho do tipo
stealth que tornam um mergulhador "invisível"), já as do modo Sweeps são usadas para
a identificação das atividades de um host (MELO, 2017).
Nos próximos subtópico nos dedicaremos a estudar em mais detalhes algumas

destas técnicas.
147
2.1 TCP SYN (HALF SCAN)
Trata-se da técnica mais popular – e mais rápida – para varredura de portas TCP.
É mais furtiva do que uma varredura baseada em serviços (conexão) e funciona bem contra
toda pilha TCP padrão (LYON, 2008). A Figura 2 apresenta uma varredura de porta usando
a técnica TCP SYN, do grupo Half Scan. Melo (2017) ressalta que a rapidez se dá devido à
varredura, e não requerer um handshake completo, já que um datagrama SYN é enviado
simulando uma conexão real para testar a atividade da porta. Nesse caso, um TCP SYN/
ACK (acknowledgement) indica que uma porta está "ouvindo" e no caso do TCP RST (reset)
há o indicativo contrário.
FIGURA 2 – VARREDURA DA PORTA 22 (SSH) ABERTA E DA PORTA 113 (SERVIÇOS ANTIGOS COMO IRC –
INTERNET RELAY CHAT)
FONTE: Adaptado de Lyon (2008, p. 97); Sobral (2016, p. 11)
2.2 TCP CONNECT (OPEN SCAN)

Trata-se também de uma opção popular, quando o TCP SYN não pode ser
executado em um determinado ambiente de rede, uma vez que em ambientes Unix,
por exemplo, usuários sem os privilégios adequados de rede – ou se a varredura for
disparada contra hosts rodando sobre IPv6 – não poderão executar uma varredura
TCP SYN (LYON, 2008). A Figura 3 apresenta uma varredura de porta usando a técnica
TCP Connect.
148
FIGURA 3 – VARREDURA DA PORTA 22 (SSH) ABERTA E FECHADA
FONTE: Adaptado de Lyon (2008, p. 100); Sobral (2016, p. 6)
2.3 UDP (OPEN SCAN)

Esta técnica está associada aos serviços com portas abertas que utilizam esse
protocolo internet. São enviados datagramas para as portas de um host alvo que, se
não responder, indica uma porta supostamente aberta, caso contrário, retorna uma
mensagem de erro do tipo ICMP (Internet Control Message Protocol) 3 (host inalcançável),
indicando uma porta fechada (MELO, 2017). A Figura 4 apresenta o comportamento para
um host sob a técnica UDP.
FIGURA 4 – VARREDURA USANDO A TÉCNICA UDP
FONTE: Sobral (2016, p. 47)
149
IMPORTANTE
Serviços importantes para a infraestrutura da internet como DNS,
SNMP (Simple Network Management Protocol), e DHCP (Dynamic Host
Configuration Protocol) (registrados nas portas 53, 161/162, e 67/68,
respectivamente) utilizam esse protocolo. Assim, falhas em serviços UDP
podem ser exploradas (LYON, 2008).
2.4 VARREDURAS BASEADAS NA RFC 793

A RFC (Request For Comments) 793 normatiza as funções a serem realizadas pelo
protocolo TCP. Dessa forma, as varreduras cobertas por essa RFC seguem também as
mesmas normatizações aplicadas ao protocolo TCP. Vale, no entanto, ressaltar que,
como a estrutura em camadas dos protocolos TCP/IP, funciona de maneira diferente em
ambientes dos sistemas operacionais da Microsoft, as varreduras baseadas na RFC 793
não funcionam para os ambientes Windows, isto é, esses ambientes não são suscetíveis
a essas varreduras (MELO, 2017).
Essas técnicas têm uma aplicação especial no tocante a se desviar furtivamente

de firewalls para explorar as redes por trás deles. Todavia, para que essas técnicas
funcionem corretamente, essas redes e/ou sistemas precisam estar em conformidade
com a RFC 793 (LYON, 2008).
NOTA
Para mais detalhes sobre a publicação RFC 793, acesse:
https://tools.ietf.org/html/rfc793.
150
2.4.1 TCP FIN (STEALTH)
A lógica dessa técnica prevê que um host, ao receber um pacote contendo um
TCP FIN, não responde (pacote TCP FIN ignorado), indicando uma porta aberta. Caso
contrário, ele responde com um TCP RST, indicando um serviço inativo (porta fechada)
(SOBRAL, 2016). A Figura 5 apresenta o modelo de comportamento para o uso da técnica
TCP FIN.
FIGURA 5 – VARREDURA USANDO A TÉCNICA TCP FIN
FONTE: Adaptado de Melo (2017, p. 75); Sobral (2016, p. 16)
Vale aqui fazermos uma observação importante: conforme mencionado

anteriormente, as técnicas de varredura baseadas na RFC 793 não funcionam na
plataforma Microsoft. No entanto, elas respondem com TCP RST, tanto para portas
abertas quanto para portas fechadas, como apresentado na Figura 6 (MELO, 2017):
FIGURA 6 – A TÉCNICA TCP FIN EM AMBIENTES WINDOWS
151
2.4.2 TCP XMAS TREE (STEALTH)
A varredura Xmas Tree (árvore de Natal) tem um comportamento semelhante
ao da técnica TCP FIN, na qual um host não fornece uma resposta indicando serviços
ativos e quando fornece uma resposta TCP RST, esta indica uma porta aberta. A Figura 7
apresenta o modelo de comportamento para o uso da técnica TCP Xmas Tree.
FIGURA 7 – VARREDURA USANDO A TÉCNICA TCP XMASTREE
FONTE: Adaptado de Melo (2017, p. 77); Sobral (2016, p. 23)
2.4.3 TCP NULL (STEALTH)

Também semelhante em comportamento à técnica TCP FIN, na técnica TCP NULL
a ausência de resposta por parte de um host indica uma porta aberta, enquanto que uma
resposta TCP RST indica algum serviço ativo (MELO, 2017). A Figura 8 apresenta o modelo
de comportamento para o uso da técnica TCP NULL.
FIGURA 8 – VARREDURA USANDO A TÉCNICA TCP NULL
152
2.5 TCP ACK (STEALTH)
Essa técnica se baseia em utilizar um datagrama TCP ACK (que não pertence
a nenhuma comunicação estabelecida entre hosts, isto é, um datagrama órfão) que
obtenha como resposta um RST para as ocorrências de porta aberta e porta fechada.
Logo, a condição dessa técnica é nunca determinar um estado de "aberto", pois ela é
usada para mapear conjuntos de regras de firewalls, verificando o seu estado, com o
host que "disparou" o ACK, recebendo um estado de conexão negada ou rejeitada, por
exemplo (LYON, 2008; MELO 2017).
A Figura 9 apresenta o modelo de varredura da técnica TCP ACK aplicada sobre

portas de comunicação, enquanto a Figura 10 apresenta a mesma técnica aplicada na
identificação de firewalls.
FIGURA 9 – VARREDURA USANDO A TÉCNICA TCP ACK EM PORTAS DE COMUNICAÇÃO
FIGURA 10 – VARREDURA USANDO A TÉCNICA TCP ACK EM PORTAS FIREWALLS
153
2.6. TCP WINDOW
Essa técnica é conhecida como a varredura da janela do interruptor e, assim
como a sua prima TCP ACK, utiliza-se de um pacote ACK durante uma varredura.
Contudo, o objetivo da técnica TCP Window é mais específico, pois busca identificar
portas protegidas de um firewall. Ela também permite a identificação do estado das
portas (aberto ou fechado) em certos hosts, sendo que para tanto considera a existência
de uma resposta desses hosts na forma de um datagrama RST. Já a existência de
firewalls depende da ausência de uma resposta, ou da existência de uma resposta ICMP
3 por parte do host, para configurar a existência desse firewall (LYON, 2008; MELO, 2017).
A Figura 11 apresenta o modelo de varredura da técnica TCP Window aplicada

sobre portas de comunicação, enquanto a Figura 12 apresenta a mesma técnica aplicada
na identificação de firewalls.
FIGURA 11 – TÉCNICA TCP WINDOW IDENTIFICANDO UMA PORTA
FIGURA 12 – TÉCNICA TCP WINDOW IDENTIFICANDO UM FIREWALL
154
Agora que você já se familiarizou com algumas das técnicas de varreduras, o
próximo subtópico traz alguns exemplos e aplicações de como as técnicas apresentadas
podem ser utilizadas através de alguns scanners.
3 APLICAÇÃO DAS TÉCNICAS DE VARREDURAS

O levantamento de dados através da aplicação de técnicas de varreduras pode
ser alcançado dispondo de alguns programas como o Nmap (Network Mapper), o Amap,
o Netcat e o Hping. Os dois últimos são considerados programas complementares aos
scanners, e não necessariamente programas capazes de uma varredura completa como
os demais (MELO, 2017).
Já o Nmap, por exemplo, permite a detecção remota de um SO (Sistema

Operacional), utilizando a pilha de protocolos TCP/IP (Transmission Control Protocol/Internet
Protocol), temporização de varreduras, exploração através da manipulação de datagramas,
falsificação de endereços IP para burlar detecção de intrusos, entre outras (MELO, 2017).
Nmap (“Network Mapper”) é um utilitário de distribuição livre e código

aberto para exploração de redes e auditoria de segurança. [...] útil para
tarefas como inventário de redes, gerenciamento de agendas para
atualização de serviços, e monitoramento de host ou tempo de atividade
de um serviço. [...] Ele foi projetado para verificar rapidamente grandes
redes, mas trabalha de maneira eficiente contra hosts únicos. Nmap
roda na maioria dos sistemas operacionais, com versões baseadas em
console e gráfica (LYON, 2008, p. XXI, tradução nossa).
INTERESSANTE
A ferramenta Nmap mereceu uma participação como ator coadjuvante
em um dos filmes da célebre trilogia Matrix, o filme Matrix Reloaded.
Nele, a personagem Trinity realiza o roteamento de um sistema usando
a ferramenta. Ela, então, identifica que a porta 22 (serviço SSH – Secure
Socket Shell) está aberta e utiliza um programa explorador para desligar o
sistema de uma usina elétrica (MELO, 2017).
3.1 USO DO NMAP PARA A APLICAÇÃO DAS TÉCNICAS DE

VARREDURAS ESTUDADAS
Nos próximos subtópico, você será apresentado a algumas situações problema
que justificam a aplicação rotineira das técnicas de varredura utilizando scanners.
Os casos, e exemplos, apresentados destacam o uso do scanner Nmap devido a sua
capacidade em simular as técnicas de varredura sobre as quais você acabou de estudar.
155
Além disso, conforme mencionado, muitos sistemas operacionais de plataforma
livre (como Linux e BSD, por exemplo) trazem os pacotes do Nmap de forma nativa
sendo apenas necessário instalá-los (LYON, 2008).
Na Unidade 2, você pôde observar o funcionamento de um scanner de

vulnerabilidades, o Nessus, em ambiente Windows. Assim, para que você possa
experimentar diferentes ferramentas em diferentes ambientes, o uso do Nmap será
demonstrado a partir da apresentação de comandos em Linux.
Antes de começarmos é importante lembrar que o Nmap é um eficiente

scanner de portas, e por esta razão os exemplos de uso na sequência trarão esse tipo
de comando. A partir do comando simples nmap <alvo> em combinação com diretivas
específicas, é possível escanear as portas TCP mais utilizadas no host identificado como
<alvo> na linha de comando. Uma vez escaneadas, as portas são classificadas pelo Nmap
em um dos seguintes estados: aberta (significa que uma aplicação está aceitando
conexões TCP ou pacotes UDP), fechada (significa que a porta está acessível, mas
não há nenhuma aplicação escutando), filtrada (filtros de pacotes, tais como firewall
ou regras de roteamento, por exemplo, impedem que a varredura chegue a porta,
impedindo o Nmap de determinar se a porta está ou não aberta), não filtrada (significa
que a porta está acessível, mas o Nmap não consegue se está aberta ou fechada),
aberta/filtrada (este estado é definido quando o Nmap não consegue determinar se a
porta está aberta ou filtrada), ou fechada/filtrada (semelhante ao anterior, neste caso
o Nmap não consegue determinar se a porta está fechada ou filtrada) (LYON, 2008).
IMPORTANTE
Aponte o Nmap para uma máquina remota e
ele poderá lhe dizer que as portas 25/tcp, 80/
tcp e 53/udp estão abertas. Utilizar o banco
de dados nmap-services, com cerca de 2.200
serviços bastante conhecidos, do Nmap iria
relatar que aquelas portas provavelmente
correspondem a um servidor de correio
eletrônico (SMTP), a um servidor de páginas
web (HTTP) e a um servidor de nomes (DNS)
respectivamente. Essa pesquisa normalmente
é precisa. [...] Entretanto, você não deveria
apostar a sua segurança nesta informação!
As pessoas podem e executam serviços em
portas estranhas (NMAP.ORG, [c2021, s.p.]).
156
3.1.1 Varredura de uma grande rede para uma porta
TCP específica
A varredura de uma grande rede pode ser necessária se, por exemplo, você
desejar encontrar rapidamente todas as máquinas em uma rede TCP que possui uma
porta específica aberta. Isso pode acontecer após a publicação de um grande fabricante
de um servidor web informar que uma nova vulnerabilidade foi encontrada em seu
software servidor. Dessa forma, você precisa realizar uma varredura tendo como alvo a
porta padrão TCP 80 reservada aos servidores web, ou até mesmo uma varredura para
verificar a existência de algum backdoor em portas como a 31337 (LYON, 2008).
NOTA
"Backdoor é um programa que permite o retorno de um invasor a um
computador comprometido, por meio da inclusão de serviços criados
ou modificados para este fim" (CERT.BR, 2012, p. 28). Alguns tipos de
programas maliciosos varrem as redes buscando serviços entre as
portas 31337 e 31340. Essas portas são denominadas de "elite" pelos
exploradores maliciosos (RED HAT ENTERPRISE LINUX, 2020).
Uma maneira direta para executar no Nmap a varredura da situação mencionada

