scanners de vulnerabilidades aplicados a ambientes organizacionais

Revista Eletrônica da Faculdade Metodista Granbery
http://re.granbery.edu.br - ISSN 1981 0377
Curso de Sistemas de Informação - N. 5, JUL/DEZ 2008
SCANNERS DE VULNERABILIDADES APLICADOS A
AMBIENTES ORGANIZACIONAIS
Jorge Rafael Hara Moreira *
Carla da Silva Teixeira **
Cláudia Cadinelli Tavares***
Marcos Fabiano Verbena****
Patrícia Lima Quintão *****
RESUMO
A informática, no mundo globalizado, é o instrumento cada vez mais utilizado pelas
organizações, com a intenção de obter de modo mais fácil, rápido e eficiente o acesso às
informações, visando sua competitividade comercial. Com isso surge a necessidade de tratar
com mais segurança os ativos da organização, para que assim não sejam comprometidos os
princípios da disponibilidade, integridade e confidencialidade da informação. Nesse artigo o
objetivo é entender e analisar ferramentas que possam preservar a integridade e imagem da
organização, protegendo-a de ameaças e vulnerabilidades.
Palavras-chave: Análise de Vulnerabilidade, Segurança da Informação, Ameaça.
ABSTRACT
In the globalized world information technology, is the tool increasingly used by
organizations, with the intent to obtain more easily, fast and efficient access to information,
seeking its commercial competitiveness. With that comes the need to deal with more security
assets of the organization, so that they are not committed to the principles of availability,
integrity and confidentiality of information. In this article the goal is to understand and
analyze tools that can preserve the integrity and image of the organization, protecting it from
threats and vulnerability.
Key-words: Analysis Vulnerability, Information Security, Threat.
1
* Graduado em Sistemas de Informação pelo Centro de Ensino Superior de Juiz de Fora –
MG; pós-graduando em Segurança da Informação pela Faculdade Metodista Granbery –
MG. E-mail: [email protected]
** Graduado em Sistemas de Informação pela Faculdade Metodista Granbery de Juiz de
Fora – MG; pós-graduando em Segurança da Informação pela Faculdade Metodista
Granbery – MG; analista pelo CAEd/UFJF. E-mail: [email protected]
*** Tecnóloga em Gerência de Telecomunicações pela Universidade Antônio Carlos MG; pós-graduando em Segurança da Informação pela Faculdade Metodista Granbery –
MG; Coordenadora de Implantação do Projeto SIMADE - Sistema Mineiro de
Administração Escolar - Parceria entre a Secretaria de Educação do Estado e o
CAEd/UFJF. E-mail: [email protected].
**** Graduado em Sistemas de Informação pelo Centro de Ensino Superior de Juiz de
Fora – MG; pós-graduando em Segurança da Informação pela Faculdade Metodista
Granbery – MG; analista responsável pelo serviço de Tecnologia da Informação da
Clínica Ultrimagem. E-mail: [email protected]
**** Mestre em Engenharia de Sistemas e Computação pela COPPE/UFRJ; Especialista
em Gerência de Informática pela Faculdade Machado Sobrinho; Coordenadora
pedagógica e professora do curso de Pós-Graduação em Segurança da Informação da
FMG; Coordenadora de Segurança da Informação na Prefeitura de Juiz de Fora. E-mail:
[email protected].
2
1. INTRODUÇÃO
Nos dias atuais, a informática é um dos principais instrumentos utilizados pelas
organizações na intenção de obter, de forma rápida, fácil e eficiente, o acesso à informação,
visando sua competitividade comercial. Contudo a maioria dessas organizações necessita
disponibilizar suas informações ao mundo externo e/ou interno, em busca dessa
competitividade, mas nem sempre isso ocorre de forma adequada, comprometendo os
princípios da segurança da informação: disponibilidade, integridade e confidencialidade.
