A Segurança Ofensiva sendo cada vez mais utilizada pelo comércio eletrônico

teste-de-invasao-pentestNo mês de dezembro de 2013,  a revista E-Commerce Brasil trouxe na coluna  sobre  segurança da informação a seguinte  matéria: “Segurança Ofensiva: A  opção  do  comércio eletrônico“, tendo como principal foco exploração de  vulnerabilidades  web  e ataques de negação de serviços  que podem causar enormes prejuízos  financeiros e judiciais para as empresas que realizam comercio eletrônico.

Confira o artigo da revista E-Commerce Brasil, que teve como participação os  colaboradores da Clavis citando os diversos  caminhos para a solução desse problema.

Artigo por: Bruno Salgado, Rafael Soares e Raphael Machado

Introdução

Nos dias de hoje, já não é necessário iniciar um texto sobre Segurança da Informação argumentando sobre a importância dela. É sabido que um grande volume de dados é manipulado, a cada segundo, por complexos sistemas de informação e que esses dados carregam valor – seja esse valor expresso em grandezas concretas, como unidades monetárias, ou abstratas, como “confiança” ou “reputação”. Todos têm a percepção de que a indisponibilidade de um sistema pode ocasionar uma elevada perda financeira, consequência da interrupção de processos corporativos, e que o vazamento de informação pode levar a danos irreversíveis a imagem de uma empresa e, até mesmo, a complicadas ações judicias.

A questão, hoje, não é decidir entre investir e não investir em segurança, mas quanto investir e, principalmente como investir.

E, enquanto as soluções clássicas de segurança da informação tem foco em aspectos de alto nível, como a estrutura de gestão e processos corporativos, empresas com elevada dependência em relação à internet – como é o caso das empresas e-commerce – buscam diagnósticos que forneçam respostas concretas sobre suas condições de segurança.

Diagnósticos de Segurança

Diagnósticos de Segurança são a ferramenta inicial a ser utilizada por empresas que buscam atingir um novo patamar em Segurança da Informação. Têm por objetivo identificar o status de segurança de uma organização. Naturalmente, uma empresa que busque evolução em Segurança da Informação deve, no mínimo, compreender o ponto em que se encontra , e dispor de mecanismos que permitam quantificar a sua segurança. Diagnósticos de segurança permitem localizar uma série de problemas de segurança identificados: empresas profissionais apresentam seus diagnósticos acompanhados por recomendações e orientações sobre como sanar as falhas identificadas.

A opção tradicional de empresas interessadas em Diagnósticos de Segurança são chamadas Auditorias de Segurança. São mecanismos de avaliação fortemente baseados na análise documental e na execução de atividades “passivas”  e “poucos intrusivas”, tais como entrevistas a funcionários: o foco é altamente orientado a gestão e processos. A execução periódica de auditorias de segurança, indubitavelmente, traz benefícios à organização, na medida em que permite a implantação de uma infraestrutura de apoio à segurança e a eliminação de práticas inseguras em processos corporativos – as consequências são, claramente, positivas para a manutenção de um status de segurança a longe prazo.

Auditorias “clássicas” como as descritas acima, no entanto”, não costumam “descer” seu escopo de atuação ao nível técnico – ou, pelo menos, não o fazem de maneira sistemática. Dificilmente, o contratante de uma Auditoria de Segurança nos moldes da ISO 27001 ficará sabendo, ao final da auditoria, que seu webserver possui uma vulnerabilidade a ataque de negação de serviço que possibilita um atacante deixar o site da empresa fora do ar, o que sua aplicação de e-commerce é vulnerável a um ataque do tipo SQL injection que poderia levar ao vazamento de informações sensíveis sobre clientes. Para empresas de elevada dependência em relação a Internet – aí incluídos bancos, provedores de serviços  online, e empresas de comercio eletrônico – esse tipo de conhecimento é essencial.