é através do comando apresentado no Quadro 1.
QUADRO 1 – VARREDURA DE UMA REDE TCP COM ALVO NA PORTA 80
nmap -PN -p<número da porta> -oG<arquivolog.gnmap><rede alvo>

O modelo de comando acima tem sua versão concreta abaixo. Ele procura 4096 IPs
para servidores web (porta 80 aberta):
nmap -PN -p80 -oG logs/pb-port80scan-%D.gnmap 216.163.128.0/20

FONTE: Adaptado de Lyon (2008, p. 89)
Onde (LYON, 2008):
• -PN: esta opção estabelece que o Nmap deve pular o comando de ping e escanear todos
os hosts indicados.
• -oG (grepable format output): esse formato ajusta a saída de cada host em uma linha
única, tornando fácil a busca por portas abertas.
• %D: indica que o nome do arquivo de log contendo as informações da varredura será
criado contendo a data atual do sistema.
157
3.1.2 Aplicação da técnica TCP CONNECT
No subtópico anterior, você aprendeu algumas técnicas de varreduras aplicáveis.
O Nmap oferece suporte a várias delas, uma de cada vez. Para determinar qual das técnicas
de varredura será utilizada, deve-se utilizar o comando -s<C>, onde -s indica que será
aplicada uma técnica específica, e <C> corresponde ao “caractere proeminente” do
nome da técnica, sendo este geralmente o primeiro.
O 2 apresenta alguns exemplos de comandos para a execução da varredura TCP

Connect utilizando o Nmap para percorrer um grupo de portas (da porta 20 até a porta
143) em um dado host.
QUADRO 2 – EXEMPLOS DE VARREDURAS TCP CONNECT USANDO O NMAP
Execução da TCP Connect em um grupo de portas:
nmap -sT -p20-143 192.168.100.1

Execução da TCP Connect nas portas declaradas no diretório /etc/services:
nmap -sT -F -p20-143 192.168.100.21

Execução da TCP Connect em um grupo de máquinas:
nmap -sT -F -p20-143 192.168.100.1-254

Execução da TCP Connect em todas as portas:
nmap -sT -p- 192.168.100.1

FONTE: Adaptado de Melo (2017, p. 69)
Onde (LYON, 2008):
• -sT: corresponde à aplicação técnica TCP Connect.
3.1.3 Aplicação da técnica TCP SYN

SYN, utilizando o Nmap para percorrer um grupo de portas (da porta 20 até a porta 143)
em um dado host.
158
QUADRO 3 – EXEMPLOS DE VARREDURAS TCP SYN USANDO O NMAP
Execução da TCP SYN em um grupo de portas:
nmap -sS -p20-143 192.168.100.12

Execução da TCP SYN nas portas declaradas no diretório /etc/services:
nmap -sS -F -p20-143 192.168.100.21

Execução da TCP SYN em um grupo de máquinas:
nmap -sS -F -p20-143 192.168.10.1-254

Execução da TCP SYN em todas as portas:
nmap -sS -p- 192.168.10.13

Onde (LYON, 2008):
• -sS: corresponde à aplicação técnica TCP SYN Stealth.
3.1.4 Aplicação da técnica TCP FIN

FIN, utilizando o Nmap para percorrer um grupo de portas (da porta 20 até a porta 143)
em um dado host.
QUADRO 4 – EXEMPLOS DE VARREDURAS TCP FIN USANDO O NMAP
Execução da TCP FIN em um grupo de portas:
nmap -sF -p20-143 192.168.100.12

Execução da TCP FIN nas portas declaradas no diretório /etc/services:
nmap -sF -F -p20-143 192.168.100.21

Execução da TCP FIN em um grupo de máquinas:
nmap -sF -F -p20-143 192.168.10.1-254

Execução da TCP FIN em todas as portas:
nmap -sF -p- 192.168.10.13

Onde (LYON, 2008):
• -sF: corresponde à aplicação técnica TCP FIN.

159
3.1.5 Varredura para encontrar todos os servidores rodando
uma aplicação insegura
Trata-se de uma tarefa comum varrer uma faixa de endereços IP e localizar aqueles
que satisfazem um parâmetro de pesquisa específico ou uma versão particular de uma
dada aplicação (LYON, 2008).
Uma maneira direta para executar no Nmap esse tipo de varredura é feita através
do comando apresentado no 5. A situação representa a busca em uma faixa de números
IP em uma versão particular para o sistema gerenciador de bancos de dados MySQL.
QUADRO 5 – VARREDURA PARA CONFIRMAR A VERSÃO DE UMA APLICAÇÃO
A rede 10.0.0.0/24 recebe a varredura com os parâmetros de pesquisa:
nmap -sV -p 3306 -oG 10.0.0-mysqls-032506.gnmap 10.0.0.0/24

Onde (LYON, 2008):
• sV: detecção de versão, usado para diferenciar portas que estão realmente abertas
das portas filtradas.
3.1.6 Varredura customizada para a detecção de

proxies abertos
Um servidor proxy pode representar um host perigoso, pois sua má configuração
pode deixar uma rede vulnerável a ataques ou permitir que a própria rede seja origem de
um ataque a outras redes. Quando esse tipo de situação ocorre, diz-se que o servidor
proxy está aberto, pois ele repassa cegamente solicitações de hosts não confiáveis,
permitindo que um atacante execute ações como: apossar-se da banda de rede, ou
mesmo outros serviços de rede; ou ainda configurar-se como um cliente interno da rede
para explorar outros privilégios (LYON, 2008).
160
IMPORTANTE
Proxy: servidor que atua como
intermediário entre um cliente e outro
servidor. Normalmente é utilizado em
empresas para aumentar o desempenho
de acesso a determinados serviços ou
permitir que mais de uma máquina
se conecte à Internet. Quando mal
configurado (proxy aberto) pode ser
abusado por atacantes e utilizado para
tornar anônimas algumas ações na
Internet, como atacar outras redes ou
enviar spam (CERT.BR, 2012, p. 119).
3.1.7 Varredura para detectar pontos de acesso

wireless falsos
Outro tipo de varredura de nosso interesse é pela busca por WAP (Wireless
Access Points) falsos. É importante lembrar que o avanço das tecnologias móveis e
o barateamento dos equipamentos de rede permitiram que os colaboradores das
organizações estendessem as redes sem fio de maneira indesejada, já que o simples
fato da instalação de um WAP em um local qualquer pode expor uma rede protegida a
potenciais atacantes (LYON, 2008).
Uma forma de encontrar dispositivos wireless é combinar sniffers, como o Kismet

ou o NetStumbler, com scanner Nmap, responsável pela varredura da rede com fio. Uma
possível maneira para executar no Nmap esse tipo de varredura é utilizando o comando
apresentado no Quadro 6.
QUADRO 6 – VARREDURA EM BUSCA DAS CARACTERÍSTICAS WAP DE UMA REDE
As portas são limitadas para otimizar a busca:
nmap -A -oA -/nmap-logs/wapscan -p 1-85,113,443,8080-

8100 -T4 -min-hostgroup 50 -max-rtt-timeout 1000 -initial-
rtt-timeout 300 -max-retries 3 -host-timeout 20m -max-
scan-delay 1000 <target_network>.
Com a varredura concluída, as características WAP serão apresentadas.

161
Onde (LYON, 2008):
• -A: faz a detecção do sistema operacional.

• -oA (output to all formats): permite o armazenamento do resultado das varreduras em
vários formatos de uma vez, considerando: normal, XML e grepable.
• -min-hostgroup: número mínimo de hosts cujas portas serão escaneadas em paralelo.
• -max-rtt-timeout: tempo máximo de espera por uma resposta da porta escaneada.
• -initial-rtt-timeout: tempo de início de espera por uma resposta da porta escaneada.
• -max-retries: número máximo de retransmissões da varredura para uma única porta.
• -host-timeout: determina que o Nmap deve desistir de esperar pelos hosts que
levam mais do que o tempo estabelecido para retornar uma resposta.
• -max-scan-delay: tempo máximo de espera entre os envios das respostas das
varreduras.
NOTA
"Interceptação de tráfego, ou sniffing, é uma técnica que consiste em
inspecionar os dados trafegados em redes de computadores, por meio
do uso de programas específicos chamados de sniffers" (CERT.BR, 2012,
p. 19, grifo do autor).
162
RESUMO DO TÓPICO 1
• As técnicas de varredura representam uma importante ferramenta de gerenciamento

da segurança de uma rede.
• Existem técnicas de varredura específicas direcionadas para a identificação de

informações específicas que se deseja levantar a respeito da rede.
• A aplicação de uma técnica de varredura pode ter uma finalidade legítima ou maliciosa.
• Uma forma confiável de aplicar uma técnica de varredura é com a utilização de

programas de varreduras de portas (scanners).
163
AUTOATIVIDADE
1 As técnicas de varredura oferecem muitas utilidades para os usuários de uma rede,
pois permitem testar o estado de portas de comunicações dos seus dispositivos,
avaliar a existências de programas intrusos, além de verificar a versão das aplicações
que executam sobre essa rede, entre outras. Com base nessas afirmações sobre as
técnicas de varredura, assinale a alternativa CORRETA:
( ) Existem duas maneiras de usar as técnicas de varredura para a exploração de

vulnerabilidades: as baseadas em portas e as baseadas em serviços.
( ) As técnicas de varredura são representadas por dois grupos que englobam as
varreduras legítimas e as maliciosas.
( ) Existem duas maneiras de usar as técnicas de varredura para a exploração de
vulnerabilidades: as baseadas em portas e as baseadas na legitimidade.
( ) As técnicas de varredura são representadas por dois grupos que englobam as varreduras
baseadas em portas e aquelas baseadas em serviços.
2 Uma vulnerabilidade pode estar incorporada em uma rede de várias maneiras:

portas de comunicações que não deveriam estar abertas, softwares desatualizados,
programas espiões instalados, entre outros. A partir disso, sobre os conceitos
relacionados às vulnerabilidades, classifique V para as sentenças verdadeiras e F
para as falsas:
( ) Serviços em execução significam portas abertas enquanto que portas abertas, não
necessariamente indicam um serviço executando.
( ) Qualquer serviço de rede só pode executar se a sua porta de comunicação estiver aberta.
( ) Vulnerabilidade é o que se refere a uma classificação de uma limitação na qual uma
pessoa ou processo pode acessar, negar acesso a outras ou esconder a si mesmo
ou ativos dentro de um escopo.
( ) Serviços em execução e portas abertas são sinônimos, pois uma porta aberta
também significa um serviço executando.
Assinale a alternativa que apresenta a sequência CORRETA:

a) ( ) V – V – V – F.
b) ( ) F – V – V – V.
c) ( ) V – F – V – F.
d) ( ) V – V – F – F.
164
3 Existem vários modos de execução para as técnicas clássicas de varredura, modos
mais ou menos sutis, ou mais ou menos intrusivo, com todas as técnicas tendo objetivo
em verificar o estado de portas de comunicação, e até mesmo o estado, ou versão, de
programas e aplicações mais complexas, como sistemas de bancos de dados. Acerca
dos conceitos sobre as técnicas de varreduras, analise as sentenças a seguir:
I- Uma vulnerabilidade pode ser visualizada como um estado atual dos limites percebidos, e
conhecidos, para canais, operações e controles em um ambiente de rede.
II- Técnicas de varredura podem prevenir, mas não expor, possíveis negações de acesso
aos recursos da rede para pessoas ou processos autorizados.
III- Técnicas de varredura podem prevenir, mas não expor, possíveis permissões de acesso
privilegiado a ativos para pessoas ou processos não autorizados.
IV- Técnicas de varreduras são necessárias devido a incapacidade de funcionamento
dos mecanismos de proteção serem suas próprias limitações.

a) ( ) As sentenças I e III estão corretas.
4 As técnicas clássicas de varredura podem ser executadas, de uma maneira geral, de duas
formas, na sua forma mais intrusiva ou de uma forma menos intrusiva. Essa forma de
execução tem impacto nos objetivos de cada uma delas que vão desde a verificação do
estado de portas de comunicação até na verificação do estado, ou versão, de programas
e aplicações como sistemas de bancos de dados. Assim, tendo como premissa os
conceitos sobre as técnicas de varreduras, analise as sentenças a seguir:
I- As varreduras TCP FIN, TCP XMAS e TCP NULL são funcionais para exploração de
sistemas Microsoft e não Microsoft.
II- Uma grande vantagem da técnica de varredura TCP Connect é a não necessidade
de obter privilégios de rede para a sua execução.
III- A técnica de varredura UDP indica uma porta supostamente FECHADA, se um host
alvo não responder ao datagrama enviado a ele, caso contrário, retorna uma mensagem
de erro do tipo ICMP código 3 o que indica uma porta ABERTA.
IV- Apesar das varreduras TCP FIN, TCP XMAS e TCP NULL não serem aplicáveis aos
sistemas Windows, isso cria um ambiente com um cenário específico para a tentativa
de uma exploração, já que o explorador tem certeza de que o ambiente em questão
se trata de um ambiente Windows.

d) ( ) As sentenças II e III estão corretas.
165
5 Os objetivos de uma técnica de varredura podem variar entre a simples verificação
do estado de uma porta de comunicação até uma verificação mais complexa como a
avaliação do estado, ou versão, de um sistema de banco de dados. Com base nessas
informações, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Uma desvantagem da técnica de varredura TCP ACK é que ela não distingue entre
portas abertas e fechadas.
( ) A técnica de varredura TCP Window, diferentemente da técnica TCP ACK, não pode
ser usada para caracterizar o estado de um firewall.
( ) A técnica de varredura TCP SYN pode ser usada para situações como a apresentada
no caso "3.1.1 VARREDURA DE UMA GRANDE REDE PARA UMA PORTA TCP
ESPECÍFICA".
( ) A execução da varredura dada pelo comando "nmap -sT -F -p20-143 192.168.100.1-
254" tende ser mais rápida do que a executada pelo comando "nmap -sT -p20-143
192.168.100.1".

