Procura e análise automatizada de superfícies expostas e passíveis de ataque a partir da internet

(1)

U

NIVERSIDADE DE

L

ISBOA

Faculdade de Ciˆencias

Departamento de Inform´atica

PROCURA E AN ´ALISE AUTOMATIZADA DE

SUPERF´ICIES EXPOSTAS E PASS´IVEIS DE ATAQUE

A PARTIR DA INTERNET

R´uben Miguel Meneses

Trabalho de Projeto

MESTRADO EM ENGENHARIA INFORM ´ATICA

Especializac¸˜ao em Arquitetura, Sistemas e Redes de Computadores

2015

Trabalho de Projecto orientado pelo Prof.António Casimiro

Ferreira da Cosa e co-orientado pelo Eng. José António dos

Santos Alegria

(2)

(3)

U

NIVERSIDADE DE

L

ISBOA

Faculdade de Ciˆencias

Departamento de Inform´atica

PROCURA E AN ´ALISE AUTOMATIZADA DE

SUPERF´ICIES EXPOSTAS E PASS´IVEIS DE ATAQUE

A PARTIR DA INTERNET

R´uben Miguel Meneses

Trabalho de Projeto orientado pelo Prof. Ant´onio Casimiro

Ferreira da Costa e co-orientado pelo Eng. Jose Ant´onio dos

Santos Alegria

Mestrado em Engenharia Inform´atica

Especializac¸˜ao em Arquitetura, Sistemas e Redes de Computadores

2015

(4)

(5)

Agradecimentos

No desenvolvimento deste trabalho, foram diversas as pessoas que contribu´ıram para a sua concretizac¸˜ao. A todas quero dirigir um agradecimento:

Ao Professor António Casimiro Ferreira da Costa, como orientador deste trabalho, por ter aceite este desafio, pelos conselhos, pela orientação no planeamento e concretização deste trabalho, pela alegria, entusiasmo, determinação e empenho que sempre transmitiu, pela sua disponibilidade, apoio, incentivo e paciência em todos os momentos, a ele, o meu mais sentido agradecimento.

Ao Engenheiro José António dos Santos Alegria, como co-orientador deste trabalho, por ter estado sempre presente desde o planeamento até à concretização deste trabalho, em todos os momentos de dúvida, por nos ter brindado com a sua sabedoria e conhecimento, pela colaboração e disponibilidade, pela referência a seguir e pelo rigor cient´ıfico, a ele, um agradecimento muito especial.

A toda a equipa do SOC e DCY, em especial ao Pedro Inácio, Paulo Serrão e Luis Costa, pela recepção amistosa e colaboração no desenvolvimento deste trabalho, tornando o ambiente de trabalho num ambiente extremamente acolhedor e familiar.

A todos os meus colegas da faculdade que me acompanharam nos últimos anos e fo-ram quase uma fam´ılia em todos os momentos complicados do meu percurso académico, pela amizade, pelos sorrisos com que me contagiaram e pela vossa paciência.

A toda a minha fam´ılia, que ao longo da minha vida académica foram um alicerce para alcançar os meus objetivos, pelo amor, força, paciência e incentivo.

À Mónica, por toda a força que me transmitiu nos momentos de maior fraqueza, pelo carinho, força, paciência e incentivo em todos os momentos.

Aos meus colegas e amigos do “Grupo de Jovens Os Mensageiros”, pela sua forc¸a, apoio e alegria que me transmitiram ao longo do meu percurso.

A todas as pessoas que de forma direta ou indireta contribu´ıram para a realizac¸˜ao deste trabalho e de toda a minha vida com o seu apoio e sabedoria.

O meu muito obrigado a todos aqueles que contribu´ıram para a realizac¸˜ao deste projeto, tenha sido de forma direta ou indireta, todos foram importantes. iii

(6)

(7)

Resumo

Num mundo cada vez mais digital onde os casos de ataques informáticos aparecem com maior frequência, é de extrema relevância para as empresas manter os seus dados, bem como os dados dos seus clientes, em repositórios que sejam seguros. No âmbito deste estágio, foi feita uma proposta de criação de uma ferramenta que seja capaz de per-correr e analisar de forma automatizada toda a rede empresarial, incluindo as sub-redes, em busca de superf´ıcies que se encontrem expostas e passiveis de serem atacadas através da Internet. Este projeto está integrado num cluster de projetos da DCY “IntelSources” (Departamento de CyberSecurity Information Discovery and Intelligence Sources) da em-presa PTC (Portugal Telecom Comunicações).