Teste de Invasão

Nos últimos tempos, vem consolidando-se uma nova forma de se executar Diagnósticos de Segurança. Tal conjunto de técnicas e metodologias consagrou-se sob o nome Testes de Invasão, denominação decorrente de sua forte “orientação a ataques”, ou seja, a reprodução de cenários de ataque aos quais os sistemas sob avaliação podem vir a ser submetidos. Veja um pouco mais nesse artigo: http://ow.ly/qfKLx

Em um Diagnóstico de Segurança do tipo Teste de invasão, o avaliador é denominado pentester (do inglês penetration tester). O trabalho do pentester é usar de todas as ferramentas, técnicas e metodologias que estejam disponíveis a usuários maliciosos, como o  objetivos de simular ataques aos sistemas sob avaliação. No entanto, a atuação do pentester começa muito antes do grand finale representado pela execução dos ataques.

As fases de um teste de invasão

Um Teste de Invasão “profissional”  começará com atividades muito menos emocionantes do que aquelas associadas a imagem de um pentester, atrás de um computador, embrenhado-se no coração dos sistemas de uma organização. Uma série de atividades “burocráticas” são necessárias antes do início do Teste de Invasão propriamente dito – e essas atividades são fundamentais para garantir o perfeito entendimento entre o cliente e o provedor do Teste de Invasão. Entre os aspectos que serão definidos nesta etapa, destacamos os seguintes:

Objetivos e escopo. Quais sistemas serão testador contra que classes de ataques?
Janelas de execução e danos aceitáveis. Há restrições de horário para execução dos testes? Há sistemas para os quais a possibilidade de determinados tipos de dano – por exemplo, indisponibilidade – é inaceitável ?

Prazo. Qual o tempo de execução desejado pelo cliente?

Um fornecedor de Testes de Invasão sério usará as informações acima para estimar o tamanho do projeto e a equipe necessária , que, por sua vez definirão os custos do projeto e o valor do investimento, para o contratante.

O trabalho técnico envolve as atividades de reconhecimento, mapeamento e ataque. As atividades de reconhecimento têm por objetivo levantar informações preliminares a respeito da organização sob avaliação. Tais informações são obtidas em repositórios públicos de informações, disponíveis a partir da Internet – e é impressionante a quantidade de informações sensíveis a respeito de sua empresa que podem ser facilmente obtidas na Internet com o uso de ferramentas certas!

As atividades de mapeamento já envolvem uma interação direta com os sistemas da organização, e buscam caracterizar a topologia das redes, a organização dos sistemas, e as vulnerabilidades ali presentes. Uma vez dispondo de informações suficientes sobre as redes e sistemas sob avaliação, o pentester parte para a execução de simulações de ataque, sempre levando em conta o impacto potencial e as regras de danos aceitáveis  acordadas com o cliente.

Uma vez concluídas as atividades “técnicas”, é hora de elaborar o relatório no qual os resultados do Teste de Invasão serão apresentados . Um bom relatório deve apresentar as “conclusões do Teste” em diversos níveis de abstração. De fato, é pratica dividir o relatório em várias partes, algumas delas orientadas à alta administração e apresentando resultados em alto nível- por exemplo, explicando os impactos de um ataque aos processos críticos do negócio – e outras orientadas aos profissionais técnicos, detalhando as vulnerabilidades encontradas e como saná-las.

Segurança Ofensiva

O cenário é complicado: sistemas cada vez mais complexos e dos quais dependemos cada vez mais, conjugados com a proliferação  de ferramentas de ataque que possibilitam ataques cada vez mais sofisticados, conduzidos por usuários que não necessitam de elevado conhecimento técnico.

A consequência é que um Diagnóstico  de Segurança, para ser efetivo, necessita apresentar dados concretos a respeito dos sistemas avaliados, ou seja, quais são as vulnerabilidades presentes, quais são os ataques factíveis , quais são os impactos possíveis . Os chamados Testes de Invasão são a ferramenta que mais se adequam a essa nova visão de “segurança ofensiva”, na qual o pentester coloca-se na posição do atacante e, somente aí, é capaz de visualizar concretamente os danos que é capaz de imprimir a um sistema e a uma organização.

Artigos e Webinars Relacionados: