Funcionalidades
expostas pelos sistemas listados usam as mesmas capacidades exploradas pelos
agressores em ataques
Network World
EUA 09 de julho de 2015 - 08h35
Caso a
possibilidade de que os ativos digitais de sua empresa se tornem alvos de
agressores não lhe assusta, não leia este artigo. Agora, se você vive na mesma
realidade que o resto de nós, então aqui está a sua chance de aproveitar alguns
conselhos para executar testes preventivos contra intrusão.
Evan Saez,
analista de inteligência em ciberataques da Lifars, separou aquelas que
considera as melhores ferramentas disponíveis no mercado. Segundo o
especialista, as funcionalidades expostas por esses sistemas são essenciais
para certificar a segurança de sua empresa, pois são as mesmas capacidades
usadas pelos agressores em ataques.
Metasploit
O Metasploit
é um framework com uma sólida base de fãs entre os programadores. Ele adiciona
ferramentas de teste customizadas, que procuram fraquezas em sistemas
operacionais e aplicações. Os módulos customizados são lançados no GitHub e no
Bitbucket, repositórios online para projetos de código.
“A
Metasploit é a mais popular ferramenta de testes de penetração”, exalta Saez,
sinalizando que a tecnologia oferece tanto a interface Ruby quanto a CLI, a
serem escolhidas com base no que o utilizar busca atingir. “A interface Ruby é
mais útil para testar uma rede extensa, porque rodar comandos na CLI seria
muito entediante”, defende.
Nessus Vulnerability
Scanner
O Nessus
Vulnerability Scanner também é popular na localização de vulnerabilidades. A
tecnologia vasculha computadores e firewalls à procura de portas abertas para a
instalação de software potencialmente malicioso. “Como ferramenta de teste, ela
se comunica com o sistema operacional para encontrar vulnerabilidades. Ela é
normalmente usada para compliance, determinando se os patches estão
atualizados”, explica Garrett Payer, líder de tecnologia da provedora de
soluções ICF International. “O Nessus só compara scans a bases de dados de
fragilidades conhecidas”, complementa Saez.
Nmap
O Nmap
determina os tipos de computadores, servidores e hardware que as empresas
possuem conectados às redes corporativas. A possibilidade de essas máquinas
serem identificáveis via escaneamento externo é por si só uma vulnerabilidade,
explorada por agressores para estabelecer planos de ataque.
Use o Nmap
para procurar hosts, portas abertas, versões de software, sistemas
operacionais, hardware e fragilidades -- geralmente mapeando a superfície de
ataque da rede. Ele é útil em cada etapa dos testes de penetração,
identificando os componentes conectados ao entrar em um novo segmento de rede.
“Essa ferramenta, com sua habilidade de scripting, é útil para enumerar o
acesso de usuário”, indica Payer.
Burp Suite
A Burp Suite
é outra aplicação de testes de penetração. Ele mapeia e analisa aplicações web,
encontrando e explorando fraquezas. Use-a com seu navegador para mapear as
aplicações na web. As ferramentas dentro da suíte descobrem buracos de
segurança e lançam ataques customizados. Além disso, a Burp Suite automatiza
funções repetitivas enquanto retém a escolha do usuário quando o utilizador
precisa ter o controle das opções individualizadas. “Essa ferramenta rica
investiga cross site scripting e outras vulnerabilidades usando um proxy,
fornecendo transparência em relação ao que o site de fato manda ao servidor”,
expõe Payer.
OWASP ZAP
Sem fins
lucrativos, a OWASP ZAP oferece escaneamento manual e automático de aplicações
web, tanto para novatos quanto para veteranos em testes de penetração. Com
código aberto, ela está disponível no GitHub.
A ferramenta
desempenha uma variedade de testes, incluindo escaneamento de portas, ataque de
força bruta e fuzzing, tudo para identificar códigos maliciosos. Seu usuário
usa interface gráfica intuitiva, semelhante à de uma aplicação da Microsoft ou
outras ferramentas de web design (como a Arachnophilia).
Uma vez
tendo navegado e desempenhado atividades em um site, ele usa o ZAP para
visualizar o código e outros processos realizados durante essas atividades.
Quando configurado como um servidor Proxy, o OWASP ZAP controla o tráfego da
web que processa. “Essa ferramenta é mais nova que a Burp Suite. Não é tão
rica, mas é gratuita e de código aberto. Ela fornece um conjunto de
funcionalidades e uma interface gráfica que são úteis para as pessoas novatas
nos testes de penetração”, defende Payer.
SQLmap
Por sua vez,
o SQLmap automatiza a descoberta de buracos de SQL Injection, explorando essas
fragilidades e tomando o controle das bases de dados e servidores subjacentes.
O SQLmap pode ser instalado no Ubuntu Linux, dentro de uma máquina virtual
(VM).
Use o SQLmap
para testar sites com códigos impróprios e URLS ligadas a bases de dados por
meio de comandos python em linha. Se um link malicioso para as informações de
databases atrair um código errado, então a URL está sujeita a ataques.
“Outra
ferramenta script-friendly, a SQLmap pode determinar se um programador tem
parametrizado as entradas”, informa Payer. “Se ele não o fez, um agressor
poderia enviar um comando SQL e rodá-lo na base de dados, ganhando controle”.
Kali Linux
O Kali Linux
é uma suíte de ferramentas pré-instaladas de testes de penetração, segurança e
forense. “Ela tem funcionalidades para pessoas com zero conhecimento de
segurança”, aponta Saez.
De acordo
com ele, instale a Kali Linux e abra qualquer uma das mais de uma dúzia de
ferramentas que possui. “Ela vem com um grande volume de documentação de
usuário”, assinala.
Jawfish
Ao contrário
da maioria das ferramentas, que costumam ser signature based, a Jawfish – onde
Saez é desenvolvedor -- usa algoritmos genéticos. “Ela procura coisas no
contexto da busca”, pontua Saez. Baseando-se em critérios de busca, a Jawfish
procura vulnerabilidades.
Você pode
testá-la usando a interface gráfica do utilizador (GUI) disponível. Coloque um
endereço IP para o servidor, um endereço web desprotegido nesse IP, a
vulnerabilidade e o método desejados e então a mensagem de conclusão. A
ferramenta retornará o texto quando o site for hackeado com sucesso. A Jawfish
é nova e não está preparada para adoção corporativa.