Baixe o app para aproveitar ainda mais
Prévia do material em texto
Departamento de Computação - Universidade Federal de São Carlos (UFSCar) Caixa Postal 676 – 13.565-905 – São Carlos – SP – Brasil Autor para correspondência: cleriston@gmail.com, mbellezi@gmail.con ISSN 2316-2872 T.I.S. São Carlos, v. 3 , n. 1 , p. 34-44, jan-abr 2014 ©Tecnologias, Infraestrutura e Software Análise de Vulnerabilidades com OpenVAS e Nessus Clériston Aparecido Gomes Martinelo, Marcos Augusto Bellezi Resumo: Um dos ativos de valor das empresas é a informação, com destaque para a sua proteção, pois muitas vulnerabilidades e ataques são conhecidos e, a cada dia, novos são descobertos. Manter o parque computacional das empresas atualizado e protegido das vulnerabilidades é um trabalho minucioso, podendo ser auxiliado por softwares de análise de vulnerabilidades, que automatizam e facilitam o rastreamento dessas vulnerabilidades. Este artigo aborda dois destes softwares, o OpenVAS e o Nessus, e faz a comparação d os resultados da varredura de ambos. Foi possível verificar que os softwares testados foram capazes de detectar as vulnerabilidades conhecidas no ambiente utilizado. Palavras-Chave: segurança de redes, análise de vulnerabilidade, OpenVAS, Nessus. Vulnerability Analysis with OpenVAS and Nessus Abstract: One of the valuable assets of companies is information. Currently, one of the key features of the digital information has been its protection, because many vulnerabilities and attacks are known, and every day, new ones are discovered. This way, keeping the company computational structure updated and protected from vulnerabilities is a detailed job. In order to assist with this task, vulnerability analysis software packages which automate and help tracking these vulnerabilities may be used. This article discusses about two of these software packages, OpenVAS and Nessus, comparing the results oftheir scanning. It was possible to verify that the software packages tested were able to detect known vulnerabilities in the environment used. Keywords: computer networks, vulnerability analysis, OpenVAS, Nessus. I. INTRODUÇÃO As empresas, de qualquer segmento e tamanho, cada vez mais utilizam os serviços da TI - Tecnologia da Informação - como meio para atingirem seus objetivos. Aliado a isso, o aumento da conectividade dos computadores à rede mundial contribuiu para o crescimento dos incidentes de segurança. Conforme o CERT.BR (2012b), em 2001 houve 12.301 incidentes reportados. Dez anos depois, em 2011 , foi registrado um número 32,47 vezes maior. Houve 399.51 5 incidentes reportados. O trabalho de manter os ativos de rede seguros vai além do da utilização de anti-virus nos computadores. Softwares desatualizados em estações de trabalho e servidores, aliado a más práticas de configurações de serviços criam alvos fáceis para exploradores de vulnerabilidades. A utilização de firewall não é uma solução definitiva, visto que, muitas portas legítimas podem estar vulneráveis, como é o caso da porta 80 que hospeda websites vulneráveis. Este artigo aborda os principais tipos de vulnerabilidades, softwares maliciosos e ataques. Após este estudo, é discutido a importância da análise de vulnerabilidade com o uso dos softwares OpenVAS e Nessus. O intuito da utilização destes softwares é automatizar e facilitar a descoberta de vulnerabilidades em uma rede, para correção, antes que as mesmas sejam exploradas por atacantes. II. SEGURANÇA DA INFORMAÇAO Segurança da Informação é tratada pelo Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21 ) e pela Comissão de Estudo de Segurança Física em Instalações de Informática (CE-21 :204.01 ) através da norma ABNT NBR ISO/IEC 17799:2005. A norma (ISO 17799, 2005) define a informação como um ativo, sendo ela importante como qualquer outro ativo do negócio. Ela pode ser apresentada ou armazenada de diversas formas como: escrita, impressa em papel, armazenada eletronicamente, enviada por correio ou expressada verbalmente. A norma ABNT NBR ISO/IEC 17799:2005 define Segurança da Informação