O artigo tem por objetivo enfatizar e demonstrar os scanners de vulnerabilidades,
ferramentas automatizadas de segurança que examinam as aplicações presentes nas estações
de trabalho e servidores de uma rede de computadores, verificando se nas máquinas há
vulnerabilidades exploráveis com a técnica de exploit hacking. Essa análise é de extrema
importância para as organizações, pois mostra as ameaças que as rodeiam diariamente, e os
scanners de vulnerabilidades apóiam tanto as detecções de vulnerabilidades como as suas
correções. Serão utilizadas três ferramentas de análise de vulnerabilidades, que irão mostrar as
ameaças que afetam diretamente o negócio na empresa.
Para isso, o trabalho apresenta as seguintes seções, além desta introdução. São
apresentados nas seções dois, três e quatro os conceitos básicos sobre segurança da
informação, ameaças e vulnerabilidades. Na seção cinco são abordadas três ferramentas
utilizadas para explorar vulnerabilidades em redes de computadores. A seção seis destaca o
estudo de caso realizado, no qual foi feito um estudo das vulnerabilidades encontradas em
uma rede de computadores projetada especialmente para este trabalho, com a finalidade de
apresentar as vulnerabilidades detectadas pelos scanners de vulnerabilidades. Por fim, são
destacadas as considerações finais do trabalho e as referências bibliográficas utilizadas.
2. SEGURANÇA DA INFORMAÇÃO
Com o advento da Internet, o acesso às informações das diversas áreas de
conhecimento foi facilitado, ampliando o campo da informação, tornando possível a
integração de diversas áreas de negócio por um meio que ainda apresenta muitas
vulnerabilidades que podem impactar de forma significativa uma organização.
Para Nakamura e Geus (2007), a Internet é hoje uma das principais tecnologias
das organizações, que oferece flexibilidade e competitividade, como por exemplo, realizar
3
movimentações financeiras, acessos a bancos de dados remotos e as mais variadas aplicações
possíveis, que proporcionam a expansão dos negócios.
Contudo a crescente utilização da Internet não só pelas organizações como
também por pessoas, traz consigo a necessidade da segurança da informação, uma vez que
existem inúmeras ameaças, como os malwares, que podem comprometer a confiabilidade1,
integridade2 e disponibilidade3 dessas estruturas, colocando em risco suas informações.
Januzzi (2007) destaca que “a segurança da informação é o processo de proteger
a informação de diversos tipos de ameaças externas e internas para garantir a continuidade
dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as
oportunidades de negócio”.
3. AMEAÇAS À SEGURANÇA DA INFORMAÇÃO
As ameaças, de qualquer natureza, comprometem a missão das empresas e
acabam afetando diretamente os ativos organizacionais, quase sempre, deixando prejuízos.
Ameaça é algo que possa provocar danos à segurança da informação,
prejudicando a organização e sua sustentação nos negócios (JANUZZI, 2007).
Módulo (2006) destaca que as ameaças são causas prováveis de um acontecimento
indesejado, que caso ocorra pode resultar em dano para a organização.
Dentre os principais tipos de ameaças, merecem destaque:
•
vírus: consistem em pequenos programas criados para causar algum dano ao
computador infectado, seja apagando dados, seja capturando informações, seja
alterando o funcionamento normal da máquina. Dependem da execução do
usuário para se tornar ativo e dar continuidade ao processo de infecção, podem
acessar listas de e-mail e enviar cópias de si mesmos, podendo causar
verdadeiras epidemias (CERT.BR, 2006);
•
worms: diferentemente dos vírus espalham-se rapidamente e automaticamente,
explorando vulnerabilidades e não necessita da interação com o usuário, como
ocorre com os vírus. O grande perigo dos worms é a sua capacidade de se
replicar em grande volume (CERT.BR, 2006);
1
2
3
Confidencialidade: garantia de que a informação é acessível somente por pessoas autorizadas.
Integridade: salvaguarda da exatidão e certeza da informação e dos métodos de processamento.
Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos
correspondentes sempre que necessário.
