Análise de Vulnerabilidades com OpenVAS e Nessus

Prévia do material em texto

Departamento de Computação - Universidade Federal de São Carlos (UFSCar)
Caixa Postal 676 – 13.565-905 – São Carlos – SP – Brasil
Autor para correspondência: cleriston@gmail.com, mbellezi@gmail.con
ISSN 2316-2872
T.I.S. São Carlos, v. 3 , n. 1 , p. 34-44, jan-abr 2014
©Tecnologias, Infraestrutura e Software
Análise de Vulnerabilidades com
OpenVAS e Nessus
Clériston Aparecido Gomes Martinelo, Marcos Augusto Bellezi
Resumo: Um dos ativos de valor das empresas é a informação, com destaque para a sua proteção, pois muitas vulnerabilidades e ataques são
conhecidos e, a cada dia, novos são descobertos. Manter o parque computacional das empresas atualizado e protegido das vulnerabilidades é
um trabalho minucioso, podendo ser auxiliado por softwares de análise de vulnerabilidades, que automatizam e facilitam o rastreamento dessas
vulnerabilidades. Este artigo aborda dois destes softwares, o OpenVAS e o Nessus, e faz a comparação d os resultados da varredura de ambos.
Foi possível verificar que os softwares testados foram capazes de detectar as vulnerabilidades conhecidas no ambiente utilizado.
Palavras-Chave: segurança de redes, análise de vulnerabilidade, OpenVAS, Nessus.
Vulnerability Analysis with OpenVAS and Nessus
Abstract: One of the valuable assets of companies is information. Currently, one of the key features of the digital information has been its
protection, because many vulnerabilities and attacks are known, and every day, new ones are discovered. This way, keeping the company
computational structure updated and protected from vulnerabilities is a detailed job. In order to assist with this task, vulnerability analysis
software packages which automate and help tracking these vulnerabilities may be used. This article discusses about two of these software
packages, OpenVAS and Nessus, comparing the results oftheir scanning. It was possible to verify that the software packages tested were able
to detect known vulnerabilities in the environment used.
Keywords: computer networks, vulnerability analysis, OpenVAS, Nessus.
I. INTRODUÇÃO
As empresas, de qualquer segmento e tamanho, cada vez
mais utilizam os serviços da TI - Tecnologia da Informação -
como meio para atingirem seus objetivos. Aliado a isso, o
aumento da conectividade dos computadores à rede mundial
contribuiu para o crescimento dos incidentes de segurança.
Conforme o CERT.BR (2012b), em 2001 houve 12.301
incidentes reportados. Dez anos depois, em 2011 , foi
registrado um número 32,47 vezes maior. Houve 399.51 5
incidentes reportados.
O trabalho de manter os ativos de rede seguros vai além do
da utilização de anti-virus nos computadores. Softwares
desatualizados em estações de trabalho e servidores, aliado a
más práticas de configurações de serviços criam alvos fáceis
para exploradores de vulnerabilidades. A utilização de
firewall não é uma solução definitiva, visto que, muitas portas
legítimas podem estar vulneráveis, como é o caso da porta 80
que hospeda websites vulneráveis.
Este artigo aborda os principais tipos de vulnerabilidades,
softwares maliciosos e ataques. Após este estudo, é discutido
a importância da análise de vulnerabilidade com o uso dos
softwares OpenVAS e Nessus. O intuito da utilização destes
softwares é automatizar e facilitar a descoberta de
vulnerabilidades em uma rede, para correção, antes que as
mesmas sejam exploradas por atacantes.
II. SEGURANÇA DA INFORMAÇAO
Segurança da Informação é tratada pelo Comitê Brasileiro
de Computadores e Processamento de Dados (ABNT/CB-21 )
e pela Comissão de Estudo de Segurança Física em
Instalações de Informática (CE-21 :204.01 ) através da norma
ABNT NBR ISO/IEC 17799:2005.
A norma (ISO 17799, 2005) define a informação como um
ativo, sendo ela importante como qualquer outro ativo do
negócio. Ela pode ser apresentada ou armazenada de diversas
formas como: escrita, impressa em papel, armazenada
eletronicamente, enviada por correio ou expressada
verbalmente.
A norma ABNT NBR ISO/IEC 17799:2005 define
Segurança da Informação como:
35 T.I.S. 2014; 3 (1 ): 34-44
Análise de Vulnerabilidades com OpenVAS e Nessus
“Preservação da confidencialidade, da
integridade e da disponibilidade da
informação; adicionalmente, outras
propriedades, tais como autenticidade,
responsabilidade, não repúdio e
confiabilidade, podem também estar
envolvidas” (ISO 17799, 2005, p. 1 3).
