Denis Augusto

Quando imaginamos o vasto tema Segurança da Informação, é inevitável relembrar o tradicional conceito por trás da sigla CIDAL (Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade), um elemento sempre enraizado nos padrões/normas de segurança ISO 27000 e BS7799. Entretanto, na visão atual, devemos considerar um item chamado de “não repúdio”. Atuando sempre em conjunto com a autenticidade e integridade, pode-se dizer que o não repúdio é a garantia de que não haverá negação de um ato ou de um documento enviado ou validado por uma pessoa. Aqui estamos abordando a sigla CIDAN (Confidencialidade, Integridade, Disponibilidade, Autenticidade e Não Repúdio).

Seguindo estes conceitos, considere que foi implantado um sistema computacional que segue fielmente os pilares da segurança da informação. Como testá-lo e estar certo de que este sistema possui uma superfície de vulnerabilidade aceitável? Como saber quais tipos de ataques são suportados e quais não são suportados por este sistema?

A forma tradicional de responder a esta questão é adotar ferramentas que fazem uso de técnicas intrusivas ou não intrusivas, gerando relatórios no final do processo de análise. Sabe-se que trabalhar com automações implica em ganho de tempo. Mas, no caso de testes de invasão, isto cobre uma pequena parte dos testes, deixando o sistema computacional aberto para atacantes que conhecem metodologias mais avançadas (engenharia social, estudo de vetores de ataque, levantamento de pontos vulneráveis, firewalking, etc).

Dentro deste leque de atuação não coberto por estas ferramentas, encontram-se os Testes de Penetração (PenTests), feitos por auditores (empresas ou profissionais) capacitados e conhecedores não só de ferramentas, mas de métodos que podem avaliar em conjunto pessoas, hardware, softwares, topologias de rede e firewalls, fornecendo uma visão mais ampla e indicando melhorias para o sistema como um todo.

Caminhando um pouco mais no tema, vemos que um PenTest pode ser caracterizado em três categorias: White-Box, Gray Box e Black Box. Observe a diferença de cada categoria:

ü  White-Box: o atacante tem acesso total às informações contidas na infraestrutura a ser estudada. Em geral, tem uma lista de usuários válidos, endereços IP, nomes de computadores e, em muitos casos, possui também acesso físico a alguns recursos da rede (rede cabeada, wireless, etc). Tanto o auditor quanto o auditado estão cientes de todas as fases e quais testes serão realizados, existindo um roteiro de comum acordo a ser elaborado.

ü  Gray Box: O atacante tem acesso a poucas informações, como por exemplo o endereço Internet do servidor que será estudado. Durante um PenTest Gray-Box, o auditado sabe quais elementos podem ser avaliados. Porém, o auditor não os conhece e terá que fazer uso dos recursos disponíveis para localizá-los e estudá-los.

ü  Black Box: Na categoria Black Box, nenhuma informação é revelada pelo auditado. Desta forma, o auditor vai utilizar de tudo que estiver ao seu alcance para localizar, enumerar e estudar os recursos localizados. Em geral, o Black Box PenTest é conhecido também como “Blind”, pois nem o atacante nem o auditado sabem realmente quais serão os resultados finais do teste.

Podemos ainda subdividir cada categoria de PenTest em cinco fases distintas: enumeração, varreduras, obtenção de acesso, retenção de acesso e eliminação de evidências. Mas o tempo de cada fase dependerá da complexidade implantada pelo auditado e da instrução de seus funcionários. Veja que de nada adianta implantar uma estrutura com validação de firewall e equipamentos de rede em multiplas camadas de defesas se as secretárias da diretoria “entram” em links de e-mail requisitando validações bancárias ou verificações de CPF.

Caminhando para uma visão mais ampla, segurança sempre será muito mais do que normas, software ou hardware, sendo caracterizada como uma metodologia que engloba tudo isto que falamos aqui e muito mais, percorrendo um caminho cíclico de processos e envolvido por pessoas.

Muitos dos termos aqui usados no conceito de PenTest foram guiados pelo Anderson Tamborim, um grande amigo e guru para temas ligados a segurança de dados. Muito obrigado pelo help… Vale também um agradecimento especial para Wellington Silva, outro amigo que sempre me apoia em diversos conceitos ligados a segurança da informação.

Grande abraço e até o próximo mês,

Denis

Links para estudo:

http://alissoncleiton.com/arquivos_material/05fa1b8b808aee2bfacba4ce3a9779c1.pdf

http://www.espacoacademico.com.br/042/42amsf.htm

http://www.oficinadanet.com.br/artigo/1307/seguranca_da_informacao_conceitos_e_mecanismos

http://www.isecom.org/osstmm/

http://www.oissg.org/index.php/issaf