4
•
cavalo-de-tróia: trata-se de um programa normalmente recebido como um
presente (por exemplo, cartão virtual, álbum de fotos, protetor de tela, jogos),
que além de executar funções para as quais foi aparentemente projetado,
também executa outras funções normalmente maliciosas e sem o conhecimento
dos usuários. Linha Defensiva (2008) descreve que o cavalo-de-tróia “faz
algum tipo de atividade maléfica, porém ele não se espalha automaticamente,
diferente dos vírus e worms, que utilizam outros arquivos e rede para se
espalhar”. Segundo Newman (2006), quando um cavalo-de-tróia é ativado os
resultados podem variar, mas freqüentemente estes programas criam backdoors
permitindo acesso remoto ou vazamento de informações. InfoWester (2006)
corrobora essa idéia definindo-o como uma praga digital que, basicamente,
permite acesso remoto ao computador após a infecção. Essa ameaça difere dos
vírus por não contaminar outros arquivos e não se reproduzir automaticamente
(HAAGMAN e GHAVALAS, 2005);
•
bots: o bot (nome derivado de {Robot}), de modo similar ao worm, é um
programa capaz de se propagar automaticamente, explorando vulnerabilidades
existentes ou falhas na configuração de softwares instalados em um
computador. No entanto, de forma adicional ao worm, dispõe de mecanismos
de comunicação com o invasor, permitindo que o bot seja controlado
remotamente;
•
spyware: está muitas vezes associado a apresentações de publicidade
(adwares) ou software que detecta informações pessoais ou importantes. O seu
objetivo consiste em monitorar a atividade de um sistema, capturando
informações e as enviando para terceiros (CERT.BR, 2006);
•
keyloggers: são programas mal-intencionados que registram as teclas digitadas
por um usuário, incluindo mensagem instantânea e sites visitados, senhas,
cartão de crédito e números de conta, endereços, dentre outros (CERT.BR,
2006);
•
Screenlogger: forma avançada de keylogger, capaz de armazenar a posição do
cursor e a tela apresentada no monitor, nos momentos em que o mouse é
clicado, ou armazenar a região que circunda a posição onde o mouse é clicado
(CERT.BR, 2006);
5
•
usuários desatentos: seja pela falta de uma cultura homogênea de uso, pela
complexidade tecnológica dos sistemas, pela alta especialização dos golpes ou
simplesmente pela falta de tempo para avaliar cada situação, continuará nas
mãos do usuário a decisão de ir em frente, clicar, autorizar, aceitar, executar ou
simplesmente ignorar o que, em uma fração de segundo, pode representar mais
uma dose de risco (CERT.BR, 2006).
As ameaças exploram as falhas de segurança, que são denominados pontos fracos
ou vulnerabilidades. É importante que se conheçam os diferentes tipos de ativos4 e suas
vulnerabilidades na empresa para identificar tudo aquilo que deverá ser protegido, bem como
se preparar para a correção dessas vulnerabilidades.
4. VULNERABILIDADES
Segundo Januzzi (2007), vulnerabilidade são pontos pelos quais alguém pode ser
atacado e ter suas informações roubadas ou corrompidas.
As vulnerabilidades e ameaças devem ser identificadas e tratadas de acordo com a
probabilidade do seu acontecimento e o dano potencial à empresa, por meio desse processo é
possível identificar o risco do acontecimento.
Módulo (2006) destaca que as vulnerabilidades não seriam problema se não
existissem as ameaças para explorá-las. As ameaças visam por meio das vulnerabilidades:
explorar, danificar ou até mesmo roubar ativos das organizações.
Com o passar dos tempos e à medida que a tecnologia progride, as formas de
exposição ou vulnerabilidades irão crescer possibilitando assim o surgimento de novas
ameaças.
Segundo Módulo (2006), “as vulnerabilidades são os elementos que, ao serem
explorados por ameaças, afetam a confidencialidade, a disponibilidade e a integridade das
informações de um indivíduo ou empresa”. Os ativos estão constantemente sob ameaças, por
isso a identificação das vulnerabilidades é de fundamental importância para a organização, de
modo a garantir os princípios da segurança da informação.
4
Segundo Módulo (2006), “ativos são elementos que a segurança busca proteger, são elementos que possuem valor para as
empresas e, como conseqüência, precisam receber uma proteção adequada para que seus negócios não sejam prejudicados”.