A Segurança da Informação tem que ser vista pelas
empresas como algo estratégico, pois elas estão muito
dependentes dos serviços da Tecnologia da Informação (TI),
como por exemplo:
• Web Site: Como canal de divulgação da empresa ou
até mesmo para a venda de seus produtos e serviços.
• E-mail: Para troca informações.
• Videoconferência: Utilizado para realizar reuniões à
distância.
• Telefonia Ip: Fazer ligações entre as unidades de
uma empresa a um custo reduzido.
• Sistemas de Informação Computadorizado: Para
armazenar e gerir informações conforme o modelo de negócio
da empresa.
Para o negócio, a proteção da informação, dos serviços e da
rede como um todo é muito importante para "garantir a
continuidade do negócio, minimizar o risco ao negócio,
maximizar o retorno sobre os investimentos e as
oportunidades de negócio." (ISO 17799, 2005).
Um exemplo real de prejuízo financeiro causado por falha
de Sistema de Informação é a possível perda de R$ 1 bilhão
dos cofres públicos pelo banco Caixa Econômica Federal. O
sistema de informática responsável pelas informações
relativas a papéis da dívida pública ficou fora do ar entre
setembro de 2008 a agosto de 2009. Esta indisponibilidade no
sistema prejudicou a conferência dos valores dos papéis
vendidos. Com isso, uma corretora comercializou estes papéis
com preços inflacionados. Se os compradores prejudicados
entrarem na justiça, a União terá ressarci-los (NERY,
AMORA, VALENTE, 2011 ).
Além da falha em sistemas, a indisponibilidade pode ser
causada por malwares. Segundo Tagiarol (2010) no ano 2000
o vírus "I Love You" infectou 84 milhões de usuários e gerou
um prejuizo estimado em US$ 8,7 bilhões. Como o vírus se
retransmitia para os contatos dos usuários, ele gerava um alto
tráfego o que ocasionou travamento de servidores de E-mail
de várias empresas. Os danos com malware poderiam ser
diminuidos. Conforme ISO 17799 (2005, p. 58) além da
conscientização dos usuários, pode ser utilizado um controle
de proteção e detecção de malwares.
Os aspectos da Segurança da Informação são formados pela
tríade confidencialidade-integridade-disponibilidade,
definidos como:
• Confidencialidade: Garantir que informação seja
acessível somente às pessoas autorizadas.
• Integridade: Manter as informações íntegras sem
modificações não autorizadas.
• Disponibilidade: Disponibilizar as informações no
momento em que elas são requisitadas.
III. VULNERABILIDADES
“Uma vulnerabilidade é um ponto onde o sistema é
susceptível a um ataque. Uma ameaça pode explorar uma
vulnerabilidade para concretizar um ataque a um sistema.”
(PINHEIRO JUNIOR; KON, 2005)
Já segundo Cert.br (2012a) “Uma vulnerabilidade é
definida como uma condição que, quando explorada por um
atacante, pode resultar em uma violação de segurança”
As vulnerabilidades são originadas de falhas na maiora das
vezes não intencionais. Estas falhas podem ser:
• Físicas: Acesso a ativos por pessoas não autorizadas,
devido à falta de controle de acesso. Por exemplo, uma
empresa tercerizada de limpeza desligar um switch por
engano.
• Hardware: Falhas no Hardware em ocasionam
indisponibilidade no sistema ou perda dados. Outro item desta
falha é a inclusão de um hardware malicioso como um
Keylogger.
• Naturais: Desastres naturais comprometendo a
segurança dos dados armazenados.
• Humanas: Operador de sistema utilizar
erroneamente uma função, prejudicado o funcionamento do
mesmo ou perda de informações.
• Software: Falhas de programação, abrindo brechas a
serem exploradas.
Conforme estatísticas de incidentes do Cert.br (2012b)
reportados de abril a junho de 2012 em 34,65% de incidentes
são do tipo de ataque Scan, onde o atacantefaz uma varredura
de portas abertas em uma rede para identificar os serviços
disponibilizados e suas possíveis vulnerabilidades. Caso o
atacante tenha êxito em identificar uma porta vulnerável e ter
acesso indevido a um servidor de uma empresa, 0,99% dos
incidentes, os prejuízos são proporcionais ao valor de receita
gerado por este servidor, como por exemplo, um site E-
Commerce que fica indisponível por horas perde grande
quantidade de vendas.
Muitas vulnerabilidades são exploradas ou criadas a partir
de softwares desenvolvidos para este fim conhecidos como
Malware. Proveniente do inglês malicious software o
Malware é um programa que produz efeitos danosos e
indesejados. O quadro 1 mostra um comparativo dos
Malwares com relação à obtenção, instalação, propagação e
ações maliciosas.
