TESTES E ANÁLISE DE VULNERABILIDADES
para micro e pequenas empresas
testes para sites na internet
VEJA ALGUNS ARTIGOS NO LADO ESQUERDO DESSA PÁGINA
QUE EU MESMO ESCREVI SOBRE
VULNERABILIDADES EM SITES NA INTERNET
Bem, devido ao enorme interesse pelas pessoas e pelas empresas em divulgarem o seu nome, suas habilidades e dons, a sua marca, os seus serviços e de vender seus produtos atravé s de sua página na internet, a quantidade de páginas foi crescendo muito por causa disso. Com efeito, foi aumentando a quantidade de pessoas interessadas em roubar dados e informações de clientes de sites, como por exemplo, o número de seu cartão de crédito para depois vender no mercado negro.
Infelizmente, nosso mundo tem as pessoas com intenções corretas, mas sempre terá também as pessoas com intenções negativas para com sua empresa ou seu site , aonde tentarão atacar e essas pessoas são chamadas de crakers e, algumas vezes, existem os scripts kiddies que ficam mexendo também tanto em sites como nas lans de empresas sem autorização, sem saber que hoje em dia é considerado crimes certas atitudes e posturas na internet.
As pessoas maliciosas sempre existirão , mas o que fará a differença em termos de de a empresa ou o site evitar tudo isso, será ter profissionais de segurança e instrumentos de segurança de redes, de sites , de perímetro para evitar tais ataques e prejuízos tanto financeiros como na imagem do site ou da empresa.
Um dos problemas de segurança da informação por ai, esta na falta do arquivo de protecao para diretorios , o chamado .htaccess , de um bom firewall de aplicacao web como por exemplo o modesecurity ou então da falta de qualquer outro firewall como para linux , o firewall iptables ou para o sistema windows mesmo. Ora, no caso de sites , falta muitas vezes filtros que validem a entrada de seus formularios seja em php , asp, aspx, html, python etc , não permitindo que um atacante execute injecoes de vários tipos como sql injection, xss e muitos outros; Mas as vulnerabilidades estão também nos bugs zero day , nas falhas , erros de aplicacao de banco de dados por exemplo( que podem ser explorados) e na falta de atualizacao dos sistemas e softwares utilizados na apalicação web como um todo.
Outro ponto importante para manter a segurança de sites e de empresas( lans), será constantemente fazer testes e análise de vulnerailidades nos servidores web e nos sistemas dentro da empresa e , com isso, corrigindo as vulnerabilidades. Com efeito, sem vulnerabilidades significa que quando uma pessoa maliciosa scannerar a sua aplicação ou mexer em sua rede interna, não terá como invadir por vulnerabilidades. simples assim.
A ENGENHARIA SOCIAL
A engenharia social como testes de vulnerabilidades pode ser bem interessante para testar se a empresa esta preparada para, se um dia , ela sofrer algum tipo de ataque chamado engenharia social . Por exemplo, um teste bem simples de engenharia social , seria ir até á empresa, deixar um pendrive na recepção ou em qualquer outro lugar com um malware tipo backdoor( que quando executado abriria um porta no firewall) e como muitos funcionários podem ser curiosos para ver assuntos de terceiros , a chance seria muito grande esse funcionário um dia ( se não for preparado em termos de segurança) abrir esse pendrive e executá-lo na rede interna da empresa.
O teste serviria então para testar o grau de conhecimento, assimilação da política de segurança e se conseguem por em prática todo o conhecimento recebido no treinamento dessa política.
O QUE É ANÁLISE DE VULNERABILIDADES?
Primeiramente, para você entender o que análise de vulnerabilidades eu devo dizer que todo sistema servidor, toda plataforma seja windows ou linux, toda aplicação web( programas por exemplo banco de dados) poderá ter algum erro de programação ( zero day) que poderá ser descoberto por algum hacker esperto e conhecedor de linguagens de computador e do sistema em questao que o hacker esta focando esforco e que através daquela falha , o sistema podera ser explorado por um exploit , por injeções de varios tipos.
Por isso, temos que ir descobrindo as falhas na sua aplicação web, aos poucos, depois ir corrigindo para evitar que algum dia uma pessoa maliciosa( seja interno ou externo a empresa) o descubra e tente usar de maneira negativa, causando efeitos e impactos desastrosos nos ativos de ti e na imagem do site e da empresa na internet.
PARA QUE SERVE FAZER UMA ANÁLISE DE VULNERABILIDADES?
Serve para testar a sua aplicação web em termos de seguranca , verificando vulnerabilidades, erros e bugs conhecidos no seu servidor http(s), do seu banco de dados mysql ( ou outro bano de dados) e verificar tambem se o codigo da sua aplicacao web ( php, ajax , asp , aspx, html5 ) possuem vulnerabilidades de diversos tipos.
PARA QUEM SERVE UMA ANÁLISE DE VULNERABILIDADES?
Serve para qualquer pessoa ou empresa que tem uma aplicação web rodando em algum servidor na internet , seja na nuvem ou dentro de sua própria empresa . Além disso, serve também para analisar a rede interna da empresa( servidores e desktop clientes que tem uma infinidade de programas e que devem estar atualizados em termos de patches de segurança).
______________________________________________________________________________________________________________________________
( TESTE DE PENETRAÇÃO POR VULNERABILIDADES ENCONTRADA)
EM SERVIDOR WEB E SUAS APLICACOES
E TAMBEM
EM LANS DE EMPRESAS
CONHEÇO TÉCNICAS DE PENTEST METASPLOIT FRAMEWORK MEGAPRIMER
Hoje em dia tornou-se extremamente importante fazer a análise de vulnerabilidades de seu site e de sua lan na empresa e ,depois disso, testar por um teste de penetracao( pentest) o que se poderia fazer em termos de comandos no sistema alvo testado ou até aonde essas vulnerabiliades encontradas nos permitiriam chegar ; Por exemplo, o que seria possível copiar de documentos , apagar dados seja do site ou da lan , se permitiria fazer download e do que , se premitiria fazer upload de arquivos e quais tipos permitiria , entre outras coisas como escalada de privilégios dentro de um sistema e tudo mais. Ora, se tudo isso acontecesse na verdade por um ataque de cracker , aonde muitas informacoes sigilosas e confidenciais poderiam vazar ou serem roubadas da empresa , do site ( seus funcionarios , seus clientes e prestadores de servicos) , pode ter certeza que o efeito de tudo isso sera vir prejuizos, perdas e uma imagem de site inseguro para compras e tudo mais.
Por outro lado, se o cliente descobrir tudo isso antes que um cracker ataque , o cliente poderia corrigir todas essas falhas e vulnerabilidades em seus sistemas, podendo evitar que seu site ou sua empresa se torne um alvo de pessoas maliciosas com intencoes muito negativas ; Por ultimo, o cliente iria evitar de perder clientes, vendas , dinheiro aos seus concorrentes e manteria o mais precioso de tudo que seria a boa imagem do site e seus ativos de ti intactos , sendo considerado um site na internet seguro para comprar e que garante a seguranca e a privacidade dos dados de seus clientes, principalmente os mais sensiveis como numero de cartao de credito, pois infelizmente ainda tem sites que armazenam esses dados sem muita protecao no seu servidor.
O QUE É UM TESTE DE P E NETRACAO EM SITES(servidor web e suas aplicacoes)?
Um pentest ( teste de penetração ) em um site , é uma forma de testar a segurança do servidor web e suas aplicacoes no sentido de verificar se existe vulnerabilidades, falhas e erros no sistema servidor, na aplicacao web( php, asp...) e no banco de dados(s) utilizados , os quais permitiriam adentrar ao sistema por exploit ou por injecoes de varios tipos e apartir dali comecar a fussar mais fundo, verificando ate onde esse caminho( vulnerabilidade) permitiria chegar no sistema do site e da emrpesa. Por exemplo, existindo uma vulnerabilidade no banco de dados ( id="3__________e usando para testar com o xss ela com um famoso comando script
_______________________________________________________________________________________________________________________________
TIPOS DE TESTES QUE O CLIENTE PODE ESCOLHER
PARA SER FEITO PELA INTERNET
NA APLICAÇÃO WEB DO CLIENTE
BLACK BOX:
Bem, no tipo de teste black box o profissional de segurança da informação(testador) não conhece , no momento que começará o teste , nada sobre a infra estrutura do servidor web , os tipos de servidores e serviços, nada sobre a topologia de rede, nada sobre os firewalls utilizados, nem sobre as plataformas e sistemas que a empresa utiliza em seu site . Ora, eu acho que esse é um teste bem interessante para utilizar, porque a grande maioria dos ataques por pessoas maliciosas vem de fora mesmo e eles estarao no escuro como no teste black box; Com efeito, usando esse tipo de teste descobriremos muito sobre a dificuldade ou a facilidade para adentrar a infra-estrutura do site testado.
Eu gostaria de afirmar que para se fazer um bom teste mesmo sendo um black box, seria muito bom ter em mãos alguma credencial com o objetivo de evitar falsos positivos e falsos negativos no relatório e obter mais vulnerabilidades para o cliente.
blind: o profissional de segurança que vai testar não conhece o alvo, porém no escopo foi acordado que a equipe de segurança da empresa sabe que o pentest será executado tal dia e quais os testes que serão feitos.
double blind: o profissional de segurança não conhece nada do alvo no momento e o alvo( setor de segurança da empresa) também não foi avisada que será feito um pentest na aplicação web, rede e nos servidores e nem que testes serão feitos.
WHITE BOX :
Bom, neste caso de teste do tipo white box , teremos conhecimento de toda a rede, de todos os servidores da aplicacao web do cliente , banco de dados e tudo mais que precisarmos saber. Além disso, ganharemos as credenciais necessárias para irmos mais fundo nos testes de vulnerabilidades em servidores , mas sempre agindo de acordo com o escopo acordado em reunião com o cliente.
Em alguns casos, poderemos saber sobre a linguagem do site, seus problemas e testar a qualidade dessa programação em termos de filtros de segurança , sanatizaçoes e observar qual seria o impacto dos testes no site. Emfim, essa é uma caixa branca aonde podemos ver e ter acesso ao que quisermos em acordo com a permissão recebida do cliente claro.
Neste caso também temos assim:
O profissional de segurança da informação que vai testar tem conhecimento total da aplicação web , servidores e rede interna , o alvo sabe que será testado e quais testes serão feitos.
GREY BOX
No teste do tipo grey , o testador tera conhecimento parcial da infraestrutura do servidor web testado
GREY BOX: O testador tem conhecimento parcial do web server e o alvo sabe o que sera atacado e quais os testes serao realizados.
DOUBLE GREY BOX: O testador tem conhecimento parcial do web server e da sua rede interna, o alvo sabe que sera atacado tal data , mas nao sabe quais testes serao realizados.
_______________________________________________________________________________________________________________________________
VEJA NO LINK MAIS ABAIXO , O QUE RECOMENDA EM TERMOS DE SEGURANÇA A CIELO
www.cielo.com.br/wps/wcm/connect/11a69252-599e-4dc9-99e7-4bd53f341c6f/guia_de_boas_praticas.pdf?MOD=AJPERES&CONVERT_TO=url&CACHEID=11a69252-599e-4dc9-99e7-4bd53f341c6f
________________________________________________________________________________________________
PARA TER MAIS CLIENTES, VENDER MAIS E SER CONSIDERADO UM
SITE SEGURO . PARA ISSO, BUSQUE CERTIFICACAO COM A PCI DSS
VEJA NESTE LINK AO LADO pt.pcisecuritystandards.org/minisite/en/
________________________________________________________________________________________________________________________________
BUSQUE EMPRESAS COM CERTIFICAÇÃO EM PCI DSS
QUE AJUDEM NAS TRANSAÕES ELETRONICAS E-COMMERCE DE SEU SITE