6
Para realizar a identificação das vulnerabilidades é importante, segundo Módulo
(2006), conhecer a estrutura geral de classificação das vulnerabilidades ou pontos fracos,
ilustrada a seguir:
• vulnerabilidades físicas: são pontos fracos de ordem física presentes nos
ambientes em que estão sendo armazenados ou gerenciados ativos. Como por
exemplo, a não identificação de pessoas em locais de acesso limitado. A
exploração de uma vulnerabilidade física por uma ameaça, na maior parte das
vezes afeta diretamente o princípio da disponibilidade;
• vulnerabilidades naturais: são aquelas relacionadas diretamente aos fenômenos da
natureza que podem colocar em risco os ativos da organização. Por exemplo,
ambientes sem proteção contra incêndio;
• vulnerabilidades de hardware: são possíveis defeitos de fabricação ou
configuração
de
forma
errada,
proporcionando
a
exploração
dessa
vulnerabilidade por uma ameaça. Por exemplo, a falta de equipamentos de
contingência pode representar uma vulnerabilidade para a organização;
• vulnerabilidades de softwares: são pontos fracos encontrados em aplicativos.
Como exemplo cita-se os programas de e-mail que permitem a execução de
códigos maliciosos, editores de texto que permitem a execução de vírus de
macro, dentre outros;
• vulnerabilidades dos meios de armazenamento: são encontradas em suportes
físicos ou magnéticos de armazenagem de informação, que se não forem
utilizados de forma correta podem comprometer a integridade, a disponibilidade
e a confidencialidade da informação;
• vulnerabilidades de comunicação: segundo Módulo (2006), é um tipo de ponto
fraco que abrange todo o tráfego de informações, onde quer que se transmitam as
informações, seja por cabo, satélite, fibra óptica ou ondas de rádio, deve existir
segurança;
• vulnerabilidades humanas: são danos que pessoas podem causar às informações e
ao ambiente organizacional, pode-se ter como exemplo o uso de senhas fracas,
fala de uso de criptografia na comunicação, compartilhamento de identificadores
como nome de usuário ou credencial de acesso.
7
As vulnerabilidades são fatores que podem aumentar o risco a que estamos expostos
em todas as situações, como o de ter informações roubadas, corrompidas ou mesmo
destruídas. Para auxiliar na busca de algumas vulnerabilidades de softwares e hardwares,
existem aplicações, como os ports scannig, que serão tratados na próxima seção.
5. FERRAMENTAS PARA ANÁLISE DE VULNERABILIDADES
As atuais medidas de segurança não garantem 100% de eficácia contra todos os
possíveis ataques. A análise de risco, processo de avaliação das vulnerabilidades do sistema e
das potenciais ameaças, é, portanto um componente essencial de qualquer programa de
gerência de segurança da informação. O processo de análise identifica as prováveis
conseqüências, ou riscos associados com as vulnerabilidades, e gera a base para
estabelecimento de um programa de segurança que tenha um custo-benefício efetivo.
Os scanners são programas de varredura utilizados para detectar possíveis
vulnerabilidades em sistemas. Em outras palavras, são programas que procuram por certas
falhas de segurança que podem permitir ataques e até mesmo invasões. Servem justamente
para checar as condições de segurança de um ou mais equipamentos, de modo que se possa
corrigir eventuais falhas antes que alguém mal intencionado tenha chance de explorá-las,
obtendo alguma vantagem ou causando prejuízo. Assim como os demais, estes programas
também precisam ser atualizados com freqüência, de modo a corrigir falhas descobertas mais
recentemente (NAKAMURA e GEUS, 2006).
Segundo Nakamura e Geus (2006) os port scanners são ferramentas utilizadas
para a obtenção de informações referentes aos serviços que são acessíveis em uma rede ou
computador e definidos por meio do mapeamento das portas TCP (Transmission Control
Protocol e UDP (User Datagram Protocol).
Com as informações obtidas por meio dos port scanners, é possível evitar
desperdício de esforço com medidas de prevenção a ataques, uma vez que, quando uma
vulnerabilidade é encontrada deve ser medido seu grau de risco para a organização e então
tratada para que uma ameaça não venha a explorá-la.