como: 35 T.I.S. 2014; 3 (1 ): 34-44 Análise de Vulnerabilidades com OpenVAS e Nessus “Preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas” (ISO 17799, 2005, p. 1 3). A Segurança da Informação tem que ser vista pelas empresas como algo estratégico, pois elas estão muito dependentes dos serviços da Tecnologia da Informação (TI), como por exemplo: • Web Site: Como canal de divulgação da empresa ou até mesmo para a venda de seus produtos e serviços. • E-mail: Para troca informações. • Videoconferência: Utilizado para realizar reuniões à distância. • Telefonia Ip: Fazer ligações entre as unidades de uma empresa a um custo reduzido. • Sistemas de Informação Computadorizado: Para armazenar e gerir informações conforme o modelo de negócio da empresa. Para o negócio, a proteção da informação, dos serviços e da rede como um todo é muito importante para "garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio." (ISO 17799, 2005). Um exemplo real de prejuízo financeiro causado por falha de Sistema de Informação é a possível perda de R$ 1 bilhão dos cofres públicos pelo banco Caixa Econômica Federal. O sistema de informática responsável pelas informações relativas a papéis da dívida pública ficou fora do ar entre setembro de 2008 a agosto de 2009. Esta indisponibilidade no sistema prejudicou a conferência dos valores dos papéis vendidos. Com isso, uma corretora comercializou estes papéis com preços inflacionados. Se os compradores prejudicados entrarem na justiça, a União terá ressarci-los (NERY, AMORA, VALENTE, 2011 ). Além da falha em sistemas, a indisponibilidade pode ser causada por malwares. Segundo Tagiarol (2010) no ano 2000 o vírus "I Love You" infectou 84 milhões de usuários e gerou um prejuizo estimado em US$ 8,7 bilhões. Como o vírus se retransmitia para os contatos dos usuários, ele gerava um alto tráfego o que ocasionou travamento de servidores de E-mail de várias empresas. Os danos com malware poderiam ser diminuidos. Conforme ISO 17799 (2005, p. 58) além da conscientização dos usuários, pode ser utilizado um controle de proteção e detecção de malwares. Os aspectos da Segurança da Informação são formados pela tríade confidencialidade-integridade-disponibilidade, definidos como: • Confidencialidade: Garantir que informação seja acessível somente às pessoas autorizadas. • Integridade: Manter as informações íntegras sem modificações não autorizadas. • Disponibilidade: Disponibilizar as informações no momento em que elas são requisitadas. III. VULNERABILIDADES “Uma vulnerabilidade é um ponto onde o sistema é susceptível a um ataque. Uma ameaça pode explorar uma vulnerabilidade para concretizar um ataque a um sistema.” (PINHEIRO JUNIOR; KON, 2005) Já segundo Cert.br (2012a) “Uma vulnerabilidade é definida como uma condição que, quando explorada por um atacante, pode resultar em uma violação de segurança” As vulnerabilidades são originadas de falhas na maiora das vezes não intencionais. Estas falhas podem ser: • Físicas: Acesso a ativos por pessoas não autorizadas, devido à falta de controle de acesso. Por exemplo, uma empresa tercerizada de limpeza desligar um switch por engano. • Hardware: Falhas no Hardware em ocasionam indisponibilidade no sistema ou perda dados. Outro item desta falha é a inclusão de um hardware malicioso como um Keylogger. • Naturais: Desastres naturais comprometendo a segurança dos dados armazenados. • Humanas: Operador de sistema utilizar erroneamente uma função, prejudicado o funcionamento do mesmo ou perda de informações. • Software: Falhas de programação, abrindo brechas a serem exploradas. Conforme estatísticas de incidentes do Cert.br (2012b) reportados de abril a junho de 2012 em 34,65% de incidentes são do tipo de ataque Scan, onde o atacantefaz uma varredura de portas abertas em uma rede para identificar os serviços disponibilizados e suas possíveis vulnerabilidades. Caso o atacante tenha êxito em identificar uma porta vulnerável e ter acesso indevido a um servidor de uma empresa, 0,99% dos incidentes, os prejuízos são proporcionais ao valor de receita gerado por este servidor, como por exemplo, um site E- Commerce que fica indisponível por horas perde grande quantidade de vendas. Muitas vulnerabilidades são exploradas ou criadas a partir de softwares desenvolvidos para este fim conhecidos como Malware. Proveniente do inglês malicious software o Malware é um programa que produz efeitos danosos e indesejados. O quadro 1 mostra um comparativo dos Malwares com relação à obtenção, instalação, propagação e ações maliciosas. Os principais tipos de Malware encontrados hoje são: Vírus: Programa capaz de se autoexecutar e infectar outros arquivos com seu próprio código. Worm: Programa malicioso que se propaga sem a necessidade de infectar outros arquivos, diferentemente do vírus, sua propagação é feita sem intervenção humana utilizando vulnerabilidades em uma rede. Bot e botnet: Bot é um programa que permite ser controlado remotamente para executar vários comandos maliciosos, como, por exemplo, ataque de negação de serviço a um site. Uma botnet é uma rede com vários bots no qual sua ação maliciosa é amplificada. Spyware: Os Spywares coletam informações pessoais ou empresariais e as enviam para terceiros. O Keylogger é um 36T.I.S. 2014; 3 (1 ): 34-44 Clériston Aparecido Gomes Martinelo, Marcos Augusto Bellezi tipo de Spyware que captura as teclas digitadas pelo usuário, geralmente utilizado para roubar senhas. Backdoor: O Backdoor ou Porta do fundo é uma vulnerabilidade que abre uma brecha para o atacante obter acesso indevido. Cavalo de tróia: Também conhecido como Trojan o Cavalo de Tróia é um programa malicioso que se disfarça por um programa bem intencionado. O usuário executa, sem saber, um código malicioso pensando que está executando apenas um programa legítimo. Eles geralmente são disseminados por e-mails e redes sociais se passando por cartões, álbum de fotos, jogos e etc (CERT.BR, 2012a). Rootkit: Conjunto de programas utilizado por um atacante para ocultar sua invasão e facilitar um futuro ataque. Os Rootkits podem ser utilizados em outros malwares para dificultar a detecção destes (CERT.BR, 2012a). Quadro 1 . Resumo comparativo de malwares Extraído de: Cert.br - Centro De Estudos, Resposta e Tratamento de Incidentes De Segurança No Brasil A efetivação de um ataque é o exito na exploração de uma ou mais vulnerabilidades. As motivações para realizar um ataque segundo Cert.br (2012a), podem ser financeiras, por prestígio, demonstração de poder, por ideologia ou comerciais. Com novas tecnologias novas ataques surgem, mas o principais ataques conhecidos atualmente são : DoS e DDoS: Negação de Serviço do inglês Denial of Service, sigla DoS, ocorre quando um site (ou serviço) fica indisponível por receber uma grande quantidade de tráfego, não podendo atender as requisições legítimas (SOLHA; TEIXEIRA; PICCOLINI, 2012). Os ataques DDoS (Distributed Denial of Service) são 37 T.I.S. 2014; 3 (1 ): 34-44 Análise de Vulnerabilidades com OpenVAS e Nessus vários ataques DoS feitos de maneira distribuída dificultando assim o bloqueio da origem os ataques. Geralmente estes ataques provêm de computadores infectados com Bots participantes de uma rede Botnet. Buffer Overflow: Buffer Overflow ou Estouro de Buffer ocorre quando um espaço de memória com tamanho fixo recebe um dado maior que seu tamanho, ocorrendo assim um vazamento dados na memória sobrescrevendo a memória adjacente. O código fonte da Figura 1 é um programa escrito em Linguagem C susceptível a Estouro de Buffer. Na linha 5 que contém char buffer[1 ] um tamanho fixo é definido para variável buffer. Se esta variável receber dados maiores que o valor fixado ocasionará o Buffer Overflow. A partir disso é possível desenvolver outro programa , chamado exploit, que explorará esta vulnerabilidade obtendo acesso ao shell do sistema. Figura 1 . Código vulnerável a Estouro de Buffer. Spam: são e-mails não solicitados que são enviados em massa gerando tráfego desnecessário nas redes. Geralmente os Spams têm como intuito a divulgação de produtos, mas também são responsáveis por muitos golpes de