COMPARAÇÃO DE SEGURANÇA EM FERRAMENTAS DE ARMAZENAMENTO QUE UTILIZAM A COMPUTAÇÃO EM NUVEM

COMPARAÇÃO DE SEGURANÇA EM FERRAMENTAS DE ARMAZENAMENTO QUE UTILIZAM A COMPUTAÇÃO EM NUVEM

Wellington Moraes Viana ¹ , José Rafael Pilan ²

1

Aluno do Curso de Informática para Negócios da FATEC - Botucatu, SP. E-mail:

wellington.viana@fatec.sp.gov.br

2

Professor Mestre, Faculdade de Tecnologia - Botucatu, SP. E-mail: jpilan@fatec.edu.br

1 INTRODUÇÃO

Com a evolução da tecnologia a sociedade entrou em um patamar onde serviços essenciais e muitas vezes indispensáveis para a sociedade estão sendo fornecidos de forma prática e transparente em nosso dia, exemplos desses serviços são aplicativos que fornecem todas as funcionalidades que tem-se em um banco financeiro físico, acesso facilitado a informações pelo smarthphone de qualquer parte do mundo e as diversas ferramentas de comunicação que facilitam a troca de mensagens.

Os sistemas de armazenamento em nuvem têm sido aprimorados constantemente e com a infraestrutura existente, os serviços podem ser acessados de qualquer lugar a qualquer hora e momento. Através do uso desses serviços existem cobranças baseadas no tipo de utilidade a que se destina. Estes tipos de serviços estão sendo bastante utilizados e aplicados nas mais diversas áreas, gerando uma mudança bastante importante na forma que são estão acessados os dados, o Cloud Computing ou Computação em Nuvem é uma das tecnologias que está facilitando o acesso independente da sua localização.

A computação em nuvem é considerada um grande avanço tecnológico para a tecnologia da informação. Mas para poder usufruir todo o seu o seu potencial é preciso e necessário ter aspectos legais e ser regularizada para o mercado internacional, para que a empresas que estão interessadas em oferecer tal serviço para quebrar a fronteiras e para que os consumidores possam escolher o que o mundo pode lhes oferecer (BSA, 2017).

Considerando os benefícios e a praticidade da utilização das tecnologias, inclusive da computação em nuvem, existem muitas pessoas e grupos que buscam afetar a disponibilidade ou roubar dados de serviços online e eles tem aumentado consideravelmente todos os anos, citando alguns casos que aconteceram nos últimos anos.

O conceito de segurança de informática é muito importante e deve ser levado em consideração, pois através dele pode-se minimizar os riscos e proteger as nossas informações pessoais, profissionais e arquivos como vídeos e fotos que são armazenados na nuvem.

O objetivo do presente trabalho foi a comparação da segurança contra a invasão e

proteção de dois serviços de armazenamento na nuvem, com a finalidade de checar quais dos

dois serviços oferecidos aos usuários possuem maior segurança, no sentido do armazenamento

dos dados pessoais e das empresas, verificando se o ambiente oferece proteção contra acessos

ilegais, garante a integridade dos dados e se fornece uma ampla disponibilidade de acesso a esses dados.

2 MATERIAL E MÉTODOS

Os softwares utilizados atuaram na verificação de dois testes importantes de escaneamento e uma simulação de quebra de segurança, onde os softwares irão simular um ataque nos serviços de armazenamento de dados e nesse caso foram utilizados como base de testes os serviços de armazenamentos na nuvem Onedrive e Googledrive e como teste de quebra de segurança e escaneamento os softwares Vega (Figura 1) e Nikto Web Scanner (Figura 2).

Figura 1- Vega

Figura 2- Nikto Web Scanner

O Vega é um scanner de segurança de código aberto gratuito e uma plataforma de teste de segurança na web, ou seja, permite testar a segurança de aplicativos da web. O fato de ele ser considerado uma plataforma de teste de segurança na web significa que as verificações de vulnerabilidades são executadas na internet e os dados ou os arquivos que foram trabalhados e são processados e armazenados dentro da web (SUBGRAPH, 2017).

O Vega pode ajudar a encontrar e validar SQL Injection, o SQL Injection é o nome dado a uma falha na codificação de uma aplicação qualquer (seja web ou local) que possibilita, por meio de um input qualquer, a manipulação de uma consulta SQL, Cross-Site Scripting (XSS), Cross-Site Scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem client-side script dentro das páginas web vistas por outros usuários. Informações confidenciais divulgadas inadvertidamente e outras vulnerabilidades, ela pode permitir que um invasor anônimo leia e modifique todos os dados armazenados no banco de dados e podem ativar ataques maliciosos.

O Vega também examina as configurações de segurança TLS/SSL e identifica

oportunidades para melhorar a segurança de seus servidores TLS. O Vega inclui um scanner

automatizado para testes rápidos e um proxy de interceptação para inspeção tática. O scanner

Vega encontra XSS (scripts entre sites), injeção SQL e outras vulnerabilidades. O Vega pode

ser estendido usando uma API poderosa no idioma da web: Java script ( SUBGRAPH, 2017).

Para o escaneamento dos discos virtuais foi utilizado o software Vega. O Vega é um scanner desenvolvido pela subgraph em Montreal. Ele foi baseado em GUI e o Vega possui uma interface gráfica de usuário com comandos que auxiliam em seu manuseio, ele é multi plataforma, Vega está escrito em Java e é executado no Linux, OS X e Windows. Conforme pode-se observar na Tabela 1, mostrando as vulnerabilidades que se pode encontrar utilizando o Vega.

Tabela 1- Vulnerabilidades

Ao utilizar o software Vega pretende-se verificar e encontrar:

 SQL Injection

 Cross-Site

Com o Vega realizou-se o escaneamento da url desejada para encontrar as falhas que foram descritas (Figura 3).

Figura 3- Resultado escaneamento

Nikto é um script desenvolvido na linguagem pearl, ele é licenciado sob a GNU GPL (General Public License). O objetivo desse software é realizar testes e se enquadra na categoria de scanners de vulnerabilidades, ele faz a checagem em arquivos CGI (Common Gateway Interface) potencialmente perigosos, ele pode encontrar diversos tipos de padrões inseguros em servidores web (CIRT.NET, 2017)

Veja

Vulnerabilidades que podem ser encontradas com o Vega

Alta Média Baixa

Possível diretório transversal

Caminhos do sistema de arquivos locais encontrados

Lista de diretórios detectada

Injeção de SQL Campo de senha de formulário com

preenchimento automático ativado

Scripts entre sites

Nikto é um scanner de servidor web de código aberto (GPL) que realiza testes abrangentes contra servidores web para vários itens, incluindo mais de 6700 arquivos / programas potencialmente perigoso, verifica versões desatualizadas de mais de 1250 servidores e problemas específicos da versão em mais de 270 servidores. Ele realiza testes em servidores da web e nos arquivos de log ou em um IPS/IDS. No entanto, há suporte para os métodos anti-IDS da LibWhisker caso o intuito seja fazer uma tentativa ou testar o sistema IDS (CIRT.NET, 2017)

Nikto é utilizado via prompt de comando, o primeiro passo é digitar o nome do programa para sua ativação, segundo passo o usuário ira digitar o código especifico para o teste a ser realizado e logo após isso o usuário ira digitar a url a ser testada. Conforme a Tabela 2, mostrando as comparações entre Nikto e Vega.

Tabela 2- Comparações Nikto e Vega

Nome Plataformas SQL Injection XSS IPS/IDS anti-IDS da LibWhisker Nikto Windows, Unix, Linux x x

Vega Windows, Unix, Linux x x

Os parâmetros que podem ser utilizados na execução do Nikto foram:

 -h:

 -all cgi

 -id+

O -h esta opção especifica quais portas que você deseja verificar e prevalece sobre o padrão.

O -all cgi executa todos os scripts internos do Nikto para verificar host desejado.

O -id+ usa autenticação no host no formato user id: password.

A sintaxe de utilização do Nikto é: Nikto parâmetros url (Figura 4).

Figura 4- Resumo do teste de quebra de segurança

3 RESULTADOS E DISCUSSÕES

Com o Vega foram testados a segurança contra:

 SQL Injection

 Cross-Site

Esses erros foram encontrados através do escaneamento do programa Vega, demostrando que os serviços testados possuem falhas de segurança.

No primeiro teste realizado com o Vega versão 1.0 nota-se que Onedrive (Figura 5) teve apenas ameaças médias, já o Googledrive (Figura 6) teve os três tipos de ameaça alta, média e baixa.

Figura 5- Onedrive Figura 6- Googledrive

No segundo teste realizado com o Nikto versão 2.1.5 pode-se notar que logo no inicio o Googledrive não deixou com que o software avançasse, foi testado por aproximadamente duas horas e mesmo assim não teve êxito como mostra a (Figura 7).

Já o teste realizado com o Onedrive pode-se notar que nesse período de tempo o software avançou de forma considerável mostrando algumas vulnerabilidades conforme (Figura 8).

