você está aqui: Home  → Arquivo de Mensagens

Semana 4Linux - A importância dos Testes de Segurança

Colaboração: Sandro Melo

Data de Publicação: 29 de Agosto de 2005

A Internet notóriamente revolucionou a comunicação e os negócios ao ponto que hoje consideramos ela uma extensão da sociedade em formato digital. Evidentemente isso quer dizer que também temos na internet os problemas que temos na sociedade convencional. Em suma os problemas como contraversões e crimes também tem na Internet a sua forma digital.

Diante das ameaças muitas iniciativas estão sendo tomadas, e entre elas podemos citar o desenvolvimento de documentos que recomendam boas práticas e até mesmo metódologias para avaliarmos a segurança de uma rede através de Testes de Segurança bem definidos.

Entretando demanda-se também o investimento em profissonais devidamente qualificados e consequentemente ferramental de qualidade para realização dos Teste de Segurança.

No que tange profissionais hoje encontramos no mercado nacional cursos que são capazes de gabaritar profissionais para importante tarefa de realização de teste de segurança.

Também temos ferramentas FOSS (sigla em inglês: Free and Open Source Software), que estão disponíveis em grande quantidade e com qualidade de recursos que nos possibilitam a realização de Teste de Segurança permitindo que seja avaliado servidores e até mesmo uma rede por completo.

O documento do NIST denominado "Guideline Network Test Security" enumera os principais teste e até mesmo sugere um plano definido em quanto e quanto tempo um Teste de Segurança deveria ser realizado. E o mais interessante é que ele enumera também várias ferramentas FOSS.

Dentre os teste sugeridos o Pen-test merece um destaque pois ele além de ser pouco aplicado quase sempre é aplicado de forma erronea, sem agregar o devido valor a organização.

O Pen-test é um mecanismo interessante para a validação de sistema de segurança como também um meio de quantificar problemas de segurança nos sistemas computacionais de uma corporação. Todavia a realização desse procedimento demanda sólidos conhecimentos de segurança computacional como também uma metodologia definida e um bom ferramental FOSS que será o meio para realização dos testes.

Claro que poderiamos realizar testes com ferramentas proprietárias mas ferramentas proprietárias tornam muito alto o custo para realização de um Pen-test o qualquer outra categoria de Teste de Segurança.

É relevante falarmos que quando pensamos em realizar Testes de Segurança nos deparamos com um cenário onde a internet torna-se a melhor e maior fonte de recursos de informações e encontramos várias ferramentas FOSS cujo o seu código aberto disponível para sistemas Linux e Unix BSD. Entre essas ferramentas encontarmos:

  • Port Scanner B(Nmap, Unicorscan, Autoscan)
  • Scanners de Vulnerabilidades** (Nikto, Nessus)
  • Sniffers (Ethereal, Dsniff)
  • Pen-test Customizados (Framework).

Possibilitando a um Security Office realizar Pen-test ou qualquer outro Teste de Segurança ainda mais realista pois pelo fato dessas ferramentas serem de domínio público, elas normalmente são utilizadas por invasores para subjulgar sistemas de corporações.

Com conhecimentos sólidos um administrador poderá realizar Pen-test e poderá modificar as ferramentas para criar novos cenários durante a realização .

Além das ferramentas disponíveis para essa tarefa contamos também com a Metologia OpenSource OSSTMM (www.isecom.org) que definir o que devemos fazer para ter bons resultado durante todo o processo de um Pen-test.

Uma dica interessante é a facilidade que temos para correlacionamos problemas de segurança e localizarmos ferramentas para prova de conceito de uma vulnerabilidades, para avaliarmos o potencial da real ameaça utilizando o Google.

Lembrando que essa tarefa de correlação tem sentido e agrega valor a segurança de uma corporação quando realizada dentro de um processo de Pen-test após o levantamento de todos as informações possíveis do servidor ou mesmo redes que esta sendo testada.

Por outro lado, essa mesma facilidade esta a disposição de um potencial invasor. Infelizmente esse risco é assumido por todos que tem um servidor ligado a Internet.

Como seria essa correlação? Simples, uma vez que um problema de segurança é notificado, podemos buscar informações de potenciais ferramentas de exploração correlacionando o registro com possiveis informações em sites de segurança.

Um exemplo comum seria o registro CAN correlacionado a um registro BID. Ou seja o CAN é o registro de vulnerabilidade do cve.mitre.org (CVE - Common Vulnerabilities and Exposures) e o BID (bugtraq id) é o registro de segurança do site www.securityfocus.com que normalmente além de manter informações do problema mantém vinculado ao Bid ferramentas de prova de conceito da vulnerabilidade vinculada.

Para uma administrador correlacionar informações usando o google, bastaria pegar um CAN respectivo e consultar, uma forma prática de realizar essa consulta, seria digita para pesquisa:

  "CAN-2005-2265"+bid site:securityfocus.com 

Ou seja usando o recurso "site:" diz para o google só retornar as informações que esteja no respectivo site, no caso do exemplo o securityfocus.com, lembrando que o mesmo não é o único site que registrar problemas e segurança e ferramentas para exploração.

Dessa forma podemos aplicar a mesma idéia aos registro de segurança das distros de Linux, pois toda boa distro mantem organizadas suas notificações de problemas de segurança.Vejamos alguns exemplos:

Conectiva:

  "CLSA-2005:982"+bid site:securityfocus.com

Debian:

  "DSA 745-1"+bid site:securityfocus.com

Gentoo

  "GLSA 200507-06"+bid site:securityfocus.com

Fedora:

  "FEDORA-2005-638"+bid site:securityfocus.com

RedHat:

  "RHSA-2005:582-04"+bid site:securityfocus.com

Suse:

  "SUSE-SA:2005:046"+bid site:securityfocus.com

Mandravia:

  "MDKSA-2005:129"+bid site:securityfocus.com

Ubuntu:

  "USN-160-1"+bid site:securityfocus.com

Trustix Linux:

  "TSLSA-2005-0038"+bid site:securityfocus.com

Turbo Linux:

  "TLSA-2005-81"+bid site:securityfocus.com

Isso nos mostrar como é simples e fácil ter informações sobre um problema de segurança e no caso do Bid em especial ainda temos a possibilidade de ter acesso a uma ferramenta que pode explorar a respectiva vulnerabilidade. E o mesmo conceito se aplica a outros sistema operacionais.

Isso também nos mostra que não é difícil em muitos casos avaliar a real ameaça que uma vulnerabilidade nos traz, mas por outro lado, mostra o quanto é fácil para um potencial invasor conseguir um ferramenta para explorar uma possível falha.

Evidentemente a segurança da empresa não se resume a fazermos downloads de ferramentas para depois tentamos explorar uma respectiva falha. Isso somente não agrega nada, mas dentro de um processo de Teste de Segurança bem definido, a exploracao de uma vulnerabilidade para avaliar a real ameaça tem valor agregador mas é apenas parte desse processo.


Voce sabe fazer um Teste de Vulnerabilidades (//Pen-test// ) em sua rede ?

O curso Hackers Expostos da 4linux mostra como fazer e também, apresenta o conteúdo necessário para a prova de perito criminal da Polícia Federal e para as certificações: Pen-test Specialist (CPTS) e Ethical Hacker (CEH).

Mais informações ligue para (11) 2125-4747 ou visite o site http://www.4linux.com.br/treinamento/hackers406.php



 

 

Veja a relação completa dos artigos de Sandro Melo

Opinião dos Leitores

Seja o primeiro a comentar este artigo
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script