Internet por disseminarem Malwares. Phishing Scam: E-mails falsos que se passam por mensagens de instituições confiáveis, como bancos e órgãos gornavernamentais. Seu intuito é induzir o usuário a instalar um programa malicioso ou visitar uma página falsa (cópia de uma verdadeira) para obter dados pessoais, como por exemplo, senhas e números de cartão de crédito. Segundo Cert.br (2012b) 58,98% das fraudes de abril a junho de 2012 eram de páginas falsas. DNS Poisoning: Envenenamento de DNS é um ataque que forja um endereço falso no servidor de DNS. Por exemplo: um registro de DNS www.meubanco.com.br configurado para o endereço 200.200.200.200 (servidor do atacante) ao invés do endereço correto 200.1 54.20.1 . Assim, o atacante pode capturar senhas e números de cartões de crédito utilizando páginas clones do site original. Ataque de Força Bruta: Programa que utiliza várias combinações de usuário e senha para conseguir acesso indevido a sistemas ou para descriptografar chaves e arquivos. Além do risco de acesso indevido, o Ataque de Força Bruta gera uma carga excessiva no alvo por ter responder e processar a várias tentativas de logins. Esta técnica é muito utilizada em servidores de SSH mal configurados. Bot e Botnet: Bot é um programa robô que é controlado remotamente pelo atacante e possui a capacidade de se propagar automaticamente. Uma Botnet é uma rede formada por computadores infectados com Bot utilizada para potencializar o ataque. Packet Sniffing: Packet Sniffing ou Farejamento de Pacotes é um método utilizado para capturar pacotes destinados a outras máquinas da mesma rede com objetivo de obter dados pessoais. Ativos de rede que utilizam broadcast de pacotes, como Hub, facilitam o farejamento dos pacotes. Em redes segmentadas por Switches o Packet Sniffing é possível com a utilização de outra técnica conhecida como Man-in-the- Middle (MiTM). Com MiTM o atacante forja a passagem dos pacotes da rede pela sua interface através do envenenamento da tabela ARP dos outros computadores. Varreduras em Redes – Scan: Técnica onde o atacante descobre máquinas ativas e serviços disponíveis na rede. Em uma rede 192.1 68.0.0/24, por exemplo, o atacante envia ping para todos endereços possíveis para descobrir quais estão ativos. Com os endereços das máquinas ativas é feita uma nova varredura em cada máquina para descobrir suas portas abertas e seus respectivos serviços. Com isso o atacante pode explorar as vulnerabilidades destes serviços e prejudicar o computador alvo. Um exemplo : sabendo que o alvo possui a porta TCP 23 aberta, o atacante irá explorar vulnerabilidades de software ou configuração do serviço para obter acesso ao sistema. SQL Injection: O ataque de Injeção de SQL consiste em inserir códigos SQL em um software vulnerável para obter ou danificar informações do Banco de dados. Figura 2. Código PHP suscetivel a SQL Injection. 38T.I.S. 2014; 3 (1 ): 34-44 Clériston Aparecido Gomes Martinelo, Marcos Augusto Bellezi A Figura 2 mostra um código PHP susceptível a Injeção de SQL. Se o usuário inserir o seguinte conteúdo ' or '1 '='1 no campo de senha ele terá acesso ao sistema, pois a cláusula WHERE da linha 5 sempre retornará a condição verdadeiro. CSS - Cross Site Scripting: XSS ou CSS o Cross Site Scripting é um ataque a um site vulnerável que aceita a inserção de códigos Javascript. Através do CSS o atacante pode inserir uma página externa para capturar logins e senhas. IV. OWASP A OWASP - Open Web Application Security Project - é um grupo sem fins lucrativos, com reconhecimento mundial, que tem como objetivo prover maior segurança nas aplicações. Ela organizaconferências internacionais para discussão do tema e disponibiliza ferramentas e estudos para todos interessados em segurança de software. Segundo seu site OWASP (2012), seus materiais são usados, recomendados e referenciados por muitos governos, normas e organizações do setor. Um dos projetos mais importantes da OWASP é o Top 10. Este trabalho é uma lista com as 10 vulnerabilidades mais críticas de aplicações Web. Além de classificar as vulnerabilidades, o Top 10 explica o que é, como prevenir e os cenários de ataque de cada vulnerabilidade. Na edição de 2010, sua metodologia de classificação das vulnerabilidades se baseou em 4 fatores: • Falha na segurança • Vetores de ataque • Impactos técnicos • Impactos nos negócios E resultou nas seguintes vulnerabilidades: • A1 : Falhas de Injeção • A2: Cross-Site Scripting (XSS) • A3: Autenticação falha e Gerenciamento de Sessão • A4: Referência insegura direta à Objetos • A5: Cross-Site Request Forgery (CSRF) • A6: Configuração de Segurança Incorreta • A7: Armazenamento Criptográfico Inseguro • A8: Falha de Restrição de Acesso a URL • A9: Proteção Insuficiente da Camada de Transporte • A10: Redirecionamento e encaminhamento não validados V. ANÁLISE DE VULNERABILIDADES Em uma rede corporativa, com diversos usuários, manter os ativos livres de vulnerabilidades é um trabalho árduo para os administradores de rede. Alguns dos motivos que contribuem para este problema são: Dificuldade em implantar uma política contra a instalação de novos softwares pelos usuários. Vários softwares possuem vulnerabilidades conhecidas em algumas de suas versões a exemplo o Adobe Reader (leitor de PDF) e o Internet Explorer (navegador Web). • Desconhecimento dos usuários sobre prevenção contra malwares, pois muitos através de e-mails falsos e mensagens em redes sociais instalam códigos maliciosos. • A diversidade de versões de softwares e sistemas operacionais. • Controle das atualizações dos softwares e sistemas operacionais. • Impossibilidade dos profissionais de Tecnologia de Informação estarem cientes de todas vulnerabilidades descobertas, principalmente as mais recentes. Diante destes fatores o administrador de rede necessita de uma ferramenta que o auxilie a manter o parque computacional o menos vulnerável possível. É possível atenter este requisito da Segurança da Informação com o software conhecido como Scanner de Vulnerabilidade. Este tipo de scanner verifica em um alvo (1 host ou um conjunto de hosts) se o mesmo está vulnerável a sofrer algum tipo de ataque. Alguns softwares que fazem esta análise de vulnerabildades são Nessus, OpenVAS, Core Impact, GFI LangGuard e QualysGuard. Os dois primeiros citados serão abordados nos próximos capítulos. VI. OPENVAS Conforme site do OpenVAS ele é definido como : “[. . . ] é um framework com vários serviços e ferramentas que oferecem uma análise de vulnerabilidade abrangente e poderosa solução de gerenciamento de vulnerabilidades (OpenVAS, 2012). Regido pela licença GPL o OpenVAS foi criado a partir de uma derivação dos códigos do Nessus, depois que empresa Tenable Network Security alterou a licença do Nessus para uso comercial (SCHWARZER, 2011 ). A) Arquitetura O OpenVAS possui uma arquitetura cliente-servidor, na qual no servidor é feito todo processamento na procura de vulnerabilidades e armazenamento das configurações e varreduras realizadas. O lado cliente disponibiliza uma interface para o Administrador de Rede configurar uma varredura e visualizar seus relatórios (BROWN; GALITZ, 2010). Conforme Greenbone Networks (2012) segue a descrição dos componentes da arquitetura do OpenVAS: NVT: Network Vulnerability Tests são testes de segurança desenvolvidos na linguagem de script do Nessus, Nessus Attack Scripting Language (NASL). Estes testes são disponibilizados diariamente atráves do serviço OpenVAS NVT Feed que é acessado pelo programa openvas-nvt-sync. Também é possível desenvolver seu próprio NVT, o que é importante para necessidades específicas, como testar, por exemplo, vulnerabilidades em sistemas próprios que são alterados com frequência. Atualmente, o OpenVAS conta com 25.000 plugins. OpenVAS Scanner: Programa que executa nos alvos os testes NVTs. 39 T.I.S. 2014; 3 (1 ): 34-44 Análise de Vulnerabilidades com OpenVAS e Nessus Figura 3. Arquitetura do OpenVAS (OpenVAS,2012) OpenVAS Manager: Serviço principal do OpenVAS que executa e gerencia as varreduras feitas pelo programa citado anteriormente. Os resultados das varreduras são armazenados