a) ( ) V – F – V – V.
b) ( ) F – V – F – V.
c) ( ) V – F – V – F.
d) ( ) F – F – V – V.
166
VULNERABILIDADES ON-LINE
1 INTRODUÇÃO
Caro acadêmico! A expressão "estar conectado" está cada vez mais presente
no cotidiano das pessoas, uma vez que suas necessidades (pessoais, profissionais,
acadêmicas, de entretenimento, entre outras) estão de uma forma, ou de outra,
atreladas a um ambiente on-line. Assim, pode-se pensar que grande parte das
atividades realizadas pelos seres humanos podem ser realizadas pela internet:
compras em sítios de e-commerce, pedidos de supermercados, comunicação com
a família, reuniões profissionais, assistir a um filme, ler um livro, entre tantas outras.
Paralelo a isso nascem conceitos como WoT (Web of Things, Web das Coisas) que
surge com a intenção de fornecer padrões de interoperabilidade entre diferentes aplicações
e plataformas da IoT (Internet of Things, Internet das Coisas) e padrões da indústria como
a Indústria 4.0 com os seus autômatos conectados via rede. Percebe-se com isso que
o estado de "estar conectado" iniciou um processo que aparentemente não possui um
horizonte ainda definido, isto é, tecnologias, e também necessidades que desconhecemos,
podem surgir e dar ainda mais sentido a esse estado de "estar conectado".
Dessa forma, torna-se imprescindível conhecer como esses ecossistemas, que

nos permitem estar conectados, são suscetíveis a ataques por parte de indivíduos mal-
intencionados que exploram suas vulnerabilidades.
2 PRINCIPAIS VULNERABILIDADES ON-LINE

A existência de fatores críticos para aplicações web pode ser observada pela
lista da OWASP, com os dez riscos de segurança mais críticos para essas aplicações,
você as conheceu na Unidade 1 deste livro didático.
Há também vulnerabilidades de aplicações web menos conhecidas, mas

igualmente importantes, mostradas no Quadro 7 e também vulnerabilidades de
tecnologias específicas como as dez mais da web para a tecnologia J2EE (Java 2
Platform, Enterprise Edition) apresentadas no Quadro 8 com alguns pontos de
convergência com as dez vulnerabilidades mais críticas para aplicações on-line
apontadas pela lista da OWASP.
167
QUADRO 7 – VULNERABILIDADES DE APLICAÇÕES WEB MENOS CONHECIDAS
• PHP Object Injection • CSS History Hijacking

• Java deserialization • Path-Relative Stylesheet Import
• Expression Language Injection • Reflective File Download
• NoSQL Injection • JSONP Injection
• XML External Entities • Session fixation
• XPATH Injection • Session puzzling
• LDAP Injection • Password Reset MitM Attack
• Web Cache Deception Attack • ECB/CBC Cryptotokens
• Host Header Injection • Padding oracle attack
• HTTP Header Injection • Server Side Request Forgery
• HTTP Parameter Pollution • SMTP Command Injection
• DNS Rebinding • On Site Request Forgery
• Server Side Template Injection • Cross Site Script Inclusion (XSSI)
• CSS Injection • XSS Jacking
FONTE: Adaptado de Popescu (c2021, p. 4, tradução nossa)
QUADRO 8 – AS 10 MAIS VULNERABILIDADES DE APLICAÇÕES WEB EM J2EE
1- Entrada Não Validada

2- Estouros de Buffer
3- Falhas de Injeção
4- Cross Site Scripting
5- Tratamento Impróprio de Erros
6- Controle de Acesso Violado
7- Autenticação Quebrada e Gerenciamento de Sessão
8- Armazenamento Inseguro
9- Gerenciamento de Configuração Inseguro
10- Negação de Serviço
FONTE: Partington e Klaver (c2021, p. 4, tradução nossa)
Ao nos depararmos com uma lista como esta, mantida pela OWASP, podemos
perceber que ao se construir qualquer tipo de aplicação com foco nas tecnologias
web, devemos dar uma atenção muito especial para o componente segurança. Em
acréscimo, Luz (2011) ressalta não ser incomum que soluções de software seja aquelas
desenvolvidas para o ambiente desktop e posteriormente portadas para web, seja aquelas
desenvolvidas originalmente para essa plataforma, ignoram o requisito segurança.
Muitas são as formas capazes de facilitar ataques e comprometer a segurança

em ambientes web. Oliveira (2017) aponta que o tipo de comunicação utilizada por
uma organização pode comprometer sua segurança na forma de ameaças on-line
proporcionadas por ferramentas não homologadas como Skype, WhatsApp, MSN, entre
outros aplicativos de mensagens instantâneas alternativos, permitindo vazamento de
informações estratégicas e até mesmo fraudes.
168
Ao longo da Unidade 1 e Unidade 2 você foi apresentado a algumas instituições
que se dedicam às questões relacionadas à quebra de segurança no ambiente
computacional. Nesta subtópico especificamente, você será apresentado a algumas
outras instituições que se dedicam a avaliar quais tipos de vulnerabilidades on-line são
mais comuns e como ocorrem.
Nesse contexto, a empresa Fortinet, com a sua plataforma Threat Intelligence

Insider Latin America, fornece informações sobre as ameaças e suas tendências
relacionadas à segurança digital. Ela indica, por exemplo, que os ataques por força
bruta estão muito ativos em uma determinada região, estando entre os mais frequentes
ataques de intrusão, a exemplo do ataque SSH.Connection.Brute.Force e do SMB.Login.
Brute.Force (relativo ao suíte de programas Samba para interoperabilidade de redes
Windows com redes Linux e Unix) (FORTINET, 2019).
Outra forma de ataque está centrada no significativo número de servidores

RDP (Remote Desktop Protocol), de colaboradores que fazem de suas casas uma
extensão de seus ambientes de trabalho, nos quais ataques de força bruta são
muito direcionados para decriptar algoritmos de encriptação em busca de: senhas
fracas, senhas em e-mails, credencias de redes sociais, acessos Wi-Fi, entre outros
(FORTINET, 2019).
NOTA
A Fortinet lida com a segurança digital de grandes empresas,
provedores de serviço e organizações governamentais ao redor do
globo, contando com mais de 450.000 clientes (FORTINET, c2020).
Informações críticas sobre ameaças on-line globais podem ser obtidas a partir
do ISTR (Internet Security Threat Report, Relatório de Ameaças à Segurança na Internet),
relatório anual de segurança da Symantec (pertencente à empresa Broadcom).
O ISTR é mantido com base nos dados da Symantec Global Intelligence

Network que "[...] rastreia mais de 700 mil adversários globais, registra os eventos de
126,5 milhões de sensores espalhados pelo mundo, bloqueia 142 milhões de ameaças
diariamente e monitora as atividades das ameaças em mais de 157 países e territórios"
(ANDRION, 2019, s.p.).
Desta forma, por se tratar de uma publicação tão importante para a área de
segurança, apresentaremos na sequência alguns dados retirados dos ISTR desde
2013 até 2019, para que você possa verificar a evolução das tendências relacionadas a
ameaças e ataques on-line.
169
O ISTR apontou o ano de 2013 como o ano das megabrechas (do inglês
megabreaches) com mais de 10 milhões de identidades de usuários expostas e um
crescimento de mais de 700% em relação ao ano de 2012 (SYMANTEC, 2014). O Quadro
9 apresenta os dez tipos de informações mais violadas, apontadas no ISTR daquele ano,
enquanto a Figura 13 apresenta o aumento vertiginoso das identidades expostas de
2012 para 2013.
QUADRO 9 – DEZ PRINCIPAIS TIPOS DE INFORMAÇÕES VIOLADAS EM 2013
1) Nomes Reais
2) Datas de Nascimento
3) Números de Documentos de Identificação (Seguro Social)
4) Endereços Residenciais
5) Arquivos Médicos
6) Números de Telefones
7) Informação Financeira
8) Endereços de E-mail
9) Nomes de Usuários e Senhas
10) Seguro
FONTE: Symantec (2014, p. 12, tradução nossa)
FIGURA 13 – TOTAL DE BRECHAS E IDENTIDADES EXPOSTAS EM 2013
FONTE: Symantec (2014, p. 13)
Sobre dispositivos móveis, o ISTR daquele ano apontou um decréscimo de 69%

nas vulnerabilidades para esse tipo de plataforma (Figura 14), apesar dos dispositivos
móveis serem alvos comuns dos programas Trojan.
170
FIGURA 14 – DECRÉSCIMO DAS VULNERABILIDADES MÓVEIS
INTERESSANTE
"Cavalo de troia, trojan ou trojan-horse, é um programa que, além
de executar as funções para as quais foi aparentemente projetado,
também executa outras funções, normalmente maliciosas, e sem o
conhecimento do usuário" (CERT.BR, 2012, p. 28, grifo do autor).
No tocante a web, o relatório do ISTR apontou uma queda de 24% em novos

domínios web maliciosos como mostra a Figura 15.
FIGURA 15 – QUEDA NA QUANTIDADE DE DOMÍNIOS WEB MALICIOSOS
171
No tocante a ataques a sítios web, o ISTR apontou que em 2013 quase 67%
dos sítios web usados na propagação de malware foram identificados como legítimos e
comprometidos. Sítios de tecnologia somaram 10% dessa atividade maliciosa, com 7%
para os sítios relacionados a negócios e 5% relatados como sítios de hospedagem. Em
paralelo, 73% dos ataques baseados em navegadores foram provenientes de sítios web
usando servidores proxy na forma anônima com o restante dos ataques encontrados
em sítios de blogues envolvendo explorações de vulnerabilidades em navegadores
(SYMANTEC, 2014).
INTERESSANTE
"Atacantes geralmente precisam encontrar e explorar uma
vulnerabilidade em um sítio web legítimo para assumir o controle e
plantar seu programa malicioso dentro do mesmo" (SYMANTEC, 2014,
p. 22, tradução nossa).
A Figura 16 apresenta a porcentagem de ataques específicos visando à web,

considerando a criticidade das vulnerabilidades, além de apontar o surgimento de novas
vulnerabilidades, afetando protocolos seguros, como SSL (Secure Sockets Layer) e o
TLS (Transport Layer Security).
FIGURA 16 – VULNERABILIDADES EM SÍTIOS WEB
172
O ISTR apontou também que um dos recursos usados pelos exploradores de
vulnerabilidades foram os chamados kits de ferramentas para ataques web, como o
Blackhole. De uma maneira geral, o que os exploradores buscam é algum tipo de benefício
monetário explorando as vulnerabilidades na web, sendo bem organizados em seus
ataques e tendo posse de uma sofisticada rede de distribuição maliciosa como infraestrutura.
Com isso, eles buscam comprometer computadores, configurá-los e administrá-los para
as mais variadas atividades maliciosas, sendo também possível o aluguel desses
equipamentos comprometidos para outros criminosos digitais (SYMANTEC, 2014).
A Figura 17 apresenta os dez kits de ferramentas mais usados para a exploração de
vulnerabilidades em ataques web.
FIGURA 17 – OS 10 MAIS KITS DE FERRAMENTAS PARA ATAQUES WEB
O ISTR da Symantec (2014) conclui informando que os ataques na web,

originados com o uso de kits, foram em sua maioria de infecções a partir de
retransmissão de spam, sítios web comprometidos e malvertisments (publicidade
usada para espalhar malware).
Outra consequência dessas atividades criminosas é a capacidade de criação

de uma rede de computadores zumbis, as chamadas botnets ou "redes de robôs". Uma
rede desse tipo pode ser facilmente controlada remotamente por um servidor central
ou através do uso de redes P2P (peertopeer). As botnets representam um valioso ativo
para esses criminosos, pois a partir delas eles podem: enviar e-mails de spam, roubar
informações bancárias, conduzir ataques do tipo DDoS contra sítios web, entre outros
(SYMANTEC, 2014).
173
Um destaque positivo do ano de 2013 apontado pelo ISTR foi a queda das
vulnerabilidades dos navegadores mais populares entre os usuários da web entre os anos de
2011 e 2013, como mostra a Figura 18. Percebe-se que o navegador Opera possui a menor
quantidade de vulnerabilidades seguida pelo Safari, enquanto os navegadores Firefox e
Chrome permanecem com uma quantidade significativa nos anos de 2012 e 2013.
FIGURA 18 – QUANTIDADE DE VULNERABILIDADES NOS NAVEGADORES
INTERESSANTE
Bot é um programa que dispõe de mecanismos
de comunicação com o invasor que permitem
que ele seja controlado remotamente.
Possui processo de infecção e propagação
similar ao do worm, ou seja, é capaz de se
propagar automaticamente, explorando
vulnerabilidades existentes em programas
instalados em computadores (CERT.BR, 2012,
p. 26, grifo do autor).
No contexto das mídias sociais, com a sua consolidação como plataforma de

negócio, principalmente com o foco nos dispositivos móveis, o ISTR apontou que as
técnicas de phishing e spam migraram seus ataques dos e-mails para essas mídias
(SYMANTEC, 2014).
174
INTERESSANTE
Phishing, phishing-scam ou phishing/scam, é
o tipo de fraude por meio da qual um golpista
tenta obter dados pessoais e financeiros de um
usuário, pela utilização combinada de meios
técnicos e engenharia social. O phishing ocorre
por meio do envio de mensagens eletrônicas
[...] (CERT.BR, 2012, p. 10, grifo do autor).
A Figura 19 indica os tipos de ataques realizados contra as mídias sociais

segundo o ISTR, e são descritos como:
FIGURA 19 – ATAQUES ÀS MÍDIAS SOCIAIS EM 2013
• Fake offers: tratam-se de scams (golpes) que representam eventos falsos ou grupos
que oferecem incentivos do tipo cartões de presente grátis nos quais os usuários
compartilham suas credencias com os atacantes.
• Manual sharing: nesses scams as vítimas são induzidas a compartilhar vídeos
intrigantes, ofertas falsas ou mensagens com seus amigos.
• Like jacking: esses scams se valem de falsos botões "Like" que após clicados por
um usuário instalam algum tipo de malware no seu dispositivo, podendo inclusive
afetar algum news feed (transmissão eletrônica de notícias) do usuário, através de
uma postagem, espalhando assim o ataque.
• Fake plug-in: nesses scams um usuário é enganado ao realizar um download com
falsas extensões de navegadores em suas máquinas. Essas extensões, passando-se
por legítimas, roubam informações privadas dos usuários quando instaladas.
• Fake App: através desses scams os usuários são levados a se inscrever em aplicações
que supostamente são integradas com alguma rede social. Isso permite que o atacante se
aposse de credenciais ou outros dados pessoais dos usuários.
175
Já em 2017, o ISTR destacou a explosão dos ataques de mineração de moedas,
nos quais os criminosos aproveitaram a explosão da exploração desse novo tipo de
ativo digital (as chamadas criptomoedas). O ano de 2017 foi como uma corrida do ouro
digital, que resultou em um aumento de 8.500% nas detecções de mineradores das
criptomoedas (SYMANTEC, 2019).
A Figura 20 e a Figura 21 apresentam, respectivamente, as quantidades de