Os principais tipos de Malware encontrados hoje são:
Vírus: Programa capaz de se autoexecutar e infectar outros
arquivos com seu próprio código.
Worm: Programa malicioso que se propaga sem a
necessidade de infectar outros arquivos, diferentemente do
vírus, sua propagação é feita sem intervenção humana
utilizando vulnerabilidades em uma rede.
Bot e botnet: Bot é um programa que permite ser
controlado remotamente para executar vários comandos
maliciosos, como, por exemplo, ataque de negação de serviço
a um site. Uma botnet é uma rede com vários bots no qual sua
ação maliciosa é amplificada.
Spyware: Os Spywares coletam informações pessoais ou
empresariais e as enviam para terceiros. O Keylogger é um
36T.I.S. 2014; 3 (1 ): 34-44
Clériston Aparecido Gomes Martinelo, Marcos Augusto Bellezi
tipo de Spyware que captura as teclas digitadas pelo usuário,
geralmente utilizado para roubar senhas.
Backdoor: O Backdoor ou Porta do fundo é uma
vulnerabilidade que abre uma brecha para o atacante obter
acesso indevido.
Cavalo de tróia: Também conhecido como Trojan o
Cavalo de Tróia é um programa malicioso que se disfarça por
um programa bem intencionado. O usuário executa, sem
saber, um código malicioso pensando que está executando
apenas um programa legítimo. Eles geralmente são
disseminados por e-mails e redes sociais se passando por
cartões, álbum de fotos, jogos e etc (CERT.BR, 2012a).
Rootkit: Conjunto de programas utilizado por um atacante
para ocultar sua invasão e facilitar um futuro ataque. Os
Rootkits podem ser utilizados em outros malwares para
dificultar a detecção destes (CERT.BR, 2012a).
Quadro 1 . Resumo comparativo de malwares
Extraído de: Cert.br - Centro De Estudos, Resposta e Tratamento de Incidentes De Segurança No Brasil
A efetivação de um ataque é o exito na exploração de uma
ou mais vulnerabilidades. As motivações para realizar um
ataque segundo Cert.br (2012a), podem ser financeiras, por
prestígio, demonstração de poder, por ideologia ou
comerciais. Com novas tecnologias novas ataques surgem,
mas o principais ataques conhecidos atualmente são :
DoS e DDoS: Negação de Serviço do inglês Denial of
Service, sigla DoS, ocorre quando um site (ou serviço) fica
indisponível por receber uma grande quantidade de tráfego,
não podendo atender as requisições legítimas (SOLHA;
TEIXEIRA; PICCOLINI, 2012).
Os ataques DDoS (Distributed Denial of Service) são
37 T.I.S. 2014; 3 (1 ): 34-44
Análise de Vulnerabilidades com OpenVAS e Nessus
vários ataques DoS feitos de maneira distribuída dificultando
assim o bloqueio da origem os ataques. Geralmente estes
ataques provêm de computadores infectados com Bots
participantes de uma rede Botnet.
Buffer Overflow: Buffer Overflow ou Estouro de Buffer
ocorre quando um espaço de memória com tamanho fixo
recebe um dado maior que seu tamanho, ocorrendo assim um
vazamento dados na memória sobrescrevendo a memória
adjacente.
O código fonte da Figura 1 é um programa escrito em
Linguagem C susceptível a Estouro de Buffer. Na linha 5 que
contém char buffer[1 ] um tamanho fixo é definido para
variável buffer. Se esta variável receber dados maiores que o
valor fixado ocasionará o Buffer Overflow. A partir disso é
possível desenvolver outro programa , chamado exploit, que
explorará esta vulnerabilidade obtendo acesso ao shell do
sistema.
Figura 1 . Código vulnerável a Estouro de Buffer.
Spam: são e-mails não solicitados que são enviados em
massa gerando tráfego desnecessário nas redes. Geralmente
os Spams têm como intuito a divulgação de produtos, mas
também são responsáveis por muitos golpes de Internet por
disseminarem Malwares.
Phishing Scam: E-mails falsos que se passam por
mensagens de instituições confiáveis, como bancos e órgãos
gornavernamentais. Seu intuito é induzir o usuário a instalar
um programa malicioso ou visitar uma página falsa (cópia de
uma verdadeira) para obter dados pessoais, como por
exemplo, senhas e números de cartão de crédito.
Segundo Cert.br (2012b) 58,98% das fraudes de abril a
junho de 2012 eram de páginas falsas.