Existem várias aplicações que executam a análise de vulnerabilidades de uma rede
ou host. A seguir são detalhados o nmap, o languard e o nessus.
8
5.1 NMAP
O Nmap é uma das ferramentas relacionadas à segurança e gerenciamento de
redes mais difundidas no ambiente Linux. Ela foi inicialmente criada com o objetivo de
detectar portas abertas em um destino, mas também pode ser utilizada para a localização de
dispositivos em um rede, ou para a verificação de alguns itens básicos de segurança, como
portas abertas em um host (servidor ou estação), verificação de regras de firewall e testes de
sistemas IDS (Intrusion Detection Systems), ou até mesmo detectar qual sistema operacional
ou que tipo de equipamento se trata um determinado host (KUROSE e ROSS, 2007).
O scanner de vulnerabilidade Nmap é muito utilizado na auditoria dos firewalls,
que são estruturas de hardware e software que isolam a rede interna de uma organização da
Internet em geral, permitindo que alguns pacotes passem e outros não. Ele é um pacote muito
utilizado e por isso está disponível em todas as principais distribuições. Pode ser instalado
usando o yast (SuSE), yum (Fedora), urpmi (Mandriva), ou outro gerenciador de pacotes
disponível (KUROSE e ROSS, 2007).
5.2 LANGUARD
O languard é um software que registra os eventos e pesquisa vulnerabilidades de
segurança em uma rede. Entre os benefícios da utilização dessa ferramenta em uma rede
estão: a detecção e controle de falhas de segurança, como falhas de patches (atualização de
segurança) e para cada vulnerabilidade encontrada, apresenta uma solução de segurança ou
service packs (pacote de atualização de segurança), contas não utilizadas, identificação de
portas abertas e permite varrer um ou mais IP’s (GFI NETWORK SECURITY, 2008).
Permite agendar scanners periódicos e comparar com execuções anteriores,
permitindo ainda, configurar o tipo de vulnerabilidade a ser pesquisada (ausência de patches,
erros de configurações, dentre outros) e exportar resultados em XML. Ele detecta uma grande
quantidade de vulnerabilidades que estiverem em um sistema operacional, uma aplicação,
banco de dados, etc, seja ele Windows, Linux, Solaris, Mac OS ou um roteador (GFI
NETWORK SECURITY, 2008).
9
5.3 NESSUS
O Nessus tem exatamente a função de encontrar "brechas" na máquina local, na
rede ou em uma rede de computadores. Segundo Santos (2005), ele foi criado em 1998, como
uma alternativa open-source aos vários softwares de segurança comerciais da época, busca ser
o mais atualizado possível e simples de usar, sendo dividido em “Nessusd” (servidor) e
“nessus” (cliente), ambos com versões para sistemas operacionais Linux e Windows.
Possui arquitetura cliente/servidor e baseada em plug-in5. Cada plug-in é utilizado
em uma vulnerabilidade de segurança que é enquadrada por órgãos competentes destinados a
lançarem boletins de segurança a respeito de falhas em sistemas de informação (SANTOS,
2005).
De acordo com Santos (2005), o Nessus pode ser utilizado para descobrir worms e
backdoors instalados em estações de trabalho e servidores. A ferramenta tem atualização
freqüente e suas funcionalidades incluem relatórios completos, scanning de um grupo de hosts
e buscas de vulnerabilidades em tempo real. O Nessus é software que tem o objetivo de fazer
verificação remota e segura de vulnerabilidades nos hosts de uma rede (OLIVEIRA et al,
2002).
6. ESTUDO DE CASO
O estudo de caso ilustra a seguir aplicação de duas ferramentas em uma rede de
computadores, projetada especificamente para detectar suas vulnerabilidades, mostrando as
funcionalidades e desempenho das ferramentas.
6.1. Ambiente de Testes Proposto
Será simulada uma rede heterogênea, com máquinas de diferentes conexões e
sistemas operacionais, como mostra a Tabela 1, e a implementação estará de acordo com
diagramação exposta na Figura 1.