ataques web computados pelo ISTR para o período em questão. Dentre os ataques em
evidência, estão os Form jacking, que comprometem em média 4.800 sítios na web.
FIGURA 20 – QUANTIDADE DE ATAQUES WEB POR DIA
FONTE: Symanatec (2019, p. 48)
FIGURA 21 – QUANTIDADE DE ATAQUES WEB POR MÊS
A IoT e a WoT também têm destaque sendo alvos dos ataques web tendo como
foco roteadores e câmeras computando 75% e 15% dos ataques tendo o malware Mirai
se valendo de ataques de negação de serviço para esse fim (SYMANTEC, 2019).
176
INTERESSANTE
"Formjacking é quando criminosos cibernéticos injetam um código
JavaScript malicioso para obter acesso a um sítio web e assumir a
funcionalidade de página e coletar informações confidencias dos
usuários" (GORRIE, c2020, s.p., tradução nossa).
Paralelo a essa realidade as variantes de malwares com foco a plataforma móvel

continuaram a aumentar, apresentando em 2017 um crescimento de 54% comparado
com o ano anterior. Outro dado relevante do relatório foi a quantidade média dos
bloqueios de aplicações maliciosas para dispositivos móveis, que foi de 24.000 por dia,
conforme apresentado na Figura 22 (SYMANTEC, 2018).
FIGURA 22 – CRESCIMENTO DOS MALWARES COM FOCO NOS DISPOSITIVOS MÓVEIS
Symantec (2019) aponta no ISTR de 2019 um crescimento de 56% em ataques

explorando as vulnerabilidades on-line no ano de 2018; e que uma em cada dez URL
(Uniform Resource Locator) são maliciosas. A 23 apresenta o número médio de ataques
ocorridos por dia na web no ano de 2010 e a 24 apresenta a mesma média de ataques
ocorridos no ano de 2018. Perceba que em um intervalo de oito anos, tomando como
exemplo o período de menos ataques (período de março e maio de 2010 e o período de
junho de 2018), passou-se de uma quantidade aproximada de 5 milhões de ataques para
mais de 20 milhões, indicando um aumento de mais de 400% na média de ataques
utilizando a web.
177
FIGURA 23 – MÉDIA DE ATAQUES WEB POR MÊS NO ANO DE 2010
FONTE: Symantec (2011, s.p.)
FIGURA 24 – MÉDIA DE ATAQUES WEB POR MÊS NO ANO DE 2018
FONTE: Symantec (2019, s.p.)
Já no cenário nacional, preocupado com o crescimento dos ataques cibernéticos,

o governo brasileiro criou a Estratégia Nacional de Segurança Cibernética (E-Ciber). O
seu objetivo é evidenciar a importância dada à segurança on-line em conformidade
com o cenário internacional (NOGUEIRA, 2020).
A Estratégia Nacional de Segurança Cibernética (E-Ciber) [...] foi

elaborada com o objetivo principal de apresentar, para a sociedade
brasileira, os rumos que o governo federal considera essenciais para
que o País, sua sociedade e suas instituições, se tornem seguros e
resilientes no uso do espaço cibernético (BRASIL, 2019).
Brasil (2019) aponta os elementos no cenário nacional que motivaram a criação

da E-Ciber:
178
• Crescentes ameaças cibernéticas;
• Crescentes índices de crimes cibernéticos;
• Boas iniciativas em segurança cibernética, porém fragmentadas;
• Falta de alinhamento macropolítico e estratégico nas ações de segurança cibernética; e
• Baixa maturidade da sociedade em segurança cibernética.
Este subtópico tratou de apresentar as principais vulnerabilidades relacionadas

ao momento em que você está conectado à internet, utilizando o seu computador
pessoal ou o seu celular, em atividades pessoais ou profissionais. Na leitura a seguir,
apresentamos a você a forma como essas vulnerabilidades on-line podem ser aplicadas.
3 APLICAÇÃO DAS VULNERABILIDADES ON-LINE

As consequências dos perigos apresentadas pelas vulnerabilidades descritas
anteriormente são sentidas em todas as formas com que nós usamos os serviços
disponibilizados pela internet, seja de natureza profissional, pessoal ou como forma de
entretenimento.
Algumas destas aplicações e consequências dessas vulnerabilidades on-line

envolvem: o uso de kits para ataques web, KRACK (Key Reinstallations Attack), Sensitive
Data Exposure, injeção de código e Web Cache Deception Attack.
Os kits para ataques web, que se tornaram uma verdadeira sensação em 2013,
passaram por uma chamada engenharia social indo de RAT (Remote Administration
Tool) até os famigerados Creepware, um trojan de acesso remoto que permite
atacantes contralarem seu computador ou dispositivo móvel a distância (CODY, 2017).
Pesquisadores da Universidade de Nova Iorque, a Cornell Tech, e a Norton informaram
terem descoberto centenas de aplicações creepware disponíveis para a plataforma de
dispositivos móveis Android removidos pela Google (HUMPHRIES, 2020; SYMANTEC,
2014).
Contudo, também existem kits usados de maneira legítima, assim como

os programas de varredura que você estudou, em testes de penetração e detecção
de vulnerabilidades abertas para potencial exploração, usados por grupos bem-
intencionados, mas que também podem ser usados por criminosos.
179
INTERESSANTE
Os exemplos mais famosos de Creepware envolvem o uso de câmeras
e microfones de dispositivos para ver e ouvir as vítimas. Esse tipo de
spyware permite a hackers, criminosos cibernéticos ou curiosos on-line
espionarem sua família ou usar material armazenado com propósitos
ilegais (CODY, 2017).
O tipo de ataque denominado KRACK (Key Reinstallations Attack) descoberto

por pesquisadores belgas em 2017, explora vulnerabilidades no padrão WPA2 (Wi-Fi
Protected Access II), protocolo de segurança para ambientes Wi-Fi. Esta técnica permite
a um atacante invadir uma conexão do usuário para interceptar suas informações,
apossando-se do acesso das atividades dos usuários dessa rede. Dispositivos Wi-Fi
como o Echo e alguns e-readers como o Kindle, ambos produtos da Amazon, estavam
suscetíveis a esse tipo de ataque (AMAZON, 2019a).
Esse tipo de ataque pode ser qualificado na vulnerabilidade do tipo Broken

Authentication presente na lista das dez vulnerabilidades mais críticas em aplicações
web apontadas pela OWASP e que poderia ser identificada por uma varredura para
detectar pontos de acesso wireless falsos.
NOTA
Os produtos da família Echo são dispositivos, baseados na IA (Inteligência
Artificial) Alexa da Amazon, capazes de serem usados e compor o dia a dia do
usuário (caixa de som no formato de um cilindro, anel, fone de ouvido, óculos
inteligentes) (AMAZON, 2019b).
A aplicação da vulnerabilidade qualificada como um tipo de Sensitive Data

Exposure presente na lista das dez vulnerabilidades mais críticas em aplicações web
apontadas pela OWASP foi identificada no serviço do aplicativo de mídia para vídeos
curtos TikTok.
Essa vulnerabilidade garantia a criminosos uma boa maneira de se infiltrar em contas

de usuários. A vulnerabilidade é explorada através de mensagem característica enviada
pelo serviço TikTok “text yourself a link to download TikTok” (digite para você mesmo um
link para fazer o download do TikTok). Os criminosos interceptavam a mensagem original
180
modificando o hiperlink garantindo a eles ações como: adicionar ou excluir vídeos
da conta de um usuário, alterar a privacidade dos vídeos de um usuário, ou mesmo
recuperar informações privadas das contas de um usuário (e-mail, data de aniversário,
informações de pagamento, entre outras) (MURPHY, 2020).
Di Paola e Dabirsiaghi (c2020) apresentam uma forma de exploração de

vulnerabilidade baseada em injeção de código, semelhante ao SQL Injection presente
na lista das dez mais críticas da OWASP, que atua sobre as chamadas Expression
Languages (EL) a Expression Language Injection. Essa forma de exploração pode ser
usada contra frameworks como o Spring MVC JSP, que utiliza a ideia de tags HTML
suportadas pela JSTL (Java Server Pages Standard Tag Library), que incorpora em sua
implementação uma EL.
O Quadro 10 mostra um exemplo de uma injeção de código baseada em EL.

No quadro o atacante utiliza o script apresentado na coluna da direita para acessar
informações representadas na coluna da esquerda.
QUADRO 10 – EXPLORANDO VULNERABILIDADES BASEADAS EM EL
<%=HTMLEncoder.encode(((Pessoa)
<c:outvalue=”pessoa.endereco.rua”/>. pessoa).getAddress().getStreet())%>.
Esse trecho de código busca por objetos O script pode traduzir o trecho ao lado
Java representados pelos escopos e pode estar contido na codificação, por
"pessoa", "endereço" e "rua". exemplo, de uma página web referente a
alguma aplicação específica.
FONTE: Adaptado de Di Paola e Dabirsiaghi (c2020, p. 3)
Tomando como base o Quadro 10, um atacante pode "injetar" códigos maliciosos
simulando os escopos apresentados e provocar danos pessoais, ou financeiros aos
usuários da aplicação em questão.
NOTA
Spring Framework é a plataforma Java que
provê uma compreensiva infraestrutura de
suporte para o desenvolvimento de aplicações
Java. O framework trata da infraestrutura e
você mantém o foco na sua aplicação. Spring
permite que você construa aplicação a partir
dos “plainold Java objects” (POJOs) e aplicar
serviços corporativos não invasivos aos
POJOs. Essa capacidade se aplica ao modelo
de programação Java SE e ao Java EE [...]
(JOHNSON et al., c2020, tradução nossa).
181
Gil (2017) apresenta outra forma de se aplicar vulnerabilidades on-line através do
Web Cache Deception Attack. Sítios web frequentemente usam as funcionalidades
promovidas pelo uso de caches como uma forma de reduzir a latência dos servidores
web e aumentar o tempo de resposta às requisições dos usuários. O autor explica que os
artefatos que são armazenados em cache são arquivos públicos estáticos: stylesheets
(css), scripts (js), arquivos de texto (txt), imagens (png, bmp, gif), entre outros.
Esse tipo de ataque ocorre sobre um servidor que reside entre o cliente e o servidor
web, atuando como um mecanismo de cache, afetando tecnologias como frameworks
web e mecanismos de cache. Essa forma de ataque expõe informações privadas
e confidenciais de usuários, e pode evoluir para uma tomada completa de contas de
usuários (GIL, 2017; POPESCU, c2021).
O cenário da 25 apresenta a simulação da metodologia da forma de ataque em

questão e como um atacante pode usar essa vulnerabilidade para se apropriar de dados
privados de usuários.
FIGURA 25 – A METODOLOGIA DO ATAQUE WEB CACHE DECEPTION
FONTE: Adaptado de Gil (2017, p. 3)
Os passos realizados pelo atacante na Figura 26 podem ser descritos como segue:
• 1: O invasor atrai um usuário conectado para acessar: https://www.banco.com.br/

conta.do/logo.png.
• 2: O navegador da vítima requisita: https://www.banco.com.br/conta.do/logo.png.
• 3: A requisição chega ao proxy, que não está familiarizado com esse arquivo, e por
isso o solicita ao servidor web.
• 4: O servidor web retorna o conteúdo da página da conta da vítima com o código 200
(OK), significando que a URL permanece a mesma.
182
• 5: O mecanismo de cache recebe o arquivo e identifica que a URL finaliza com a extensão
estática (.png). Uma vez que o mecanismo de cache está configurado para pôr em cache
todos os arquivos estáticos e desconsiderar qualquer cabeçalho de cache, o arquivo
“.png” impostor é então posto em cache. Um novo diretório chamado banco.do é criado
no diretório de cache e o arquivo é armazenado com o nome logo.png.
• 6: O usuário recebe a página de sua conta.
• 7: O atacante acessa https://www.banco.com.br/conta.do/logo.png. A requisição
chega ao servidor proxy, que diretamente retorna a página da conta da vítima
armazenada em cache para o navegador do atacante.
Esse tópico mostrou a você a importância de conhecermos as ameaças on-

line, considerando que grande parte de nossas atividades são realizadas através de
dispositivos e equipamentos conectados ao uma rede ou a própria internet. O próximo
tópico complementará os tópicos, da Unidade 3, que abordaram os conteúdos sobre
vulnerabilidades apresentando os testes que podem ser realizados para se prevenir, ou
tentar, invadir sistemas, e aplicações, alheias.
183
RESUMO DO TÓPICO 2
• As vulnerabilidades on-line se apresentam nas mais variadas formas e objetivam os

mais variados fins.
• As vulnerabilidades on-line apresentam um foco de ataque, muitas vezes, baseadas

nas formas que se usa a tecnologia para se manter conectado à internet.
• O foco dos ataques feitos pelos criminosos cibernéticos objetiva tanto dados
pessoais privados de usuários quanto dados de grandes corporações, organizações
ou instituições.
• A divulgação das vulnerabilidades on-line por parte das corporações, organizações ou

instituições, é um mecanismo importante para que uma nova ameaça possa ser mitigada.
• Existe um conjunto de boas práticas que os usuários finais e o mundo dos negócios
corporativos e públicos podem seguir para mitigar as ameaças de ataques.
184
AUTOATIVIDADE
1 "O crescimento do trabalho remoto reacendeu o interesse dos criminosos
cibernéticos em ataques de força bruta, que são tentativas repetidas e sistemáticas
de adivinhar uma credencial, pelo envio de diferentes nomes de usuário e senhas
na tentativa de acessar um sistema" (FORTINET, 2019, p. 1, tradução nossa). Com
base nessas informações, assinale a alternativa CORRETA:
a) ( ) A descrição do ataque representa a exploração da vulnerabilidade "A3. Exposição

de Dados Sensíveis", segundo a lista da OWASP com as 10 vulnerabilidades on-
line mais críticas.
b) ( ) A descrição do ataque representa a exploração da vulnerabilidade "A1.Injeção"
segundo a lista da OWASP com as 10 vulnerabilidades on-line mais críticas.
c) ( ) A descrição do ataque representa a exploração da vulnerabilidade "A2. Quebra
de Autenticação" segundo a lista da OWASP com as 10 vulnerabilidades on-line
mais críticas.
d) ( ) A descrição do ataque representa a exploração da vulnerabilidade "A7. Cross-Site
Scripting (XSS)" segundo a lista da OWASP com as 10 vulnerabilidades on-line
mais críticas.
2 "Formjacking é projetado para roubar detalhes de cartões de crédito e outras

informações oriundas de formulários de pagamento que podem ser capturados na
finalização de um processo de pagamento de páginas de sítios web" (GORRIE, c2020,
s.p., tradução nossa). Com base nessas informações, assinale a alternativa CORRETA:
a) ( ) A descrição do ataque representa a exploração da vulnerabilidade "A7. Cross-Site