DNS Poisoning: Envenenamento de DNS é um ataque que
forja um endereço falso no servidor de DNS. Por exemplo:
um registro de DNS www.meubanco.com.br configurado para
o endereço 200.200.200.200 (servidor do atacante) ao invés
do endereço correto 200.1 54.20.1 . Assim, o atacante pode
capturar senhas e números de cartões de crédito utilizando
páginas clones do site original.
Ataque de Força Bruta: Programa que utiliza várias
combinações de usuário e senha para conseguir acesso
indevido a sistemas ou para descriptografar chaves e arquivos.
Além do risco de acesso indevido, o Ataque de Força Bruta
gera uma carga excessiva no alvo por ter responder e
processar a várias tentativas de logins. Esta técnica é muito
utilizada em servidores de SSH mal configurados.
Bot e Botnet: Bot é um programa robô que é controlado
remotamente pelo atacante e possui a capacidade de se
propagar automaticamente.
Uma Botnet é uma rede formada por computadores
infectados com Bot utilizada para potencializar o ataque.
Packet Sniffing: Packet Sniffing ou Farejamento de
Pacotes é um método utilizado para capturar pacotes
destinados a outras máquinas da mesma rede com objetivo de
obter dados pessoais. Ativos de rede que utilizam broadcast de
pacotes, como Hub, facilitam o farejamento dos pacotes. Em
redes segmentadas por Switches o Packet Sniffing é possível
com a utilização de outra técnica conhecida como Man-in-the-
Middle (MiTM). Com MiTM o atacante forja a passagem dos
pacotes da rede pela sua interface através do envenenamento
da tabela ARP dos outros computadores.
Varreduras em Redes – Scan: Técnica onde o atacante
descobre máquinas ativas e serviços disponíveis na rede. Em
uma rede 192.1 68.0.0/24, por exemplo, o atacante envia ping
para todos endereços possíveis para descobrir quais estão
ativos. Com os endereços das máquinas ativas é feita uma
nova varredura em cada máquina para descobrir suas portas
abertas e seus respectivos serviços. Com isso o atacante pode
explorar as vulnerabilidades destes serviços e prejudicar o
computador alvo. Um exemplo : sabendo que o alvo possui a
porta TCP 23 aberta, o atacante irá explorar vulnerabilidades
de software ou configuração do serviço para obter acesso ao
sistema.
SQL Injection: O ataque de Injeção de SQL consiste em
inserir códigos SQL em um software vulnerável para obter ou
danificar informações do Banco de dados.
Figura 2. Código PHP suscetivel a SQL Injection.
38T.I.S. 2014; 3 (1 ): 34-44
Clériston Aparecido Gomes Martinelo, Marcos Augusto Bellezi
A Figura 2 mostra um código PHP susceptível a Injeção de
SQL. Se o usuário inserir o seguinte conteúdo ' or '1 '='1 no
campo de senha ele terá acesso ao sistema, pois a cláusula
WHERE da linha 5 sempre retornará a condição verdadeiro.
CSS - Cross Site Scripting: XSS ou CSS o Cross Site
Scripting é um ataque a um site vulnerável que aceita a
inserção de códigos Javascript. Através do CSS o atacante
pode inserir uma página externa para capturar logins e senhas.
IV. OWASP
A OWASP - Open Web Application Security Project - é um
grupo sem fins lucrativos, com reconhecimento mundial, que
tem como objetivo prover maior segurança nas aplicações.
Ela organizaconferências internacionais para discussão do
tema e disponibiliza ferramentas e estudos para todos
interessados em segurança de software.
Segundo seu site OWASP (2012), seus materiais são
usados, recomendados e referenciados por muitos governos,
normas e organizações do setor.
Um dos projetos mais importantes da OWASP é o Top 10.
Este trabalho é uma lista com as 10 vulnerabilidades mais
críticas de aplicações Web.
Além de classificar as vulnerabilidades, o Top 10 explica o
que é, como prevenir e os cenários de ataque de cada
vulnerabilidade.
Na edição de 2010, sua metodologia de classificação das
vulnerabilidades se baseou em 4 fatores:
• Falha na segurança
• Vetores de ataque
• Impactos técnicos
• Impactos nos negócios
E resultou nas seguintes vulnerabilidades:
• A1 : Falhas de Injeção
• A2: Cross-Site Scripting (XSS)
• A3: Autenticação falha e Gerenciamento de Sessão
• A4: Referência insegura direta à Objetos
• A5: Cross-Site Request Forgery (CSRF)
• A6: Configuração de Segurança Incorreta
• A7: Armazenamento Criptográfico Inseguro
• A8: Falha de Restrição de Acesso a URL
• A9: Proteção Insuficiente da Camada de Transporte
• A10: Redirecionamento e encaminhamento não
validados
V. ANÁLISE DE VULNERABILIDADES
Em uma rede corporativa, com diversos usuários, manter
os ativos livres de vulnerabilidades é um trabalho árduo para
os administradores de rede. Alguns dos motivos que
contribuem para este problema são:
Dificuldade em implantar uma política contra a instalação
de novos softwares pelos usuários. Vários softwares possuem
vulnerabilidades conhecidas em algumas de suas versões a
exemplo o Adobe Reader (leitor de PDF) e o Internet
Explorer (navegador Web).