pelo Manager em um banco de dados baseado em SQLite. As ferramentas clientes conectam no Manager através do protocolo OpenVAS Management Protocol (OMP). OpenVAS Administrator: Módulo que gerencia os usuários dos OpenVAS e as atualizações dos NVTs através dos comandos openvas-adduser e openvas-nvt-sync respectivamente. Sua comunicação é feita atráves do protocolo OpenVAS Administration Protocol (OAP). OpenVAS CLI: Cliente OpenVAS com interface de linha de comando. Greenbone Security Desktop (GSD): Cliente OpenVAS com interface desktop baseado em Qt no qual é possível rodar em sistemas operacionais Windows, Linux e Mac OS. Greenbone Security Assistant (GSA): Cliente OpenVAS com interface Web onde é possível rodar em qualquer browser. Figura 4. Tela com lista de plugins do Nessus 40T.I.S. 2014; 3 (1 ): 34-44 Clériston Aparecido Gomes Martinelo, Marcos Augusto Bellezi VII. NESSUS O Nessus é um dos softwares mais conhecidos de análise de vulnerabilidade. Desenvolvido pela Tenable, o Nessus tinha seu código aberto até 2005. A partir de 2008 sua licença foi modificada criando uma versão comercial. Sua versão gratuita foi mantida mas restringida apenas para o uso doméstico (SECTOOLS, 2012). Com sua arquitetura cliente-servidor o Nessus possui do lado servidor compatibilidade com os sistemas operacionais: Windows, Mac OS, Linux, FreeBSD e Solaris. Do lado cliente o Nessus disponibiliza acesso via https. Com isso, é possível utilizá-lo em um navegador de qualquer sistema operacional. A Tenable também disponibiliza clientes para celulares com aplicativos para os sistemas operacionais iOS e Android OS. Algumas caracteríscas do Nessus são iguais às caracteristicas citadas do OpenVAS, pois, como citado anteriormente, este é uma derivação dos códigos fontes do Nessus. A verificação de vulnerabilidades feita pelo Nessus também utiliza programas escritos em NASL - Nessus Attack Scripting Language – conhecidos como plugins. Atualmente o Quadro 2. Portas e serviços disponíveis do Metasploitable Fonte : Arquivo readme.txt que acompanha o Metasploitable Na varredura utilizando ambos os softwares, com scanner de vulnerabilidades conta com mais de 50.000 plugins como é possível verificar na Figura 4. A lista de plugins pode ser atualizada através da inscrição nos serviços ProfessionalFeed (para uso comercial) e HomeFeed (uso doméstico). Na Figura 4 está selecionado o plugin para verficiar a vulnerabilidade de SQL Injection em paginas web. VIII. TESTES Para realizar os testes de varredura de vulnerabilidades, foram utilizados os softwares Nessus 4.4.1 e o OpenVAS 5, ambos instalados em uma máquina virtual com a distribuição Linux BackTrack 5 R3. Em ambos os softwares foram utilizadas as configurações padrões de instalação e de varredura. Como alvo da varredura, foi utilizado o Metasploitable. Este é uma máquina virtual com sistema operacional Ubuntu Server disponibilizada pela empresa de segurança Metasploit. Esta máquina virtual possui vários serviços instalados com vulnerabilidades conhecidas para facilitar os estudos de Pentest (testes de invasão) (OFFENSIVE SECURITY, 2012). Na quadro 2 segue os serviços e portas disponibilizados no Metasploitable. configurações padrões, foram obtidos os seguintes resultados: 41 T.I.S. 2014; 3 (1 ): 34-44 Análise de Vulnerabilidades com OpenVAS e Nessus Tabela 1 . Comparação sintética da varredura Considerando que os dois softwares estavam instalados no mesmo ambiente, a diferença no tempo de varredura é grande. OOpenVAS demorou 7 vezes mais que o tempo utilizado pelo Nessus para realizar a descoberta de vulnerabilidades. Nos resultados exibidos por ambos não consta a quantidade de testes realizados por cada software. Se esta métrica fosse disponibilizada talvez seria possível analisar a diferença de tempo de escaneamento. Outra diferença está no número de vulnerabilidades conforme o fator de risco. A quantidade de vulnerabilidades com fator de risco alto (termo utilizado pelo OpenVAS) ou crítico (termo utilizado pelo Nessus) é de 22 e 6 respectivamente. Um dos fatores que contribuiu para esta diferença é o registro de 10 vulnerabilidades, pelo OpenVAS, para versão do PHP, sendo que o Nessus não elencou nenhuma vulnerabilidade do mesmo tipo. Como a versão do PHP utilizada pelo Metasploitable é 5.2.4 o Nessus gerou vulnerabilidades com a descrição “PHP version smaller than X.Y.Z” (Versão do PHP inferior a X.Y.Z) onde o X.Y.Z variou de 5.2.5 a 5.3 .4. Outro item que contribui para a diferença de quantidade de vulnerabilidade por fator de risco é classificação de cada vulnerabilidade. A função de Debugging ativa no Apache é considerada pelo Nessus como uma vulnerabilidade com fator de risco médio, no entando o OpenVAS a considerada com fator de risco alto. Na figura 5 é apresentada uma vulnerabilidade no relatório de varredura do OpenVAS. Na primeira linha além do fator de risco (High), porta e serviço é exibido o CVSS (Common Vulnerability Scoring System). O CVSS é um sistema de pontuação para vulnerabilidade baseado em algumas métricas (Schiffman, 2012). O OID exibido na segunda linha é um número que identifica a vulnerabilidade na base de dados do OpenVAS seguindo um leiaute estabelecido a partir da versão 2.0. Figura 5. Vulnerabilidade detectada pelo OpenVAS Fonte : Relatório de varredura do OpenVAS Na figura 6 é apresentada uma vulnerabilidade no relatório de varredura do Nessus. Neste relatório consta a descrição da vulnerabilidade encontrada, seu fator de risco e solução para sua correção. Além disso consta o número da porta e o serviço escaneado. Assim como no relatório do OpenVAS é também 42T.I.S. 2014; 3 (1 ): 34-44 Clériston Aparecido Gomes Martinelo, Marcos Augusto Bellezi apresentado o CVE (Common Vulnerabilities and Exposures). O CVE é dicionário, gratuito e público, que contém informações sobre vulnerabilidades. Seu objetivo é padronizar as informações sobre uma vulnerabilidade para as ferramentas de segurança (MITRE, 2012). Na Figura 5 e na Figura é possível verificar que tanto plugin do OpenVAS e do Nessus estavam tratando da mesma vulnerabilidade, a CVE- 1999-0519. Analisando os códigos CVE presentes em ambos os relatórios, é possível verificar que há vulnerabilidades apresentadas por um software e por outro não. A vulnerabilidade CVE-2007-1 581 com fator de risco alto é apresentada pelo OpenVAS e desconsiderada pelo Nessus. Esta vulnerabilidade está presente até na versão 5.3 .2 do PHP e permite a execução arbitrária de código pelo atacante em um certo contexto (NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, 2012). Já a vulnerabilidade CVE-2008-0166 não é abordada pelo OpenVAS e o Nessus a considera com fator de risco alto. Esta vulnerabilidade afeta os Sistemas Operacionais baseados em Debian que possuem o OpenSSL com versão entre 0.9.8c-1 a 0.9.8g-9. Ela torna mais fácil a descoberta de chaves criptográficas, com ataque de força bruta ao serviço de ssh (NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, 2012). A identificação de senhas fracas é uma característica que está presente apenas relatório do OpenVAS. O Metasploitable possui usuários e senhas padrões para o MySQL (usuário e senha root) e para o Postgres (usuário e senha postgres) e o OpenVAS as considerou como vulnerabilidades com fator de risco alto. É possível verificar na Tabela 2 o número de vulnerabilidades encontradas por cada software. Figura 6. Vulnerabilidade detectada pelo Nessus 43 T.I.S. 2014; 3 (1 ): 34-44 Análise de Vulnerabilidades com OpenVAS e Nessus Tabela 2. Número de vulnerabilidades por porta IX. CONSIDERAÇOES FINAIS Após tratarmos sobre vulnerabilidades, tipos de ataque, softwares maliciosos e o crescente número de incidentes de segurança, é possível concluir que a análise de vulnerabilidades torna-se uma necessidade. A utilização de softwares, como o OpenVAS e Nessus, auxilia a descoberta de vulnerabilidades em ativos de redes. Sua utilização também auxilia na solução, visto que os relatórios sugerem as possíveis correções ou workarounds (soluções provisórias). O OpenVAS e Nessus, cada um com suas características, foram capazes de detectar as