Scripting (XSS)", segundo a lista da OWASP com as 10 vulnerabilidades on-line
mais críticas.
b) ( ) A descrição do ataque representa a exploração da vulnerabilidade "A3. Exposição
de Dados Sensíveis", segundo a lista da OWASP com as 10 vulnerabilidades on-
c) ( ) A descrição do ataque representa a exploração da vulnerabilidade "A1.Injeção",
segundo a lista da OWASP com as 10 vulnerabilidades on-line mais críticas.
d) ( ) A descrição do ataque representa a exploração da vulnerabilidade "A2. Quebra
de Autenticação", segundo a lista da OWASP com as 10 vulnerabilidades on-line
mais críticas.
185
3 Existe uma classe de malware que se trata de "[...] um esquema criminoso para fazer
dinheiro que pode ser instalado através de links enganosos em mensagens de e-mail,
mensagens instantâneas ou sítios web. Essa classe tem a habilidade de travar a tela
de um computador, scripts importantes, ou arquivos predeterminados, liberando-os
através de uso de senha" (KASPERSKY, c2021, s.p. tradução nossa). Com base nessas
informações, assinale a alternativa CORRETA:
a) ( ) A descrição do ataque representa a exploração da vulnerabilidade "A2. Quebra

de Autenticação", segundo a lista da OWASP com as 10 vulnerabilidades on-line
mais críticas.
b) ( ) A descrição do ataque representa a exploração da vulnerabilidade "A9. Utilização
de Componentes Vulneráveis Conhecidas", segundo a lista da OWASP com as 10
vulnerabilidades on-line mais críticas.
c) ( ) A descrição do ataque representa a exploração da vulnerabilidade "A8.
Desserialização Insegura", segundo a lista da OWASP com as 10 vulnerabilidades
on-line mais críticas.
d) ( ) A descrição do ataque representa a exploração da vulnerabilidade "A10. Registro e
Monitorização Insuficiente", segundo a lista da OWASP com as 10 vulnerabilidades
on-line mais críticas.
4 Esse tópico apresentou o Web Cache DeceptionAttack que atua sobre frameworks
e mecanismos de cache na exploração de suas vulnerabilidades. Com base nas
informações apresentadas sobre esse ataque, assinale a alternativa CORRETA:
a) ( ) O ataque se enquadra na exploração da vulnerabilidade "A8. Desserialização

Insegura", segundo a lista da OWASP com as 10 vulnerabilidades on-line mais críticas.
b) ( ) O ataque se enquadra na exploração da vulnerabilidade "A7.Cross-Site Scripting
(XSS)", segundo a lista da OWASP com as 10 vulnerabilidades on-line mais críticas.
c) ( ) O ataque se enquadra na exploração da vulnerabilidade "A5. Quebra de Controle de
Acesso", segundo a lista da OWASP com as 10 vulnerabilidades on-line mais críticas.
d) ( ) O ataque se enquadra na exploração da vulnerabilidade "A6. Configuração de
Segurança Incorreta", segundo a lista da OWASP com as 10 vulnerabilidades on-
5 Os relatórios sobre as ameaças de segurança na internet (ISTR) apresentados nesse

tópico apresentaram uma série de ameaças pelas quais a rede passou, e passa, ao
longo dos anos. A partir disso, sobre os conceitos relacionados às vulnerabilidades
apresentadas por esses relatórios, classifique V para as sentenças verdadeiras e F
para as falsas:
186
( ) O ano de 2017 ficou conhecido como o ano das megabrechas no qual a exploração
das chamadas criptomoedas teve o seu auge.
( ) Em 2013, a exploração das chamadas criptomoedas ficou conhecido como o ano
das megabrechas.
( ) Em 2018, as tecnologias baseadas no modelo móvel mantiveram sua tendência
de crescimento com a redução das ameaças do tipo Ransomware em 33%.
( ) Em 2018, a plataforma móvel mantém a tendência de crescimento das ameaças do
tipo Ransomware, que crescem em 33% em relação ao ano anterior.

a) ( ) V – V – V – F.
b) ( ) F – V – V – V.
c) ( ) V – F – V – F.
d) ( ) V – V – F – F.
187
188
TESTES DE INVASÃO
1 INTRODUÇÃO
Caro acadêmico! Após os seus estudos sobre técnicas de varredura e de ser
apresentado à existência das vulnerabilidades on-line e como são exploradas, esta
unidade encerra os seus conteúdos abordando um tópico muito importante, mas
pouco explorado nas empresas, e até mesmo fora do radar daqueles que buscam um
diferencial profissional na área da segurança de redes: os chamados testes de invasão.
Com o que você estudou até aqui, já percebeu que dependemos, quase que em
uma totalidade, das aplicações e serviços on-line providos pela internet, mas que
vivemos, de certa forma, desprotegidos, pois podemos a qualquer momento sofrer um
ataque cibernéticos a nossa infraestrutura particular de aplicações e equipamentos, ou
um ataque que prejudique algum serviço, ou recurso, de uma aplicação ou infraestrutura
externa usada por nós – usuários finais.
Por exemplo, em 28 de setembro de 2020, a plataforma de comunicação

da Microsoft, a Microsoft Teams (direcionada ao ambiente de trabalho), apresentou
problemas de conexão com servidor, login e no próprio sítio da plataforma, deixando
usuários no mundo inteiro impossibilitados de acessar seus ambientes de trabalho on-
line. Isso não se tratou de um ataque, mas poderia ter sido, e impossibilitou que seus
usuários promovessem suas reuniões on-line (DOWNDETECTOR, c2020).
Dessa forma, uma maneira de se precaver para potenciais situações perigosas

como a supracitada, é seguir a ordem do dia "antecipe-se a potenciais eventos", mas
"e como fazer isso?". Submeta seus softwares e infraestruturas de comunicação aos
testes de invasão.
2 CONCEITO DE TESTE DE INVASÃO

Antes de você ser apresentado ao conceito de teste de invasão, vejamos
um conceito para "teste". Para a Owasp (c2021, s.p., tradução nossa) um teste é
"um procedimento com a pretensão de estabelecer a qualidade, desempenho, ou a
confiabilidade de algo, especialmente antes de ser amplamente utilizado".
189
No contexto do desenvolvimento de softwares, não é incomum que os testes
para a verificação de bugs ocorram em fases já muito avançadas dentro do Ciclo de Vida
do Desenvolvimento do Software (SDLC, Software Development Life Cycle), ou mesmo
quando o software ou aplicação web já se encontra em produção. Esta prática, além de
inadequada, incrementa os custos do desenvolvimento e pode permitir que o software
seja entregue com bugs que afetam sua segurança (OWASP, c2021).
A Figura 26 apresenta um modelo padrão de SDLC no qual fica evidente que o

custo para correção de bugs que podem afetar a segurança do software e/ou aplicação
web aumenta conforme a evolução de seu ciclo de vida, isto é, quanto mais próximo de
ser implantado, e mantido, mais caro ele se torna.
FIGURA 26 – MODELO SDLC GENÉRICO
FONTE: Adaptado de Owasp (c2021)
Além dos custos relacionados à correção de bugs de segurança em um software,

a não realização (ou realização tardia) de testes dentro do SDCL permite que tais bugs
incrementem os riscos de ocorrência de vulnerabilidades no sistema.
Em situações como esta, a linha de tempo desde a descoberta da

vulnerabilidade ocasionada por um bug de segurança até a instalação de um patch
(correção) nos sistemas afetados é considerável. É esta janela de tempo, apresentada
na Figura 27, que pode contribuir para que sistemas sejam invadidos e corrompidos
por criminosos cibernéticos.
190
FIGURA 27 – A JANELA DE UMA VULNERABILIDADE
FONTE: Adaptado de Owasp (c2021)
A partir do exposto, os pentests previnem uma descoberta tardia de potenciais

problemas, permitindo que ações de prevenção possam ser aplicadas para uma
correção, e evitar vulnerabilidades futuras (WEIDMAN, 2014).
Os pentests são definidos por Engebretson (2013, p. 1, tradução nossa) como

"[...] uma tentativa legal e autorizada para localizar, e com sucesso, explorar sistemas
de computador com o propósito de torná-los mais seguros", que Weidman (2014, p.
30) complementa "[...] envolvem a simulação de ataques reais para avaliar os riscos
associados a potenciais brechas de segurança".
Os testes de invasão possuem muitos sinônimos como: Pen testing, PT, Hacking,
Hacking Ético, Hacking Chapéu Branco, Segurança Ofensiva e Equipe Vermelha
(ENGEBRETSON, 2013). Apesar das denominações apresentadas adotaremos um termo
simplificado pentest, ou pentests, como forma de indicar um teste de penetração ou
teste de invasão.
Os pentests objetivam ter acesso irrestrito a um ambiente, ou sistema, sendo

concebidos para serem naturalmente restritos. Dessa forma, os pentests condicionam
os sistemas computacionais e seus ambientes de duas formas: eles são inquebráveis,
isto é, não suscetíveis a acessos irrestritos, ou que precisamos rever nossos parâmetros
de segurança em nossos sistemas e ambientes (OLIVEIRA, 2019).
O processo para a realização de um pentest deve detectar vulnerabilidades

que são então analisadas, comprovando-se quais delas podem ser exploradas para,
em seguida, aplicar os patches necessários e outras possíveis formas de mitigar uma
vulnerabilidade (CASTRO et al., 2018).
191
O processo desencadeado por um pentest tem a intenção de investigar
vulnerabilidades e provar que um ataque a essas vulnerabilidades é algo real. Testes
adequados sempre finalizam com recomendações específicas na identificação e
correção das questões descobertas durante o teste (ENGEBRETSON, 2013).
Vale aqui estabelecer uma relação entre os pentests e a avaliação de

vulnerabilidades. Conforme Engebretson (2013), os testes estão um passo à frente dessa
avaliação, pois simulam atividades hacker e apresentam resultados iniciais imediatos
mais concretos de uma invasão, pois simulam um ataque do mundo real. Oliveira (2019)
ratifica essa afirmação quando esclarece que um teste de vulnerabilidade verifica o que
potencialmente pode estar errado com as configurações de segurança de um ambiente
organizacional e seus sistemas, já um pentest é um mecanismo invasivo com o objetivo
de quebrar barreiras de segurança implementadas nesses ambientes e sistemas.
As afirmações supracitadas são confirmadas por Weidman (2014) ao

esclarecer que pentests (em oposição a uma avaliação de vulnerabilidade) além de
identificar potenciais vulnerabilidades, que poderiam ser exploradas por criminosos,
exploram tais vulnerabilidades, dentro das possibilidades de segurança, para avaliar
o que um atacante poderia obter com uma invasão bem-sucedida.
Para que seja realizado, um pestest é empregado por uma organização através
de colaborador interno, ou uma entidade externa. Nos dois casos sua condução significa
que os pentesters pesquisam, avaliam e testam a segurança organizacional aplicando
técnicas, táticas e ferramentas que um hacker malicioso usaria (ORIYANO, 2017).
O teste de invasão corresponde à metodologia, ao processo e aos

procedimentos usados pelos pentesters, de acordo com diretrizes
específicas e aprovadas, na tentativa de burlar as proteções de um
sistema de informação, incluindo anular os recursos de segurança
integrados do sistema. Esse tipo de teste está associado à avaliação
das configurações e dos controles técnicos, administrativos e
operacionais de um sistema (BROAD; BINDNER, 2013, p. 19).
NOTA
Um pentester é o chamado hacker ético, aquele especialista que executa um
pentest de maneira legal. Ele combina conhecimento sobre como os sistemas
são projetados, criados e mantidos, com habilidades que incluem a descoberta
de maneiras criativas de evitar os mecanismos de defesa de um sistema ou
ambiente. Esse profissional é fundamental para identificar, e demonstrar, a
seriedade, e solidez, da postura de uma empresa no tocante à segurança de
suas informações, clientes e parceiros (WEIDMAN, 2014).
192
Assim, a discussão sobre os objetivos de execução de um pentest, envolvendo
aspectos profissionais e morais, posiciona o executor do teste de três formas
(VANGLLER, 2017):
• White hat (chapéu branco): qualificados como "hackers éticos", muitas vezes
profissionais pagos, ou contratados, que atuam em empresas como especialistas em
segurança com o intuito de expor falhas de segurança, aplicando técnicas de invasão.
Assim, eles atuam em conformidade com as exigências legais da organização.
• Black hat (chapéu preto): tratam-se de indivíduos que com sólidos conhecimentos
de invasão de redes de computadores, são criadores dos chamados malwares. São
motivados, geralmente, por ganhos pessoais e financeiros ilícitos e que podem ainda estar
envolvidos com espionagem cibernética. Podem ser amadores quando, por exemplo, são
responsáveis por espalhar malwares, ou experientes com o intuito de lesar os usuários na
forma de roubo de dados, como informações financeiras, pessoais ou credenciais de login.
• Grey hat (chapéu cinza): representam uma mescla entre os dois tipos anteriores e podem
atuar na busca de falhas de segurança sem o conhecimento prévio de uma empresa, ou
proprietário de um sistema, e depois cobrar algum retorno financeiro. Eles vivem em um
limbo, pois não são necessariamente maliciosos, porém diferentemente dos white hat são
considerados ilegais por parte da comunidade.
Quando você estudou as técnicas de varredura foram levantadas questões

legais sobre o uso de scanners, e para a aplicação dos testes de penetração também
existe essa preocupação uma vez que nesses tipos de testes existe o contexto de como
eles serão usados, isto é, sua autorização para uma execução. Engebretson (2013)
esclarece que se existe uma prévia autorização por parte de quem sofrerá o teste está
estabelecido o conceito de white hat (chapéu branco), caso contrário existe a ideia do
black hat (chapéu preto).
IMPORTANTE
Autorização é o processo de obter
aprovação antes da condução de
qualquer teste ou ataque. Uma vez obtida,
o testador e a companhia que está sendo
auditada precisam concordar sobre o
escopo do teste. Ele inclui informações
específicas a respeito dos recursos e
sistemas incluídos no teste. O escopo,
explicitamente, define a autorização dos
alvos para a o testador. É importante
que ambas as partes compreendam
totalmente a autorização e o escopo do
PT. Chapéus brancos precisam sempre
respeitar a autorização e se manter dentro
do escopo do teste (ENGEBRETSON, 2013,
p. 3, tradução nossa).
193
Wilhelm (2010) alerta para a atenção que devemos ter no tocante aos dados
dos usuários quando da realização de um pentest, uma vez que o seu executor obterá
acesso a esses dados. Os meios defendidos pelo autor envolvem encriptação de dados
(garantindo sua confidencialidade), hashing de dados (com o intuito de garantir sua
integridade). Ele também aponta para a própria segurança do teste em si, o uso de
discos rígidos encriptados e seguros, com os sistemas situados em um local físico com
acesso digital e físico controlado, para garantir a segurança do ambiente.
A segurança da rede Wi-Fi também representa um ponto de preocupação, uma

vez que o executor do teste também precisará ganhar acesso à rede. Se houver a
necessidade de envolver os pontos de acesso Wi-Fi no teste, o melhor é que o acesso
wireless seja limitado e usado somente quando necessário, uma vez que um risco
adicional é criado com a possibilidade da intercepção de dados sensíveis dos usuários
(WILHELM, 2010).
IMPORTANTE
Em muitos casos, um teste de penetração
representa o mais agressivo tipo de
teste que pode ser realizado em uma
organização. [...] Os clientes muitas vezes
não entendem isso totalmente, embora
o pen teste esteja sendo conduzido por
uma parte benevolente, ele ainda envolve
algum nível de risco, incluindo realmente
travamento de sistemas ou causando
algum dano (ORIYANO, 2017, p. 63,
tradução nossa).
2.1 ETAPAS DE UM TESTE DE INVASÃO

Pode-se pensar em um pentest como um processo que pode ser particionado em
uma série de passos ou fases que, quando postos juntos, criam uma metodologia abrangente.
A vantagem desses passos é tornar o processo mais gerenciável e mais direcionado, conforme
a profundidade de defesa que se pretende testar (ENGEBRETSON, 2013).
Os passos para a aplicação de um pentest apresentados neste Livro didático

compreendem, segundo Engebretson (2013), as seguintes etapas: (1) reconhecimento, (2)
escaneamento, (3) exploração, e (4) pós-exploração e manutenção de acesso. A Figura 28
apresenta uma relação entre as etapas apresentadas para a realização de um pentest.
194
FIGURA 8 – METODOLOGIA PENTEST
FONTE: Adaptado de Engebretson (2013, p. 14)
A metáfora de um triângulo invertido é aplicada para indicar etapas mais amplas

de etapas mais específicas que, conforme vão avançando, produzem detalhes mais
específicos sobre o sistema, ou ambiente, que está sendo testado. Dessa forma, nós nos
movemos de informações amplas e abrangentes para aquelas mais pontuais e específicas.
A metáfora supracitada casa perfeitamente com a proposta da Figura 29,

que apresenta uma abordagem de defesa em profundidade em um ambiente de
rede, corporativo ou mesmo pessoal, no qual nos níveis mais externos encontram-
se infraestruturas de rede (aos quais se aplicariam as etapas de Reconhecimento e
Escaneamento com a obtenção de informações mais amplas) e nos níveis mais internos
aplicações e mais o sistema operacional (aos quais se aplicariam as etapas de Exploração
e pós-exploração, obtendo-se detalhes específicos). Rodríguez (2018 apud Castro et al.,
2018) explica que cada nível afeta determinados recursos e é responsável em anular ou
mitigar potenciais ameaças a esses recursos.
FIGURA 29 – NÍVEIS DE DEFESA EM PROFUNDIDADE
FONTE: Adaptado de Castro et al. (2018, p. 111)
195
A partir de um outro ponto de vista, a Figura 30 apresenta a metodologia das etapas
de um pentest na forma de um processo cíclico. Isso indica que o produto produzido
pela etapa de pós-exploração do processo pode alimentar a etapa de reconhecimento
em um processo repetitivo.
FIGURA 30 – REPRESENTAÇÃO CÍCLICA PARA A METODOLOGIA PENTEST EM QUATRO ETAPAS
FONTE: Adaptado de Engebretson (2013, p. 16)
Vejamos agora detalhes sobre as etapas da metodologia pentest apresentadas

(ENGEBRETSON, 2013):
1- Reconhecimento: ao final de um reconhecimento profundo essa etapa nos fornece

uma lista de endereços IP que podem passar por um processo de scan (lembre-se do
Tópico 1).
2- Escaneamento: essa etapa executa duas subetapas: um escaneamanto de portas
que, uma vez finalizado, apresenta um conjunto de portas abertas, que em seguida
são verificadas para a existência de potenciais vulnerabilidades.
3- Exploração: nesse ponto, nós sabemos quais portas estão abertas,
consequentemente, sabemos quais aplicações estão sendo executadas nessas
portas e, é claro, quais vulnerabilidades estão associadas a essas aplicações. Com
isso em mãos, a etapa de Exploração dá início aos nossos ataques. Nesse ponto, a
exploração pode envolver o uso de técnicas, ferramentas e códigos maliciosos para
simular um hacking “real”, isto é, uma tomada de recursos e serviços de forma não
autorizada de maneira real.
4- Pós-exploração e Manutenção de Acesso: nessa etapa, a carga de informação
temporária gerada pela etapa de exploração permite somente um acesso temporário
ao sistema, uma vez que a maioria dessas cargas são transientes. Dessa forma, deve-
se avançar logo para a pós-exploração a fim de criar um backdoor mais permanente
no sistema para análise. Isso é necessário para o acesso administrativo de que temos
posse, e foi necessário para que a aplicação do teste sobreviva ao fechamento de
programas e até mesmo a reinicializações do sistema. Essa fase é muito delicada, pois
por ética, deve-se ter muito cuidado com o uso e implementação das informações
geradas por ela. A criticidade, e quão delicada é essa fase é demonstrada pelo fato
do uso de mecanismos como backdoors e controle remoto de softwares.
196
Em complemento, Weidman (2014) apresenta algumas formas de exploração
que podem ser aplicadas na etapa de Exploração:
• Exploração de falhas: uso de exploits em vulnerabilidades descobertas para obter

acesso aos sistemas, ou ambientes, alvos dos testes.
• Ataques a senhas: o uso de senhas tende a oferecer pouca resistência em sua
quebra, pois apesar de sistemas apresentarem patches, técnicas de criptografias, uso
de hashing, entre outros mecanismos, usuários não podem ser corrigidos através
desses mesmos mecanismos.
• Exploração de falhas do lado do cliente: troca-se o alvo, que normalmente é um
computador, uma porta, ou um serviço qualquer, mas precisamos atacar algo dentro
do perímetro de uma empresa, pode-se investir em softwares locais como alvo em
um sistema, ou seja, softwares que não estão ouvindo uma porta.
NOTA
“Embora não incluído como um passo formal na metodologia de teste de
penetração, a atividade final (e sem dúvida o mais importante) de um PT é o
relatório” (ENGEBRETSON, 2013, p. 17, tradução nossa).
Para mais informações sobre testes de invasão, visite o

PenetrationTestingExecution Standard (PTES): http://www.pentest-standard.
org/index.php/Main_Page.
3 TIPOS DE TESTE DE INVASÃO

Um pentest cobre um espectro considerável considerando um ecossistema
organizacional que varia de empresa para empresa. Uma lista sobre os itens que podem
ser alvo de um pentest é apresentada por Oriyano (2017): aplicações; infraestrutura de
TI; dispositivos de rede; links de comunicação; segurança física; e questões psicológicas
e de política.
IMPORTANTE
A pergunta "o que testar?", apresentada por Owasp (c2021), aponta
como os itens de teste pessoas, processos e tecnologia, está em
conformidade com a lista de itens supracitados da qual se espera
serem submetidos a pestests.
197
NOTA
“Embora não incluído como um passo formal na metodologia de teste de
penetração, a atividade final (e sem dúvida o mais importante) de um PT é o
relatório” (ENGEBRETSON, 2013, p. 17, tradução nossa).
Para mais informações sobre testes de invasão, visite o

PenetrationTestingExecution Standard (PTES): http://www.pentest-standard.
org/index.php/Main_Page.
Por exemplo, algumas empresas possuem maturidade maior do que outras

em se tratando de segurança, assim um pentester pode ser responsável pelo teste de
aplicações web, além de precisar realizar ataques de engenharia social. Outros testes
podem exigir que você assuma o papel de funcionário malicioso na aplicação de um teste
interno, enquanto que empresas podem solicitar um teste de invasão externo através
da internet, isso sem falar nos testes envolvendo as redes Wi-Fi e os equipamentos
físicos de comunicação (WEIDMAN, 2014).
Os exemplos citados mostram a você quão importante é uma definição de

escopo para a aplicação de um pentest, uma vez que envolvem, praticamente, todos os
ativos tecnológicos de uma organização e os seus colaboradores. Vejamos agora alguns
tipos pentests.
Oliveira (2019) indica que os testes podem ser realizados de duas formas:
1- Internamente: realizados internamente, do lado de dentro da organização, nos

ativos internos (computadores, servidores, entre outros) da empresa.
2- Externamente: realizados através da internet, isto é externamente, com o intuito de
acessar os ativos internos de uma empresa (recursos, serviços, entre outros).
É importante mencionar que na literatura especializada não há uma tipificação

clara e definitiva sobre os pentests, sendo assim, optou-se por agrupar os tipos de
pentests em três grupos conforme a avaliação das referências pesquisadas:
1- De acordo com as formas que descrevem como um executor de um pentest pode ser
percebido, ou seja, internamente ou externamente.
2- De acordo com o tipo de ataque, ameaça ou falha, a que uma rede ou algum de seus
recursos, ou serviços, são submetidos.
3- De acordo com os ativos organizacionais (arquitetura de rede, administração do
sistema, e aplicações e bancos de dados).
Os testes desses agrupamentos são apresentados na sequência.
198
3.1 TESTE WHITE BOX (CAIXA BRANCA)
Neste tipo de teste, o administrador da rede repassa ao profissional executor
do pentest informações importantes como topologia da rede, estrutura física, marca
dos equipamentos e vulnerabilidades não resolvidas, para que ele direcione a busca de
forma a identificar potenciais riscos e tornar o teste mais objetivo (STAMP, 2011 apud
OLIVEIRA, 2019).
Trata-se de um teste "aberto", completo e abrangente. O teste objetiva examinar

cada "fresta e canto" de um sistema ou de uma rede e o seu valor para uma organização
reside no fato de cobrir sua segurança geral. Por abrir mão de subterfúgios em prol da
eficácia é capaz de identificar mais vulnerabilidades, por outro lado possui a desvantagem
de não simular, de modo mais acurado, modernos ataques mais especializados. Isso se
dá devido ao fato de o especialista não ser uma figura "furtiva", mas sim conhecida, o
que impede também que a organização teste sua resposta a incidentes ou sistemas de
alerta antecipado (ENGEBRETSON, 2013).
3.2 TESTE GRAY BOX (CAIXA CINZA)

Nesse teste, o conhecimento do pentester é limitado, podendo envolver
conhecimentos sobre o sistema operacional e outros dados do ambiente. O teste, por
exemplo, pode fornecer informações sobre recursos críticos, porém sem a permissão de
acessar esses recursos.
O objetivo de um teste do tipo grey box é obter o conhecimento antecipado sobre

alguns recursos-chave que podem se visualizados e fazê-los de alvo. Dessa forma,
assim que esses recursos alvo são encontrados o pentester é informado para parar o
teste e reportar suas descobertas à organização (ORIYANO, 2017).
3.3 TESTE BLACK BOX (CAIXA PRETA)

Trata-se do tipo de teste mantido em "segredo" e emprega uma estratégia
significativamente diferente dos demais testes. Trata-se de uma simulação mais realística da
forma como um especialista malicioso tentaria ganhar acesso aos recursos de um sistema
ou de uma rede. O teste tem apenas um alvo específico, e como é muito direcionado tem a
capacidade de identificar vulnerabilidades furtivas.
O teste do tipo black box representa um modelo de ataque muito mais próximo
de simular um ataque nascido no mundo real, muito mais discreto, furtivo, e praticado
por habilidosos especialistas maliciosos. Sua grande vantagem, que configura a
desvantagem do teste white box, é permitir que uma organização teste sua resposta a
incidentes ou sistemas de alerta antecipado (ENGEBRETSON, 2013).
199
3.4 ENGENHARIA SOCIAL
É notório, e até mesmo um consenso, de que o usuário final dos sistemas
computacionais é uma vulnerabilidade em carne e osso, pois não possui patches,
ou coisas do tipo. De nada adiantam controles altamente sofisticados aplicados às
tecnologias se um colaborador pode ser convencido a fornecer informações sensíveis
da empresa a terceiros. Por exemplo, o famoso hacker Kevin Mitnick explorou falhas
ao entrar em prédios e convencer seguranças de que ele tinha permissão para estar lá
(WEIDMAN, 2014).
Ao fazer isso, ele aplicou o que hoje se chama de ataque de engenharia social.
Esse tipo de ataque pode envolver requisitos técnicos complexos ou mesmo, nenhuma
tecnologia. Sua finalidade é a exploração das vulnerabilidades humanas como: um desejo
de ser prestativo, a falta de conscientização a respeito de políticas de segurança e assim
por diante, sendo que tais ataques (WEIDMAN, 2014).
3.5 HACKING DE DISPOSITIVOS MÓVEIS

A frase BYOD (Bring your own device), traga o seu próprio dispositivo) é uma
máxima no mundo corporativo e pessoal que vem ganhando cada vez mais força
em nossa realidade cotidiana. Começamos levando nossos notebooks e laptops para as
empresas, estendemos aos consoles de jogos e agora os dispositivos móveis acompanham,
virtualmente, todo indivíduo que atua em uma organização. Essa gama de dispositivos
fornece todo o insumo necessário para o desenvolvimento de novas técnicas de ataques
a essa classe de dispositivo.
NOTA
Se você quiser se aprofundar e se especializar no mundo da segurança
cibernética, existem certificações que podem ser realizadas oferecidas pelo
(ISC)2 (International Information Systems Security Certification Consortium).
Mais detalhes sobre as certificações visite https://www.isc2.org/.
200
LEITURA
COMPLEMENTAR
GUIA DE REFERÊNCIA DO NMAP (PÁGINA DO MANUAL)
Nome
nmap — Ferramenta de exploração de rede e segurança / scanner de portas
Sinopse
nmap [ <Tipo de Scan> ...] [ <Opções> ] { <especificação do alvo> }
Descrição
NOTA
Este documento descreve o Nmap versão 4.00. A documentação mais
recente está disponível em inglês em https://nmap.org/book/man.html.
O Nmap (“Network Mapper”) é uma ferramenta de código aberto para exploração

de rede e auditoria de segurança. Ela foi desenhada para escanear rapidamente redes
amplas, embora também funcione muito bem contra hosts individuais. O Nmap utiliza
pacotes IP em estado bruto (raw) de maneira inovadora para determinar quais hosts estão
disponíveis na rede, quais serviços (nome da aplicação e versão) os hosts oferecem,
quais sistemas operacionais (e versões de SO) eles estão executando, que tipos de filtro
de pacotes/firewalls estão em uso, e dezenas de outras características. Embora o Nmap
seja normalmente utilizado para auditorias de segurança, muitos administradores de
sistemas e rede consideram-no útil para tarefas rotineiras tais como inventário de rede,
gerenciamento de serviços de atualização agendados, e monitoramento de host ou
disponibilidade de serviço.
A saída do Nmap é uma lista de alvos escaneados, com informações adicionais

de cada um dependendo das opções utilizadas. Uma informação chave é a “tabela de
portas interessantes”. Essa tabela lista o número da porta e o protocolo, o nome do
serviço e o estado. O estado pode ser aberto (open), filtrado (filtered), fechado (closed),
ou não filtrado (unfilterd). Aberto (open) significa que uma aplicação na máquina-alvo
201
está escutando as conexões/pacotes naquela porta. Filtrado (filtered) significa que o
firewall, filtro ou outro obstáculo de rede está bloqueando a porta de forma que o Nmap
não consegue dizer se ela está aberta (open) ou fechada (closed). Portas fechadas
(closed) não possuem uma aplicação escutando nelas, embora possam abrir a qualquer
instante. Portas são classificadas como não filtradas (unfiltered) quando elas respondem
às sondagens do Nmap, mas o Nmap não consegue determinar se as portas estão
abertas ou fechadas. O Nmap reporta as combinações aberta/filtrada (open|filtered) e
fechada/filtrada (closed|filtered) quando não consegue determinar qual dos dois estados
descrevem melhor a porta. A tabela de portas também pode incluir detalhes de versão
de software quando a detecção de versão for solicitada. Quando um scan do protocolo
IP é solicitado (-sO), o Nmap fornece informações dos protocolos IP suportados ao invés
de portas que estejam abertas.
Além da tabela de portas interessantes, o Nmap pode fornecer informações

adicionais sobre os alvos, incluindo nomes de DNS reverso, possível sistema operacional,
tipos de dispositivos e endereços MAC.
Um scan típico do Nmap é mostrado em Exemplo 1, “Uma amostra de scan do

Nmap”. Os únicos argumentos que o Nmap utiliza nesse exemplo são -A, para habilitar a
detecção de SO e a versão, -T4 para execução mais rápida, e os hostnames de dois alvos.
Exemplo 1:
UMA AMOSTRA DE SCAN DO NMAP
A versão mais nova do Nmap pode ser obtida em https://nmap.org/. A versão

mais nova da página do manual está disponível em https://nmap.org/man/.
FONTE: <https://nmap.org/man/pt_BR/index.html#man-description>. Acesso em: 22 out. 2020.
202
RESUMO DO TÓPICO 3
• O ideal é que qualquer software, ou dispositivo de hardware, sejam submetidos a

pentests durante a sua fase de desenvolvimento.
• Existem vários tipos de pentests aplicados conforme o ativo organizacional que se

deseja testar.
• Os pentests podem ser benéficos, ou prejudiciais, a um sistema ou infraestrutura

organizacional dependendo das características do indivíduo que está aplicando esses
testes.
• Existem aspectos legais associados à execução de um pentest.
• Existe diferença entre uma análise, ou avaliação, de vulnerabilidade e a aplicação de

um pentest.
• Pentests podem ser altamente agressivos e intrusivos para o ambiente de uma organização
e que por essa razão, os dados dos seus usuários (e a própria infraestrutura organizacional)
deve ser preservada durante a execução de pentests.
• Existem certificações que podem ajudar profissionais a direcionar suas carreiras como
profissionais especializados na aplicação de pentests.
203
AUTOATIVIDADE
1 Um pentest pode ser motivado por razões diferentes que envolvem aspectos legais,
profissionais, e até mesmo morais, e sua execução posiciona quem o aplica em três
situações diferentes. Sobre as motivações para a aplicação dos pentests, classifique
V para as sentenças verdadeiras e F para as falsas:
( ) Trata-se de uma prevenção usada para auxiliar na segurança de computadores e

redes contra potenciais ataques.
( ) A ideia geral dos testes é definir aspectos de segurança sem a utilização das
mesmas ferramentas e técnicas que um atacante.
( ) Uma das formas de se diferenciar um hacker ético e aquele com intenções
maliciosas é examinando a sua motivação para efetuar um ataque.
( ) Não há formas de se diferenciar um hacker ético e aquele com intenções maliciosas
já que ambos têm alguma motivação para efetuar um ataque.

a) ( ) V – V – V – F.
b) ( ) F – V – V – V.
c) ( ) V – F – V – F.
d) ( ) V – V – F – F.
2 Testes de penetração podem ser realizados pelas mais variadas motivações, inclusive de
ordem pessoal. Os testes quando realizados dentro de parâmetros legais e profissionais
são posicionados como objetos não criminosos, porém quando executados fora desses
parâmetros tendem a objetivar dolo de alguma natureza, de qualquer forma, sua
execução posiciona quem o aplica em três situações diferentes. Tendo como premissa
o papel de quem aplica um pentest, analise as sentenças a seguir:
I- A menção hacker costuma provoca impressões negativas quando proferida, porém

é importante saber existem "tipos" de hackers que não são motivados por intenções
maliciosas.
II- Sem ação dos chamados hackers White Hat na busca ativa por ameaças,
e vulnerabilidades, antes que os chamados Black Hat possam explorá-las,
provavelmente geraria mais atividade cibernética criminosa.
III- Sem ação dos chamados hackers Gray Hat na busca ativa por ameaças, e
vulnerabilidades, antes que os chamados Black Hat possam explorá-las,
provavelmente geraria mais atividade cibernética criminosa.
IV- A menção hacker costuma provoca impressões negativas quando proferida e ela
tem sentidos uma vez que apesar da existência de "tipos" de hackers que não são
motivados por intenções maliciosas.
204
d) ( ) As sentenças II e III estão corretas.
3 Aplicação de técnicas de varredura, aplicação de pentests, entre outros tipos de

"intrusões" normalmente esbarram em aspectos legais para a sua aplicação, uma
vez que expõe sistemas, dados, e infraestruturas de tecnologias privadas. Sobre
os aspectos legais para a aplicação dos pentests, classifique V para as sentenças
verdadeiras e F para as falsas:
( ) Nenhum tipo de autorização é necessário por parte de que será submetido a um

teste, uma vez que uma empresa, ou organização, está sempre ciente da aplicação
de um pentest.
( ) Uma autorização verbal é desejável e suficiente da parte submetida ao teste, como
forma da mesma estar ciente da aplicação do teste.
( ) Para terceiros contratados, a assinatura de um contrato é suficiente para transmitir
e fazer cumprir a permissão para a ação de aplicação do teste.
( ) Teste internos podem ser justificados com o envio de um e-mail, a assinatura de
papéis garantindo a aplicação do teste, ou mesmo ambos.

a) ( ) V – V – V – F.
b) ( ) V – V – F – F.
c) ( ) V – F – V – F.
d) ( ) F – F – V – V.
4 A execução de um pentest pode ser considerado um processo, pois ocorre dentro

de algumas etapas ou fases. Quando essas etapas são organizadas de uma maneira
lógica e coerente, criam-se as condições necessárias para que um pentest possa ser
aplicado e completado. Com base nessas informações, assinale a alternativa CORRETA:
a) ( ) A aplicação da metodologia de um pentest é organizada em cinco etapas.

b) ( ) A primeira etapa da metodologia é considerada pouco ampla e, em algumas
situações, pode ser suprimida.
c) ( ) Cada uma das etapas representa um marco pontual que não podem ser
quebradas em outras atividades.
d) ( ) A primeira etapa da metodologia é considerada a mais ampla e responsável por
coletar o maior número de informações buscadas em profundidade que podem
conduzir a interpretações mais específicas sobre a necessidade do tipo de teste
que será aplicado, por essa razão ela não pode ser ignorada.
205
5 Um ambiente organizacional é constituído por uma miríade de elementos, como
ecossistemas de redes, aplicações que usam as mais variadas tecnologias e o
elemento humano que atua sobre esses ecossistemas catalisando essas tecnologias.
Por essa razão, existem os mais variados tipos de pentests que podem ser aplicados
em um ambiente organizacional. Sobre os tipos de pentests, classifique V para as
sentenças verdadeiras e F para as falsas:
( ) A aplicação de um tipo de pentest considera o tipo de ativo organizacional que se deseja

testar como: aplicações, infraestrutura de TI e até mesmo de cunho humano psicológico.
( ) Em testes do tipo White Box o responsável por aplicá-lo detém várias informações sobre
o ambiente de rede, estrutura da organização e aplicações de software envolvidas.
( ) Testes do tipo Gray Box contêm as simulações mais realísticas nas quais um atacante
especializado poderia tentar ganhar acesso aos sistemas e a rede de uma organização.
( ) Testes do tipo Black Box contêm as simulações mais realísticas nas quais um atacante
especializado poderia tentar ganhar acesso aos sistemas e a rede de uma organização.

a) ( ) V – V – F – V.
b) ( ) V – V – F – F.
c) ( ) V – F – V – F.
d) ( ) F – F – F – V.
206
REFERÊNCIAS
AMAZON echo e kindle são vulneráveis a ataques cibernéticos. Olhar Digital. 2019a.
Disponível em: https://olhardigital.com.br/noticia/amazon-echo-e-kindle-sao-
vulneraveis-a-ataques-ciberneticos/93777. Acesso em: 25 jan. 2021.
AMAZON anuncia novidade para a linha Echo. Olhar Digital. 2019b. Disponível
em: https://olhardigital.com.br/video/amazon-anuncia-novidade-para-a-linha-
echo/90807. Acesso em: 24 nov. 2020.
ANDRION, R. Brasil é o terceiro país mais infectado por spams, diz relatório da
Symantec. Olhar Digital. 2019. Disponível em: https://olhardigital.com.br/2019/02/28/
seguranca/brasil-e-o-terceiro-pais-mais-infectado-por-spams-diz-relatorio-da-
symantec/. Acesso em: 24 dez. 2020.
BRASIL. Gabinete de Segurança Institucional. Departamento de Segurança da

Informação. Estratégia nacional de segurança cibernética (E-Ciber). 2019.
Disponível em: http://dsic.planalto.gov.br/noticias/estrategia-nacional-de-seguranca-
cibernetica-e-ciber. Acesso em: 25 jan. 2021.
BROAD, J.; BINDNER, A. Hacking com Kali Linux: técnicas práticas para testes de
invasão. São Paulo: Novatec, 2013. Disponível em: https://docplayer.com.br/2292571-
James-broad-andrew-bindner.html. Acesso em: 22 set. 2020.
CASTRO, M. I. R. et al. Introducción a la seguridad informática y el análisis de

vulnerabilidades. Alicante: 3Ciencias, 2018.Disponível em: https://www.3ciencias.com/wp-
content/uploads/2018/10/Seguridad-inform%C3%A1tica.pdf. Acesso em: 27 nov. 2020.
CERT.BR. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no

Brasil.Cartilha de segurança para internet: versão 4.0. São Paulo: Comitê Gestor
da Internet no Brasil, 2012. Disponível em: https://cartilha.cert.br/livro/cartilha-
seguranca-internet.pdf. Acesso em: 10 out. 2020.
CODY, B. Creepware: is someone watching you? 2017. Disponível em: https://uk.norton.

com/norton-blog/2017/03/creepware_is_someon.html. Acesso em: 13 nov. 2020.
DI PAOLA, S.; DABIRSIAGHI, A. Expression language injection. c2020.