• Desconhecimento dos usuários sobre prevenção
contra malwares, pois muitos através de e-mails falsos e
mensagens em redes sociais instalam códigos maliciosos.
• A diversidade de versões de softwares e sistemas
operacionais.
• Controle das atualizações dos softwares e sistemas
operacionais.
• Impossibilidade dos profissionais de Tecnologia de
Informação estarem cientes de todas vulnerabilidades
descobertas, principalmente as mais recentes.
Diante destes fatores o administrador de rede necessita de
uma ferramenta que o auxilie a manter o parque
computacional o menos vulnerável possível. É possível
atenter este requisito da Segurança da Informação com o
software conhecido como Scanner de Vulnerabilidade. Este
tipo de scanner verifica em um alvo (1 host ou um conjunto de
hosts) se o mesmo está vulnerável a sofrer algum tipo de
ataque. Alguns softwares que fazem esta análise de
vulnerabildades são Nessus, OpenVAS, Core Impact, GFI
LangGuard e QualysGuard. Os dois primeiros citados serão
abordados nos próximos capítulos.
VI. OPENVAS
Conforme site do OpenVAS ele é definido como : “[. . . ] é
um framework com vários serviços e ferramentas que
oferecem uma análise de vulnerabilidade abrangente e
poderosa solução de gerenciamento de vulnerabilidades
(OpenVAS, 2012).
Regido pela licença GPL o OpenVAS foi criado a partir de
uma derivação dos códigos do Nessus, depois que empresa
Tenable Network Security alterou a licença do Nessus para
uso comercial (SCHWARZER, 2011 ).
A) Arquitetura
O OpenVAS possui uma arquitetura cliente-servidor, na
qual no servidor é feito todo processamento na procura de
vulnerabilidades e armazenamento das configurações e
varreduras realizadas. O lado cliente disponibiliza uma
interface para o Administrador de Rede configurar uma
varredura e visualizar seus relatórios (BROWN; GALITZ,
2010).
Conforme Greenbone Networks (2012) segue a descrição
dos componentes da arquitetura do OpenVAS:
NVT: Network Vulnerability Tests são testes de segurança
desenvolvidos na linguagem de script do Nessus, Nessus
Attack Scripting Language (NASL). Estes testes são
disponibilizados diariamente atráves do serviço OpenVAS
NVT Feed que é acessado pelo programa openvas-nvt-sync.
Também é possível desenvolver seu próprio NVT, o que é
importante para necessidades específicas, como testar, por
exemplo, vulnerabilidades em sistemas próprios que são
alterados com frequência. Atualmente, o OpenVAS conta com
25.000 plugins.
OpenVAS Scanner: Programa que executa nos alvos os
testes NVTs.
39 T.I.S. 2014; 3 (1 ): 34-44
Análise de Vulnerabilidades com OpenVAS e Nessus
Figura 3. Arquitetura do OpenVAS (OpenVAS,2012)
OpenVAS Manager: Serviço principal do OpenVAS que
executa e gerencia as varreduras feitas pelo programa citado
anteriormente. Os resultados das varreduras são armazenados
pelo Manager em um banco de dados baseado em SQLite. As
ferramentas clientes conectam no Manager através do
protocolo OpenVAS Management Protocol (OMP).
OpenVAS Administrator: Módulo que gerencia os usuários
dos OpenVAS e as atualizações dos NVTs através dos
comandos openvas-adduser e openvas-nvt-sync
respectivamente. Sua comunicação é feita atráves do
protocolo OpenVAS Administration Protocol (OAP).
OpenVAS CLI: Cliente OpenVAS com interface de linha de
comando.
Greenbone Security Desktop (GSD): Cliente OpenVAS
com interface desktop baseado em Qt no qual é possível rodar
em sistemas operacionais Windows, Linux e Mac OS.
Greenbone Security Assistant (GSA): Cliente OpenVAS
com interface Web onde é possível rodar em qualquer
browser.
