Você está aqui: Página Inicial / Blog / Tape os buracos do muro antes que venha o ladrão e entre por um deles

Tape os buracos do muro antes que venha o ladrão e entre por um deles

Conheça a Análise de Vulnerabilidades e suas diferenças em relação ao Teste de Invasão
Tape os buracos do muro antes que venha o ladrão e entre por um deles

Tape os buracos

Quadro geral

Em Practical Unix & Internet Security, Simson Garfinkel e Gene Spafford, de maneira muito simples, definem que “um computador é seguro se você puder confiar nele e em seu software para se comportar conforme o esperado.”

Atualmente, os sistemas computacionais se tornaram tão complexos que é praticamente impossível, guardadas as exceções, não encontrar neles erros de projeto que se traduzem em vulnerabilidades. Vulnerabilidade é algo que pode ser explorado por uma parte maliciosa para comprometer o bom funcionamento de um sistema. Segundo a definição acima, a partir do momento em que o funcionamento esperado de um sistema computacional é comprometido, ele deixou de ser seguro.

E o universo de vulnerabilidades em sistemas computacionais é muito diverso. Podemos até tirar o fator “complexidade” da história: por exemplo, é muito provável que os primeiros, senão todos os programas de computador que você escreveu em linguagem C durante a faculdade, fossem vulneráveis a stack overflow (boa parte das funções mais usadas da libC, como a scanf, têm esse problema).

Em outro cenário, na maior parte das redes corporativas há serviços “esquecidos” pelos administradores, como bases de dados que já não são mais utilizadas, mas que não foram devidamente “retiradas do ar”. Isto representa um problema: como tais serviços não receberão mais atenção, criminosos eletrônicos podem se aproveitar de suas inevitáveis desatualizações de segurança para atacá-los. Na melhor das hipóteses, podem ganhar o controle dos servidores que as hospedam para, a partir deles, pivotear (i.e. usá-los atacar outras máquinas na mesma rede).

É aí que entra a Análise de Vulnerabilidades, uma operação que serve para descobrir fraquezas em sistemas computacionais antes que criminosos as encontrem e tirem proveito delas. 

 

Análise de Vulnerabilidades x Teste de Invasão (Pentest)

Uma Análise de Vulnerabilidades pode ser entendida como um “diagnóstico”. Ela é diferente de um outro tipo de operação chamado Teste de Invasão. Neste último, além de encontrar as vulnerabilidades do sistema analisado, há a tentativa de explorá-las para comprometê-lo efetivamente. Portanto, o Teste de Invasão é uma operação muito mais intrusiva na qual, comumente, o sucesso é obtido mediante a derrubada do sistema analisado.

Por outro lado, o produto da Análise de Vulnerabilidades não é a exploração efetiva das fraquezas de um sistema, mas a listagem destas. Com um Relatório de Vulnerabilidades, os responsáveis pela segurança do sistema analisado podem conduzir uma operação de “hardening” (preparação para enfrentar tentativas de ataque) muito mais assertiva.

A Análise de Vulnerabilidades tem, ainda, a vantagem de poder ser conduzida com um orçamento muito inferior ao exigido por um Teste de Invasão. Ademais, os custos para tratar as fraquezas de um sistema preventivamente são muito inferiores aos de tratar um ataque consumado.

E como isto funciona?

Análises de Vulnerabilidades modernas são conduzidas utilizando scanners de vulnerabilidades específicos para o tipo de sistema analisado. Basta que o dono do sistema a analisar forneça algumas informações técnicas e permita o estabelecimento da infraestrutura necessária e já será possível iniciar a análise.

Por exemplo, se o intuito é encontrar vulnerabilidades referentes a bases de dados, o Guardium é uma ferramenta adequada. Após o devido estabelecimento de comunicação entre a rede a analisar e o Guardium, este já será capaz de encontrar, por exemplo, bases de dados “piratas” ou “esquecidas”, configurações fracas em bases de dados, dados sensíveis armazenados inadequadamente e, ainda, acessos abusivos a servidores de dados.

Em outro contexto, se o sistema a testar é uma aplicação (web, desktop, ou mobile), o AppScan é uma ferramenta apropriada. Ele é capaz de encontrar vulnerabilidades através de análises estática e dinâmica e utiliza inteligência artificial como suporte à varredura da aplicação, permitindo que seja mais ampla e confiável.

Finalmente, configurações fracas e outras vulnerabilidades na infraestrutura de redes podem ser encontradas com ferramentas adequadas a este fim, muitas delas as mesmas utilizadas por criminosos para encontrar vulnerabilidades quando tentam invadir sistemas.

Finalmente...

É preciso ter atenção à frequência com a qual Análises de Vulnerabilidades são conduzidas. Ainda que se pratique de maneira satisfatória a Gestão de Mudanças em ambiente empresarial, nunca é possível garantir que alterações no ecossistema computacional de uma organização não deixaram falhas despercebidas.

Novamente, nossos sistemas computacionais se tornaram tão complexos que seus pormenores e os detalhes de sua integração com outros sistemas, algumas vezes, simplesmente fogem ao domínio de qualquer indivíduo. Isto não por falta de competência, mas por mera limitação humana. Portanto, a execução de Análises de Vulnerabilidades amplas e frequentes é a melhor ação preventiva que uma organização pode tomar em benefício de seu ambiente.

 

Autor:
Eduardo Vasconcelos
Especialista em Cibersegurança na Perallis IT Innovation