Tabela 1. Ambiente de rede simulado
Tipo
5
Processador
Memória
RAM
Sistema
Operacional
Máquina
Virtual
Sistema
Operacional
da Máquina
Ferramentas
Instaladas
Tipo de
rede
Plug-in: é um programa que adiciona funções ou serviços a outros programas.
10
Virtual
PC
AMD
ATHLON XP
2200 1.8 GHz
PC
AMD
Sempron 3400
1.8 GHz
Notebook
Smartphone
Intel Pentium
M 1.73 GHz
-
512 MB
512 MB
512 MB
-
Windows XP
SP2
Windows XP
SP3
VMWare
Server
SP2
Symbian S60
-
Linux – FDTK
-
LAN
Windows 2003
Languard/ Nessus
Client 3.2.0
Nessus Server
Sever
3.2.0
-
-
-
WLAN
-
-
-
WLAN
VMware
Server
Windows XP
Windows 98SE
Windows XP SP2
LAN
LAN
Conforme visto na Figura 1, os equipamentos compartilharam Internet banda larga
por meio de um modem ADSL roteado, um router wireless com o serviço DHCP ativado, que
distribui a conexão com os demais equipamentos.
Figura 1. Diagrama do ambiente de rede
As máquinas virtuais foram criadas utilizando o software Vmware Server, que
utiliza parte dos recursos da máquina real, como memória, espaço em disco e processamento,
para criação das máquinas virtuais.
11
Foi criado um enlace com material par trançado UTP Cat 5 do router aos
equipamentos, com exceção do notebook e do smartphone que realizaram acesso à rede por
meio de wi-fi com criptografia WEP6.
O firewall das máquinas com sistema operacional Windows XP e Windows 2003
Server foram desabilitados para que não houvesse nenhuma barreira no momento da execução
do scan. Foi inserido um trojan no equipamento com sistema operacional Windows 98SE.
Este trojan foi criado com o software Netbus Pro 2.10 e instalado de forma que seu processo
ficasse invisível no sistema, abrindo a porta TCP 20034 do host, como mostra a Figura 2.
Figura 2. Configuração do Netbus Server Pro 2.10
6.2 Utilizando o Languard
A ferramenta Languard foi instalada na máquina virtual com sistema operacional
Windows XP. Após sua inicialização e atualização automática dos plug-ins, foi definido um
intervalo de IP’s (Internet Protocol) para que o scanner pudesse identificar as máquinas na
rede. Na Figura 3 tem-se a tela inicial do languard, onde foi realizado o escaneamento da
rede.
6
WEP: protocolo que provê segurança durante o processo de autenticação, proteção e confiabilidade na
comunicação entre os dispositivos wireless.
12
Figura 3. Verificação do escaneamento da rede
Como pode ser observado na Figura 4, o scanner verificou em uma das máquinas
com sistema operacional Windows XP, vulnerabilidades do nível high, o mais alto grau de
vulnerabilidade. Além disso, foram detectadas vulnerabilidades relacionadas à ausência de
patches de segurança, compartilhamentos sem controle de acesso, além de portas TCP e UDP
abertas desnecessariamente.
A Figura 4 mostra com detalhes o número de vulnerabilidades encontradas em
uma das máquinas virtuais com sistema operacional Windows XP Professional.
13
Figura 4. Vulnerabilidades de uma máquina da rede
Na análise da máquina com sistema operacional Windows 98, onde foi inserido o
trojan, o scanner Languard identificou a presença do malware como mostram as
Figuras 5 e 6.
14
Figura 5. Malware encontrado através do Languard
Figura 6. Porta TCP e UDP abertas pelo malware
A ferramenta permite emissão de relatórios em formatos xml, htm e html. A
Figura 7 mostra o cabeçalho do relatório do Languard.
15
Figura 7. Cabeçalho do relatório do Languard
A Figura 8 mostra um trecho do relatório da máquina em que foi localizada uma
porta aberta e com trojan.
Figura 8. Relatório com análise do host
6.3 UTILIZANDO O NESSUS
O Nessus Server foi instalado na máquina virtual com Windows 2003 Server, pois
esse módulo da ferramenta apresenta instabilidade no Windows XP Home Edition e
Professional por gerar falsos negativos devido à limitação do número de conexões
simultâneas TCP, sendo indicada a sua instalação na família server do Windows (TENABLE
NETWORK SECURITY, 2008). Primeiramente foi realizada a atualização dos plug-ins,
representado pela Figura 9.
Figura 9. Download plug-ins - Nessus Server
16
Em seguida, após a atualização e instalação dos plug-ins, foi realizada a
configuração do servidor conforme visto na Figura 10.
Figura 10. Configuração do Nessus Server
Em manutenção dos usuários foi criado um usuário para que o módulo Client
pudesse ter acesso (vide Figuras 11 e 12).
Figura 11. Adicionando usuário
Figura 12. Manutenção de usuários
Foi definido um intervalo de IP’s correspondente à rede criada e realizado o scan
com as políticas padrões (Default scan policy) (vide Figuras 13 e 14).
17
Figura 13. Range de IP’s a serem escaneados
Figura 14. Políticas padrões do Nessus
A Figura 15 mostra as máquinas que foram encontradas na rede, com exceção do
smartphone, que não foi detectado.
Figura 15. Identificação das máquinas existentes na rede
18
O cabeçalho do relatório do scan é apresentado na Figura 16.
Figura 16. Cabeçalho do relatório no Nessus
Na Figura 17 é apresentado um trecho do relatório de vulnerabilidades da
máquina de IP 192.168.1.105. O Nessus mostra que o sistema operacional instalado no host é
descontinuado e não possui mais suporte do fabricante. Na Figura 17 nota-se ainda a presença
do trojan netbus no host.
Figura 17. Vulnerabilidades na máquina Windows 98 SE
Conforme relatório na Figura 18 identifica-se o grau e a quantidade de
vulnerabilidades presentes em cada máquina nas quais foi realizada a análise de
vulnerabilidade.
19
Figura 18. Vulnerabilidades nas máquinas da rede
Na Figura 19 são mostradas as vulnerabilidades encontradas na máquina de IP
192.168.1.100. Dentre elas cita-se: compartilhamentos sem controle de acesso e uma falha
grave no sistema de gerenciamento de banco de dados Firebird, existente na máquina.
20
Figura 19. Vulnerabilidades na máquina 192.168.1.100
O Nessus no primeiro scan não detectou o smartphone, sendo necessário mais de
um scan para encontrar o equipamento, e não foi possível a detecção de qualquer informação
referente ao hardware.
6.4 CONCLUSÃO
As ferramentas analisadas no estudo de caso apresentam-se eficientes para seu
propósito, realizando a detecção das vulnerabilidades e ameaças presentes na rede aqui
projetada.
A análise realizada com as ferramentas apresentadas neste artigo pode ser
estendida e aplicada em um ambiente organizacional para detecção das vulnerabilidades nela
presentes. Ambas são eficientes no controle da segurança da informação que trafega pela rede.
No ambiente proposto, sendo uma rede de computadores heterogênea, com
equipamentos de diferentes sistemas operacionais e sem um domínio implementado, a
ferramenta Nessus mostrou um melhor desempenho, pois não precisa de uma senha de
administrador da máquina local ou de um domínio para rodar o port scan.
As duas ferramentas utilizadas no estudo de caso apresentaram quase as mesmas
vulnerabilidades, mas o software Languard apesar de ser mais rápida, ao longo do scan,
utilizou uma maior percentual de utilização da rede. O estudo de caso mostra que a utilização
das ferramentas de modo adequado, pode identificar de forma pró ativa as vulnerabilidades
existentes no meio.
A utilização de ferramentas, como as apresentadas neste estudo de caso, em
ambientes organizacionais, pode agregar confiabilidade, integridade e disponibilidade,
auxiliando na segurança da informação e ainda, o mais importante, sendo pró-ativa.
Uma vez identificadas as vulnerabilidades, essas devem ser tratadas de acordo
com seu grau de risco para a organização, uma vez que a exploração de uma vulnerabilidade
crítica pode levar a organização à falta de confiabilidade e disponibilidade comprometendo
assim sua imagem, causando desconforto e desconfiança pelos seus usuários e clientes.
21
7. CONSIDERAÇÕES FINAIS
Tendo-se em vista o exposto neste artigo, pode-se concluir que a segurança da
informação é de fundamental importância para a sobrevivência das organizações nos dias
atuais.
A alta disponibilidade, exigência da integridade e confidencialidade da
informação só poderão ter seus riscos minimizados se os cuidados com a segurança da
informação forem respeitados.
Observa-se ainda que não existe organização 100% segura. Enquanto
vulnerabilidades são descobertas, ameaças são removidas e ataques são frustrados,
paralelamente, outras vulnerabilidades, ameaças e técnicas de ataque são criadas, por isso a
empresa precisa estar sempre atenta às suas vulnerabilidades para efetuar as correções
adequadas e minimizar a possibilidade de ser alvo de alguma ação maliciosa.
É importante ressaltar que languard e nessus, como outras ferramentas de análise
de vulnerabilidades, alinhados com as técnicas de exploração de falhas ou brechas em
sistemas, têm o propósito de manter os pilares da segurança da informação
(confidencialidade, integridade, disponibilidade). Com isso pode-se afirmar que a segurança
da informação é fundamental para o sucesso dos negócios.
Através da pesquisa realizada neste artigo, é possível encontrar muitas medidas de
segurança perfeitamente cabíveis e de fácil aplicação em redes domésticas convencionais e
até empresariais aplicadas com regras e técnicas. Por isso o estudo e a junção de várias
medidas para que se seja possível gerar um padrão de segurança para empresas e mesmo em
pequenas organizações é extremamente necessário.
8. REFERÊNCIAS BIBLIOGRÁFICAS
CERT.Br. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil.
Cartilha
de
Segurança
para
Internet.
2006.
Disponível
em:
<http://cartilha.cert.br/conceitos/>. Acesso em: 30 ago. 2008.
GFI NETWORK SECURITY. Disponível em: < http://www.gfi.com/languard/>. Acesso em:
15 mai. 2008.
22
HAAGMAN, D.; GHAVALAS, B. Trojan Defence: A Forensic View. Digital
Investigation, 2(1):23–30. 2005.
INFOWESTER.
Firewall:
Conceitos
e
Tipos.
2006.
http://www.infowester.com/firewall.php. Acesso em: 12 jun. 2008.
Disponível
em:
JANUZZI, S. Introdução a Segurança da Informação, demonstração do conteúdo realizada
no CES/JF, 2007.
KUROSE, James F.; ROSS, Keith W. Redes de Computadores e a Internet (Uma
abordagem top-down). SP: Pearson, 2007.
LINHA
DEFENSIVA.
Dicionário.
2008.
Disponível
http://linhadefensiva.uol.com.br/dicionario. Acesso em: 12 mai. 2008.
em:
MÓDULO. Curso Básico de Segurança da Informação (Academia Latino-Americana de
Segurança da Informação). Módulo Security, 2006.
NAKAMURA, E. T.; GEUS, L. P. Segurança de Redes em Ambientes Cooperativos. SP,
2007.
NEWMAN, R. C. Cybercrime, Identity Theft, and Fraud: Practicing Safe Internet Network Security Threats and Vulnerabilities. In InfoSecCD ’06: Proceedings of the 3rd
annual conference on Information security curriculum development, pages 68–78, New York,
NY, USA. ACM Press. 2006.
OLIVEIRA, F. S.; GUIMARÃES, C. C.; GEUS, P. L. Resposta a Incidentes para
Ambientes Corporativos Baseado em Windows. 2002.
SANTOS, B. R. Detecção de Intrusos Utilizando o Snort. Computação da Universidade
Federal de Lavras, Graduação Latu Sensu em Administração de Rede Linux, 2005.
SILVA, L. A. M. Segurança em Redes de Computadores: Estudo e Análise de
Ferramentas Computacionais. 2006.
TENABLE NETWORK SECURITY. Nessus 3.2 Installation Guide, 2008. Disponível em: <
http://www.nessus.org/documentation/nessus_3.2_installation_guide.pdf>. Acesso em: 15
mai. 2008.
23