Figura 4. Tela com lista de plugins do Nessus
40T.I.S. 2014; 3 (1 ): 34-44
Clériston Aparecido Gomes Martinelo, Marcos Augusto Bellezi
VII. NESSUS
O Nessus é um dos softwares mais conhecidos de análise
de vulnerabilidade. Desenvolvido pela Tenable, o Nessus
tinha seu código aberto até 2005. A partir de 2008 sua licença
foi modificada criando uma versão comercial. Sua versão
gratuita foi mantida mas restringida apenas para o uso
doméstico (SECTOOLS, 2012).
Com sua arquitetura cliente-servidor o Nessus possui do
lado servidor compatibilidade com os sistemas operacionais:
Windows, Mac OS, Linux, FreeBSD e Solaris. Do lado
cliente o Nessus disponibiliza acesso via https. Com isso, é
possível utilizá-lo em um navegador de qualquer sistema
operacional. A Tenable também disponibiliza clientes para
celulares com aplicativos para os sistemas operacionais iOS e
Android OS.
Algumas caracteríscas do Nessus são iguais às
caracteristicas citadas do OpenVAS, pois, como citado
anteriormente, este é uma derivação dos códigos fontes do
Nessus.
A verificação de vulnerabilidades feita pelo Nessus também
utiliza programas escritos em NASL - Nessus Attack
Scripting Language – conhecidos como plugins. Atualmente o
Quadro 2. Portas e serviços disponíveis do Metasploitable
Fonte : Arquivo readme.txt que acompanha o
Metasploitable
Na varredura utilizando ambos os softwares, com
scanner de vulnerabilidades conta com mais de 50.000
plugins como é possível verificar na Figura 4. A lista de
plugins pode ser atualizada através da inscrição nos serviços
ProfessionalFeed (para uso comercial) e HomeFeed (uso
doméstico). Na Figura 4 está selecionado o plugin para
verficiar a vulnerabilidade de SQL Injection em paginas web.
VIII. TESTES
Para realizar os testes de varredura de vulnerabilidades,
foram utilizados os softwares Nessus 4.4.1 e o OpenVAS 5,
ambos instalados em uma máquina virtual com a distribuição
Linux BackTrack 5 R3. Em ambos os softwares foram
utilizadas as configurações padrões de instalação e de
varredura.
Como alvo da varredura, foi utilizado o Metasploitable.
Este é uma máquina virtual com sistema operacional Ubuntu
Server disponibilizada pela empresa de segurança Metasploit.
Esta máquina virtual possui vários serviços instalados com
vulnerabilidades conhecidas para facilitar os estudos de
Pentest (testes de invasão) (OFFENSIVE SECURITY, 2012).
Na quadro 2 segue os serviços e portas disponibilizados no
Metasploitable.
configurações padrões, foram obtidos os seguintes resultados:
41 T.I.S. 2014; 3 (1 ): 34-44
Análise de Vulnerabilidades com OpenVAS e Nessus
Tabela 1 . Comparação sintética da varredura
Considerando que os dois softwares estavam instalados no
mesmo ambiente, a diferença no tempo de varredura é grande.
OOpenVAS demorou 7 vezes mais que o tempo utilizado
pelo Nessus para realizar a descoberta de vulnerabilidades.
Nos resultados exibidos por ambos não consta a quantidade
de testes realizados por cada software. Se esta métrica fosse
disponibilizada talvez seria possível analisar a diferença de
tempo de escaneamento.
Outra diferença está no número de vulnerabilidades
conforme o fator de risco. A quantidade de vulnerabilidades
com fator de risco alto (termo utilizado pelo OpenVAS) ou
crítico (termo utilizado pelo Nessus) é de 22 e 6
respectivamente. Um dos fatores que contribuiu para esta
diferença é o registro de 10 vulnerabilidades, pelo OpenVAS,
para versão do PHP, sendo que o Nessus não elencou
nenhuma vulnerabilidade do mesmo tipo. Como a versão do
PHP utilizada pelo Metasploitable é 5.2.4 o Nessus gerou
vulnerabilidades com a descrição “PHP version smaller than
X.Y.Z” (Versão do PHP inferior a X.Y.Z) onde o X.Y.Z variou
de 5.2.5 a 5.3 .4.
Outro item que contribui para a diferença de quantidade de
vulnerabilidade por fator de risco é classificação de cada
vulnerabilidade. A função de Debugging ativa no Apache é
considerada pelo Nessus como uma vulnerabilidade com fator
de risco médio, no entando o OpenVAS a considerada com
fator de risco alto.