Disponível em: https://mindedsecurity.com/wp-content/uploads/2020/10/
ExpressionLanguageInjection.pdf. Acesso em: 24 nov. 2020.
DOWNDETECTOR. Problemas em Microsoft Teams. c2020. Disponível em: https://

downdetector.com.br/fora-do-ar/teams/noticias/338467-problemas-em-microsoft-
teams/. Acesso em: 8 dez. 2020.
207
ENGEBRETSON, P. The basics of hacking and penetration testing: ethical
hacking and penetration testing made easy. 2. ed. Waltham: Elsevier, 2013.
Disponível em: https://www.pdfdrive.com/the-basics-of-hacking-and-penetration-
testing-e38400471.html. Acesso em: 3 dez. 2020.
FORTINET. About us. c2020. Disponível em: https://www.fortinet.com/corporate/

about-us/about-us. Acesso em: 30 out. 2020.
FORTINET. The threat intelligence insider Latin America: executive summary q2-
2020. 2019. Disponível em: https://www.fortinetthreatinsiderlat.com/en/Q2-2020/BR/
pdf/trends?type=pdf. Acesso em: 30 set. 2020.
GIL, O. White paper: web cache deception attack. 2017. Disponível em: https://www.
blackhat.com/docs/us-17/wednesday/us-17-Gil-Web-Cache-Deception-Attack-wp.
pdf. Acesso em: 24 nov. 2020.
GORRIE, M. What is form jacking and how does it work? c2020. Disponível em:
https://us.norton.com/internetsecurity-emerging-threats-what-is-formjacking.html.
HERZOG, P. OSSTMM 3: the open source security testing methodology manual:

comtemporary security testing and analysis. [s.l]: ISECOM, 2010. Disponível em: https://
www.isecom.org/OSSTMM.3.pdf. Acesso em: 10 out. 2020.
HUMPHRIES, M. New algorithm discovers hundreds of android 'creepware' apps.

2020. Disponível em: https://www.pcmag.com/news/new-algorithm-discovers-
hundreds-of-android-creepware-apps. Acesso em: 13 nov. 2020.
JOHNSON, R. et al. Introduction to spring framework: part i. overview of spring

framework. c2020. Disponível em: https://docs.spring.io/spring-framework/docs/3.2.x/
spring-framework-reference/html/overview.html. Acesso em: 24 nov. 2020.
KASPERSKY. What is ransomware? c2021. Disponível em: https://www.kaspersky.com/

resource-center/definitions/what-is-ransomware. Acesso em: 3 nov. 2020.
KUROSE, J. F.; ROSS, K. W. Redes de computadores e a internet: uma abordagem

top-down. 5. ed. São Paulo: Addison Wesley, 2010. Disponível em: https://www.
academia.edu/22391313/Redes_de_Computadores_e_a_Internet_Kurose_5ed.
LUZ, H. J. F. Análise de vulnerabilidade em java web application. 29 nov. 2011. 64 f.

(Monografia) Centro Universitário Eurípides de Marília – UNIVEM, Marília: 2011. Disponível
em: https://aberto.univem.edu.br/bitstream/handle/11077/368/An%c3%a1lise%20de%20
Vulnerabilidades%20em%20Java%20Web%20Applications.pdf?sequence=1&isAllowed=y.
Acesso em: 25 set. 2020.
208
LYON, G.F. Nmap network scanning: official Nmap project guide to network Discovery
and security scanning. Sunnyvale: Insecure; Com LLC, 2008.
MELO, S. Exploração de vulnerabilidades em redes TCP/IP. 3. ed. Rio de Janeiro:

Alta Books, 2017. Disponível em: https://books.google.com.br/books?id=JCXbDgAA
QBAJ&pg=PA106&dq=tipos+de+vulnerabilidades&hl=pt-BR&sa=X&ved=2ahUKEwjc
mKWGyf3rAhXpH7kGHWrhA4AQ6AEwAXoECAQQAg#v=onepage&q=tipos%20de%20
vulnerabilidades&f=false. Acesso em: 22 set. 2020.
MURPHY, D. How to prevent hacks like the tik tok breach. 2020. Disponível
em: https://lifehacker.com/how-to-prevent-hacks-like-the-tiktok-breach-
1840875110?utm_source=lifehacker_twitter&utm_campaign=socialflow_lifehacker_
twitter&utm_medium=socialflow. Acesso em: 1ᵒ out. 2020.
NMAP.ORG. Nmap network scanning: detecção de serviço e versão. c2021. Disponível

em: https://nmap.org/man/pt_BR/man-version-detection.html. Acesso em: 10 out. 2020.
NOGUEIRA, L. Governo cria estratégia para enfrentar ataques cibernéticos.

2020. Disponível em: https://olhardigital.com.br/noticia/governo-cria-estrategia-para-
enfrentar-ataques-ciberneticos/96407. Acesso em: 1ᵒ nov. 2020.
OLIVEIRA, À. Os 7 principais tipos de vulnerabilidades em uma empresa. 2017.

Disponível em: https://blog.nec.com.br/os-7-principais-tipos-de-vulnerabilidades-em-
uma-empresa. Acesso em: 22 set. 2020.
OLIVEIRA, R. C. Q. Tópicos de segurança da informação. São Paulo: Senac, 2019. Disponível

em: https://books.google.com.br/books?id=E7C2DwAAQBAJ&pg=PT97&dq=seguran%C3%A7
a+da+informa%C3%A7%C3%A3o+e+vulnerabilidades&hl=pt-BR&sa=X&ved=2ahUKEwiLiNvH
yf3rAhXqGrkGHW3mCMAQ6AEwA3oECAIQAg#v=onepage&q=seguran%C3%A7a%20da%20
informa%C3%A7%C3%A3o%20e%20vulnerabilidades&f=false. Acesso em: 22 set. 2020.
ORIYANO, S. P. Penetration testing essentials. Indianapolis: John Wiley & Sons,

2017. Disponível em: https://lira.epac.to/DOCS-TECH/Hacking/Penetration%20
Testing%20Essentials%202017.pdf. Acesso em: 5 dez. 2020.
OWASP. Introduction: the OWASP testing project. c2021. Disponível em: https://
owasp.org/www-project-web-security-testing-guide/stable/2-Introduction/README.
html#Penetration-Testing. Acesso em: 7 dez. 2020.
PARTINGTON, V.; KLAVER, E. Top ten web application vulnerabilities in J2EE. c2021.
Disponível em: https://owasp.org/www-pdf-archive/OWASP_NL_Top_Ten_Web_
Application_Vulnerabilities_in_J2EE.pdf. Acesso em: 1ᵒ out. 2020.
209
POPESCU, I. Less known web application vulnerabilities. c2021. Disponível em:
https://owasp.org/www-pdf-archive/OWASP_-_Ionut_Popescu_-_Less_Known_
Web_Application_Vulnerabilities.pdf. Acesso em: 1ᵒ out. 2020.
RED HAT ENTERPRISE LINUX. Guia de segurança: um guia para proteger o Red Hat
enterprise Linux. 1.5 ed. [s.l]: RedHat, 2020. Disponível em: https://access.redhat.
com/documentation/pt-br/red_hat_enterprise_linux/6/html/security_guide/sect-
security_guide-firewalls-malicious_software_and_spoofed_ip_addresses. Acesso
em: 26 set. 2020.
RIEBACK, M. Coordinated vulnerability disclosure. In: Coordinated vulnerability

disclosure: the guideline. The Netherlands: NCSC, out. 2018. Disponível em: https://
www.enisa.europa.eu/news/member-states/WEB_115207_BrochureNCSC_EN_
A4.pdf. Acesso em: 24 set. 2020.
SOBRAL, J. B. M. Técnicas de varredura. Material de aula. 2016. Disponível em: http://

www.inf.ufsc.br/~bosco.sobral/ensino/ine5630/material-seg-redes/Cap5-Tecnicas-
de-Varreduras.pdf. Acesso em: 8 out. 2020
SYMANTEC. Internet security threat report (ISTR). v. 24. 2019. Disponível em:
https://docs.broadcom.com/doc/istr-24-2019-en. Acesso em: 1ᵒ out. 2020.
SYMANTEC. Internet security threat report (ISTR): executive summary. v. 23. 2018.
Disponível em: https://docs.broadcom.com/doc/istr-23-2018-executive-summary-en-
aa. Acesso em: 1ᵒ out. 2020.
SYMANTEC. Internet security threat report (ISTR): 2013 trends. v. 19. 2014.
Disponível em: https://www.itu.int/en/ITU-D/Cybersecurity/Documents/Symantec_
annual_internet_threat_report_ITU2014.pdf. Acesso em: 1ᵒ out. 2020.
SYMANTEC. Internet security threat report(ISTR): trends for 2010. v. 16. 2011.
Disponível em: https://docs.broadcom.com/doc/istr-11-april-volume-16-en. Acesso
em: 1ᵒ out. 2020.
VANGLLER, T. Técnicas de invasão. Londres: Thompson Vangller, 2017. Disponível em:

https://tcxsproject.com.br/dev/Biblioteca%20Livros%20Hacker%20Gorpo%20Orko/Livro-
Tecnicas-De-Invasao.pdf. Acesso em: 7 dez. 2020.
WEIDMAN, G. Testes de invasão: uma introdução prática ao hacking. São

Paulo: Novatec, 2014. Disponível em: https://www.pdfdrive.com/download.
pdf?id=189870766&h=911144f73d313ea7e430d2487f7e659f&u=cache&ext=pdf.
Acesso em: 22 set. 2020.
WILHELM, T. Professional penetration testing: volume 1: creating and learning in a

hacking lab. Burlington: Elsevier, 2010. Disponível em: http://index-of.es/EBooks/15_
Profesional_PenetrationA.pdf. Acesso em: 5 dez. 2020.
210

Análise de Vulnerabilidade de Riscos

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Análise de Vulnerabilidade de Riscos

Enviado por

Direitos autorais:

Formatos disponíveis

Análise de

Prof. Carlos André de Sousa Rocha

Copyright © UNIASSELVI 2021

Revisão, Diagramação e Produção:

Ficha catalográfica elaborada pela equipe Conteúdos EdTech UNIASSELVI

Rocha, Carlos André de Sousa

Análise de vulnerabilidade de riscos. / Carlos André de Sousa Rocha;

210 p.; il.

1. Vulnerabilidade de segurança. - Brasil. I. Rocha, Carlos André

Caro acadêmico, os problemas de segurança estão presentes cada vez mais em

Na Unidade 1 serão apresentados os principais conceitos relacionados à análise

Na sequência, na Unidade 2, você aprofundará seus estudos sobre os principais

Encerrando sua caminhada, na Unidade 3 você será apresentado às diferentes

Este é o fascinante mundo da segurança da informação em redes. Aproveite,

Bons estudos e sucesso na sua vida acadêmica!

Prof. Jorge Werner

No livro didático, você encontrará blocos com informações

Na Educação a Distância, o livro impresso, entregue a todos

Preocupados com o impacto de ações sobre o meio ambiente,

Preparamos também um novo layout. Diante disso, você

Com o objetivo de enriquecer seu conheci-

Acesse o QR Code, que levará ao AVA, e veja as novidades que

Conte conosco, estaremos juntos nesta caminhada!

TÓPICO 1 — FUNDAMENTOS DA GESTÃO DE RISCO.............................................................3

TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE................................................................ 19

TÓPICO 3 — FUNDAMENTOS DAS VULNERABILIDADES................................................... 43

UNIDADE 2 — TIPOS E FERRAMENTAS PARA ANÁLISE DE VULNERABILIDADES.................. 71

TÓPICO 1 — PRINCIPAIS TIPOS DE VULNERABILIDADES..................................................73

TÓPICO 2 — FERRAMENTAS PARA ANÁLISE DE VULNERABILIDADES............................95

TÓPICO 3 — FUNDAMENTOS SOBRE O AMBIENTE............................................................117

UNIDADE 3 — ANÁLISE DE VULNERABILIDADES............................................................. 141

TÓPICO 1 — TÉCNICAS DE VARREDURAS DE VULNERABILIDADES................................143

TÓPICO 2 — VULNERABILIDADES ON-LINE...................................................................... 167

• conhecer os conceitos básicos relacionados à gestão de riscos;

• compreender as ameaças, os ataques e os seus conceitos;

• identificar os conceitos básicos relacionados à análise de vulnerabilidades;

• relacionar os conceitos de gestão de riscos, ameaças, ataques à análise de

TÓPICO 1 – FUNDAMENTOS DA GESTÃO DE RISCO

O gerenciamento de riscos (em inglês, risk management) é o processo pelo qual

A utilização, criação, manutenção e atualização contínua de um Sistema de

O escopo deste tópico levará você a conhecer os assuntos relacionados ao

O risco de TI inclui não apenas o impacto negativo das operações e na prestação

Como o risco está intimamente relacionado à incerteza, a teoria da decisão

Os conceitos relacionados com os riscos são:

• Uma combinação da probabilidade de um evento e de suas consequências (ISO/IEC

Ao longo dos anos, o gerenciamento de riscos se tornou cada vez mais

A série de normas ISO/IEC 27000 (do inglês, International Organization for

As principais normas da série ISO/IEC 27000 são:

• ISO/IEC 27000 – apresenta uma visão geral das normas e vocabulário;

A ISO/IEC 27005 trata a extensão de um risco para um risco de tecnologia da

• Um produto dos valores de: ameaça, vulnerabilidade e os ativos (recursos), conforme

FONTE: Adaptado de ISO/IEC 27005 (2018)

• O impacto gerado por um evento negativo/positivo.

A Figura 2 apresenta a fórmula associada ao risco, ou seja, o produto da

• Probabilidade – é calculada ou obtida em função do nível de maturidade do processo

FIGURA 2 – CÁLCULO DO RISCO

FONTE: Adaptado de ISO/IEC 31000 (2009)

3 PRINCÍPIOS DA AVALIAÇÃO DE RISCO

FIGURA 3 – ESTRATÉGIA DE GESTÃO DO RISCO

FONTE: Adaptado de ISO/IEC 31000 (2009)

Você, acadêmico, deve compreender que o risco é expresso em valores

FIGURA 4 – CLASSIFICAÇÃO DO RISCO

FONTE: Adaptado de ISO/IEC 31000 (2009)

Em sistemas de tecnologia da informação, uma estimativa de impacto pode