vulnerabilidades conhecidas no ambiente escolhido. Com ambos os softwares é possível aumentar a segurança da informação, tomando ciência e corrigindo vulnerabilidades, antes que estas sejam exploradas por atacantes. Como trabalho futuro, é possível realizar análise detalhada por cada CVE encontrada pelos softwares. A análise da varredura de uma rede corporativa também é possível, mas limitada número de hosts (16 hosts) da licença do HomeFeed do Nessus. Outra possível abordagem para trabalhos futuros é análise dos falsos positivos. REFERÊNCIAS BROWN, Tim; GALITZ, Geoff. O farejador de vulnerabilidades OpenVAS. Linux Magazine, São Paulo, n. , p.34-39, abr. 2010. CERT.BR - CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL (Org.). Cartilha de Segurança para Internet. Disponível em: <http://cartilha.cert.br/>. Acesso em: 02 set. 2012. CERT.BR - CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. Incidentes Reportados ao CERT.br - Abril a Junho de 2012. Disponível em: <http://www.cert.br/stats/incidentes/2012-apr-jun/tipos- ataque.html>. Acesso em: 03 set. 2012. DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1 .ed. Rio de Janeiro: Axcel Books do Brasil Editora, 2000. GREENBONE NETWORKS. Tool Architecture. Disponível em: <http://www.greenbone.net/technology/tool_architecture.h tml>. Acesso em: 08 set. 2012.I ISO 17799. ABNT NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Associação Brasileira de Normas Técnicas – Rio de Janeiro: ABNT, 2005. LYON, Gordon. Top 125 Network Security Tools. Disponível em: <http://sectools.org>. Acesso em: 08 set. 2012. MITRE. About CVE. Disponível em: <http://cve.mitre.org/about/index.html>. Acesso em: 10 out. 2012. NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. National Vulnerability Database. Disponível em: <http://nvd.nist.gov/>. Acesso em: 08 out. 2012. NERY, Natuza; AMORA, Dimmi; VALENTE, Rubens. Suspeita de fraude na Caixa pode causar perda de R$ 1 bi. Disponível em: <http://www1 .folha.uol.com.br/fsp/poder/1 5574-suspeita- de-fraude-na-caixa-pode-causar-perda-de-r-1 -bi.shtml>. Acesso em: 02 set. 2012. OFFENSIVE SECURITY. Metasploitable. Disponível em: <http://www.offensive-security.com/metasploit- unleashed/Metasploitable>. Acesso em: 05 out. 2012. OpenVAS. ABOUT OpenVAS Disponível em: <http://www.openvas.org/about.html>. Acesso em: 08 set. 2012. OWASP - OPEN WEB APPLICATION SECURITY PROJECT. About The Open Web Application Security Project. Disponível em: <https://www.owasp.org/index.php/About_The_Open_We b_Application_Security_Project>. Acesso em: 31 mar. 2012. PINHEIRO JUNIOR, José de Ribamar Braga; ‘ , Fabio. Segurança em Grades Computacionais. In: SIMPÓSIO BRASILEIRO EM SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS, Não use números Romanos ou letras, use somente números Arábicos., 2005, Florianópolis, 2005. p. 422 – 468, Disponível em: <http://dainf.ct.utfpr.edu.br/~maziero/lib/exe/fetch.php/ces eg:2005-sbseg-mc2.pdf>. Acesso em: 01 set. 2012. SCHIFFMAN, M. A complete guide to the common vulnerability scoring system (cvss). Disponível em: <http://www.first.org/cvss/cvss-guide.html>. Acesso em: 10 out. 2012 SCHWARZER, Stefan. OpenVAS 4 Análise detalhada. Linux Magazine, São Paulo, n. , p.52-59, out. 2011 . SECTOOLS. Nessus.Disponível em: <http://sectools.org/tool/nessus/>. Acesso em: 02 out. 44T.I.S. 2014; 3 (1 ): 34-44 Clériston Aparecido Gomes Martinelo, Marcos Augusto Bellezi 2012. SOLHA, Liliana Esther Velásquez Alegre; TEIXEIRA, Renata Cicilini; PICCOLINI, Jacomo Dimmit Boca. Tudo que você precisa saber sobre os ataques DDoS. Disponível em: <http://www.rnp.br/newsgen/0003/ddos.html>. Acesso em: 02 set. 2012. TAGIAROL, Guilherme. Considerada uma das maiores pragas da internet, vírus "I Love You" completa dez anos. Disponível em: <http://tecnologia.uol.com.br/ultimas- noticias/redacao/2010/05/04/considerada-uma-das- maiores-pragas-da-internet-virus-i-love-you-completa- dez-anos.jhtm>. Acesso em: 02 set. 2012. TENABLE. Plugins. Disponível em: <http://www.tenable.com/plugins/>. Acesso em: 02 out. 2012.
Compartilhar