Na figura 5 é apresentada uma vulnerabilidade no relatório
de varredura do OpenVAS. Na primeira linha além do fator de
risco (High), porta e serviço é exibido o CVSS (Common
Vulnerability Scoring System). O CVSS é um sistema de
pontuação para vulnerabilidade baseado em algumas métricas
(Schiffman, 2012). O OID exibido na segunda linha é um
número que identifica a vulnerabilidade na base de dados do
OpenVAS seguindo um leiaute estabelecido a partir da versão
2.0.
Figura 5. Vulnerabilidade detectada pelo OpenVAS
Fonte : Relatório de varredura do OpenVAS
Na figura 6 é apresentada uma vulnerabilidade no relatório
de varredura do Nessus. Neste relatório consta a descrição da
vulnerabilidade encontrada, seu fator de risco e solução para
sua correção. Além disso consta o número da porta e o serviço
escaneado. Assim como no relatório do OpenVAS é também
42T.I.S. 2014; 3 (1 ): 34-44
Clériston Aparecido Gomes Martinelo, Marcos Augusto Bellezi
apresentado o CVE (Common Vulnerabilities and
Exposures).
O CVE é dicionário, gratuito e público, que contém
informações sobre vulnerabilidades. Seu objetivo é
padronizar as informações sobre uma vulnerabilidade para as
ferramentas de segurança (MITRE, 2012). Na Figura 5 e na
Figura é possível verificar que tanto plugin do OpenVAS e do
Nessus estavam tratando da mesma vulnerabilidade, a CVE-
1999-0519.
Analisando os códigos CVE presentes em ambos os
relatórios, é possível verificar que há vulnerabilidades
apresentadas por um software e por outro não.
A vulnerabilidade CVE-2007-1 581 com fator de risco alto
é apresentada pelo OpenVAS e desconsiderada pelo Nessus.
Esta vulnerabilidade está presente até na versão 5.3 .2 do PHP
e permite a execução arbitrária de código pelo atacante em
um certo contexto (NATIONAL INSTITUTE OF
STANDARDS AND TECHNOLOGY, 2012).
Já a vulnerabilidade CVE-2008-0166 não é abordada pelo
OpenVAS e o Nessus a considera com fator de risco alto. Esta
vulnerabilidade afeta os Sistemas Operacionais baseados em
Debian que possuem o OpenSSL com versão entre 0.9.8c-1 a
0.9.8g-9. Ela torna mais fácil a descoberta de chaves
criptográficas, com ataque de força bruta ao serviço de ssh
(NATIONAL INSTITUTE OF STANDARDS AND
TECHNOLOGY, 2012).
A identificação de senhas fracas é uma característica que
está presente apenas relatório do OpenVAS. O Metasploitable
possui usuários e senhas padrões para o MySQL (usuário e
senha root) e para o Postgres (usuário e senha postgres) e o
OpenVAS as considerou como vulnerabilidades com fator de
risco alto.
É possível verificar na Tabela 2 o número de
vulnerabilidades encontradas por cada software.
Figura 6. Vulnerabilidade detectada pelo Nessus
43 T.I.S. 2014; 3 (1 ): 34-44
Análise de Vulnerabilidades com OpenVAS e Nessus
Tabela 2. Número de vulnerabilidades por porta
IX. CONSIDERAÇOES FINAIS
Após tratarmos sobre vulnerabilidades, tipos de ataque,
softwares maliciosos e o crescente número de incidentes de
segurança, é possível concluir que a análise de
vulnerabilidades torna-se uma necessidade.
A utilização de softwares, como o OpenVAS e Nessus,
auxilia a descoberta de vulnerabilidades em ativos de redes.
Sua utilização também auxilia na solução, visto que os
relatórios sugerem as possíveis correções ou workarounds
(soluções provisórias).
O OpenVAS e Nessus, cada um com suas características,
foram capazes de detectar as vulnerabilidades conhecidas no
ambiente escolhido. Com ambos os softwares é possível
aumentar a segurança da informação, tomando ciência e
corrigindo vulnerabilidades, antes que estas sejam exploradas
por atacantes.
Como trabalho futuro, é possível realizar análise detalhada
por cada CVE encontrada pelos softwares. A análise da
varredura de uma rede corporativa também é possível, mas
limitada número de hosts (16 hosts) da licença do HomeFeed
do Nessus. Outra possível abordagem para trabalhos futuros é
análise dos falsos positivos.
REFERÊNCIAS
BROWN, Tim; GALITZ, Geoff. O farejador de
vulnerabilidades OpenVAS. Linux Magazine, São Paulo,
n. , p.34-39, abr. 2010.
CERT.BR - CENTRO DE ESTUDOS, RESPOSTA E
TRATAMENTO DE INCIDENTES DE SEGURANÇA
NO BRASIL (Org.). Cartilha de Segurança para Internet.