Figura 7- Amostra de tentativas de encontrar vulnerabilidades GoogleDrive

Figura 8- Amostra de tentativas de encontrar vulnerabilidades Onedrive.

Como resultado das análises feitas no Onedrive e Googledrive nota-se que o Googledrive demostrou que a sua segurança em armazenamento foi mais eficiente em barrar os testes realizados para o bloqueio dos softwares, e no tempo de até duas horas não deixou que o Nikto avançasse, mas durante o teste com o Vega pode-se notar que ele apresentou os três graus de ameaças que são baixa, média e alta, e também teve a ameaça do tipo SQL Injection que aproveita de falhas de sistemas que interagem com sistemas SQL.

No outro serviço de armazenamento Onedrive durante esse mesmo período de duas horas pode-se observar que o Nikto demorou para ser barrado, mas em comparação com o software Vega teve apenas ameaças do tipo médias, com essas comparações pode-se destacar que o armazenamento em nuvem mais eficiente foi o Googledrive pois mesmo ele apresentando ameaças altas, médias e baixa o seu sistema de bloqueio provou ser mais eficiente.

4 CONCLUSÕES

A necessidade de usar os testes de vulnerabilidade em discos virtuais é analisar os riscos e cuidados que devem ser levados em consideração pelo usuário quando está armazenando arquivos pessoais e documentos importantes na nuvem e assim tomar as medidas necessárias para cuidar melhor da segurança desses.

O uso dos softwares Vega e Nikto permitiu uma análise das ameaças existentes para as informações pessoais e corporativas armazenadas no GoogleDrive e OneDrive, servindo como auxílio nos procedimentos de segurança da informação.

É importante destacar que o uso dos softwares de invasão e escaneamento não isentam

a realização de ataques para quebra de códigos de segurança, senhas de acesso a redes e

códigos de programas com fins criminosos, com isso a responsabilidade pela segurança dos

arquivos armazenados nos serviços de armazenamento na nuvem são também responsabilidades do usuário.

Além disso, existem softwares de criptografia, que podem ser utilizados em conjuntos com os serviços de armazenamento em nuvem e ajudam a aumentar a segurança dos dados armazenados.

Após a realização dos testes, conclui-se que o serviço de armazenamento na nuvem que apresentou melhores resultados na proteção dos dados foi o GoogleDrive.

5 REFERÊNCIAS

CIRT.NET A SUSPEITA CRIA CONFIANÇA. Nikto: interativo. Disponível em: <https://cirt.net/nikto- interactive>. Acesso em: 30 ago. 2017.

CIRT. NET. Nikto2. Disponível em: <https://cirt.net/nikto2>. Acesso em: 30 ago. 2017.

TREND MICRO. Segurança em nuvem. Disponível em: <http://www.trendmicro.com.br/br/tecnologia- inovacao/nuvem/>. Acesso em: 14 ago. 2017.

BSA THE SOFTWARE ALLIANCE. Avanço da nuvem global. Disponível em:

<http://www.bsa.org/policy/ip?sc_lang=pt-br>. Acesso em: 14 ago. 2017.

BUYYA, R. et al. Loud computing and emerging IT platforms: Vision, hype, and reality for delivering computing as the 5th utility. Future Generation Computer Systems, (S.L), v. 25, n. 6, p. 599-616, jun. 2009.

VECCHIOLA, C; CHU, X; BUYYA, R. A Software Platform for .NET-based Cloud Computing. High Speed and Large Scale Scientific Computing, Amsterdam, v. 18, p. 267-295, jan. 2010.

SUBGRAPH. Vega helps you find and fix cross-site scripting (xss), sql injection, and more . Disponível em:

<https://subgraph.com/vega/>. Acesso em: 04 set. 2017.

NORTON BY SIMANTEC. Relatório de informações de segurança cibernética do norton 2016. Disponível em: <https://br.norton.com/cyber-security-insights>. Acesso em: 19 set. 2017.

FALLON, R. Celebgate: Two Methodological Approaches to the 2014 Celebrity Photo Hacks. Internet Science, Springer International Publishing Switzerland, v. 9089, n. 1, p. 49-60, mai. 2015.

TI INSIDE ONLINE. CERT.br registra aumento de ataques de negação de serviço em 2016. Disponível em:

<http://convergecom.com.br/tiinside/seguranca/mercado-seguranca/17/07/2017/cert-br-registra-aumento-de-

ataques-de-negacao-de-servico-em-2016/>. Acesso em: 21 set. 2017.