Disponível em: <http://cartilha.cert.br/>. Acesso em: 02
set. 2012.
CERT.BR - CENTRO DE ESTUDOS, RESPOSTA E
TRATAMENTO DE INCIDENTES DE SEGURANÇA
NO BRASIL. Incidentes Reportados ao CERT.br - Abril a
Junho de 2012. Disponível em:
<http://www.cert.br/stats/incidentes/2012-apr-jun/tipos-
ataque.html>. Acesso em: 03 set. 2012.
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da
Informação. 1 .ed. Rio de Janeiro: Axcel Books do Brasil
Editora, 2000.
GREENBONE NETWORKS. Tool Architecture. Disponível
em:
<http://www.greenbone.net/technology/tool_architecture.h
tml>. Acesso em: 08 set. 2012.I
ISO 17799. ABNT NBR ISO/IEC 17799:2005 – Tecnologia
da Informação – Técnicas de segurança – Código de
prática para a gestão da segurança da informação.
Associação Brasileira de Normas Técnicas – Rio de
Janeiro: ABNT, 2005.
LYON, Gordon. Top 125 Network Security Tools. Disponível
em: <http://sectools.org>. Acesso em: 08 set. 2012.
MITRE. About CVE. Disponível em:
<http://cve.mitre.org/about/index.html>. Acesso em: 10
out. 2012.
NATIONAL INSTITUTE OF STANDARDS AND
TECHNOLOGY. National Vulnerability Database.
Disponível em: <http://nvd.nist.gov/>. Acesso em: 08 out.
2012.
NERY, Natuza; AMORA, Dimmi; VALENTE, Rubens.
Suspeita de fraude na Caixa pode causar perda de R$ 1 bi.
Disponível em:
<http://www1 .folha.uol.com.br/fsp/poder/1 5574-suspeita-
de-fraude-na-caixa-pode-causar-perda-de-r-1 -bi.shtml>.
Acesso em: 02 set. 2012.
OFFENSIVE SECURITY. Metasploitable. Disponível em:
<http://www.offensive-security.com/metasploit-
unleashed/Metasploitable>. Acesso em: 05 out. 2012.
OpenVAS. ABOUT OpenVAS Disponível em:
<http://www.openvas.org/about.html>. Acesso em: 08 set.
2012.
OWASP - OPEN WEB APPLICATION SECURITY
PROJECT. About The Open Web Application Security
Project. Disponível em:
<https://www.owasp.org/index.php/About_The_Open_We
b_Application_Security_Project>. Acesso em: 31 mar.
2012.
PINHEIRO JUNIOR, José de Ribamar Braga; ‘ , Fabio.
Segurança em Grades Computacionais. In: SIMPÓSIO
BRASILEIRO EM SEGURANÇA DA INFORMAÇÃO E
DE SISTEMAS COMPUTACIONAIS, Não use números
Romanos ou letras, use somente números Arábicos., 2005,
Florianópolis, 2005. p. 422 – 468, Disponível em:
<http://dainf.ct.utfpr.edu.br/~maziero/lib/exe/fetch.php/ces
eg:2005-sbseg-mc2.pdf>. Acesso em: 01 set. 2012.
SCHIFFMAN, M. A complete guide to the common
vulnerability scoring system (cvss). Disponível em:
<http://www.first.org/cvss/cvss-guide.html>. Acesso em: 10
out. 2012
SCHWARZER, Stefan. OpenVAS 4 Análise detalhada. Linux
Magazine, São Paulo, n. , p.52-59, out. 2011 .
SECTOOLS. Nessus.Disponível em:
<http://sectools.org/tool/nessus/>. Acesso em: 02 out.
44T.I.S. 2014; 3 (1 ): 34-44
Clériston Aparecido Gomes Martinelo, Marcos Augusto Bellezi
2012.
SOLHA, Liliana Esther Velásquez Alegre; TEIXEIRA,
Renata Cicilini; PICCOLINI, Jacomo Dimmit Boca. Tudo
que você precisa saber sobre os ataques DDoS.
Disponível em:
<http://www.rnp.br/newsgen/0003/ddos.html>. Acesso
em: 02 set. 2012.
TAGIAROL, Guilherme. Considerada uma das maiores
pragas da internet, vírus "I Love You" completa dez anos.
Disponível em: <http://tecnologia.uol.com.br/ultimas-
noticias/redacao/2010/05/04/considerada-uma-das-
maiores-pragas-da-internet-virus-i-love-you-completa-
dez-anos.jhtm>. Acesso em: 02 set. 2012.
TENABLE. Plugins. Disponível em:
<http://www.tenable.com/plugins/>. Acesso em: 02 out.
2012.