Este relatório descreve o trabalho realizado para a criação da ferramenta HAS (Hound Attack Surface) capaz de satisfazer os requisitos iniciais, nomeadamente a identificação de superf´ıcies expostas. Esta ferramenta realiza diversas atividades que são executadas de forma consecutiva. Numa primeira fase é realizado um levantamento das máquinas que estão ligadas, com base em listas de IPs ou mascaras de rede ou nomes de máquinas e dos portos que as mesmas apresentam como estando abertos. Numa segunda fase são realizadas pesquisas a portos espec´ıficos das máquinas para determinar o serviço a que as mesmas estão associadas. Em fases posteriores, depois de confirmado o serviço asso-ciado a cada porto, são feitos acessos aos serviços para obter informações que permitam determinar se os mesmos estão vulneráveis a ataques que poderão ser tanto externos como internos.

Com a criação desta ferramenta pretende-se aumentar o n´ıvel de segurança da infra-estrutura de dados da empresa, controlando melhor os pontos de entrada de poss´ıveis ataques informáticos contra a mesma.

Palavras-chave: vulnerabilidades, seguranc¸a, servic¸os, pesquisas especificas. v

(8)

(9)

Abstract

In an increasingly digital world where computer attacks appear with higher frequency, it is really important for enterprises to ensure the security of repositories that keep their data, as well as their client’s data. In this project, the proposal was to create an automated software tool capable of automatically scanning the enterprise network, including their subnets, searching for exposed surfaces that are vulnerable to attacks from the Internet. This project is part of DCY “IntelSources” (Cybersecurity Information Discovery and Intelligence Sources Department) cluster, from PTC (Portugal Telecom Comunicac¸˜oes).

This report describes the work done for the creation of a tool that addresses the initial requirements, namely the identification of exposed surfaces. The tool performs several activities, executed in consecutive stages. The initial stage involves a survey of connected machines based on a list, which can be from IP’s, netmasks or hostnames. This survey includes the open ports from the same machines. In a second stage the tool searches on specific ports to determine the services they are associated with. In further stages it then collects specific service information by directly accessing the services which may tell us if that service is vulnerable, either to internal or external attacks.

This tool will increase the security level of PTC infrastructure by providing greater control and predictability for the entry points of possible cyber attacks.

Keywords: vulnerabilities, security, services, specific searches vii

(10)

(11)

Conte´udo

Lista de Figuras xiv

Lista de Tabelas xvii

1 Introduc¸˜ao 1

1.1 Desafios . . . 2

1.2 Objetivos . . . 3

1.3 Planeamento e Contribuic¸˜oes . . . 3

1.4 Estrutura do Documento . . . 7

2 Contexto e Soluções Alternativas 9 2.1 Segurança Distribu´ıda . . . 9

2.2 Ataques e vulnerabilidades . . . 11

2.3 Soluções para detecção de vulnerabilidades . . . 13

2.3.1 Nessus . . . 13

2.3.2 openVas . . . 14

2.3.3 Discuss˜ao . . . 16

2.4 Outras Ferramentas de seguranc¸a . . . 16

2.4.1 Nmap . . . 16 2.4.2 SSLyze . . . 17 2.4.3 Nikto . . . 17 2.4.4 ElasticSearch . . . 18 2.4.5 Kibana . . . 18 2.4.6 Hidra Broker . . . 19 3 Arquitetura do HAS 21 3.1 Definic¸˜ao do Problema . . . 21 3.2 Requisitos do Sistema . . . 22

3.3 Arquitetura genérica da solução . . . 23

4 Concretização do sistema HAS 25 4.1 Definição dos componentes da arquitetura . . . 25

(12)

4.4 Componentes da Arquitetura . . . 29

4.4.1 Plugins de parametrização e orquestração . . . 30

4.4.1.1 Has . . . 30

4.4.1.2 Maestro . . . 31

4.4.2 Plugins de coleção e análise de dados . . . 32

4.4.2.1 ptScan . . . 32

4.4.2.2 niktoScan . . . 33

4.4.2.3 sslScan . . . 34

4.4.2.4 httpScan . . . 36

4.4.3 Plugin de visualizac¸˜ao: excelGenerator . . . 37

4.4.4 Armazenamento dos dados . . . 41

5 Avaliação 43 5.1 Definição de Testes . . . 43

5.1.1 Testes de Efic´acia da Ferramenta . . . 43

5.1.2 Testes de Desempenho . . . 44

5.2 Resultados e Discuss˜ao . . . 46

5.2.1 Testes de Efic´acia da Ferramenta . . . 46

5.2.2 Testes de Desempenho . . . 51

5.3 Aplicação do HAS à rede pública da PT . . . 58

6 Conclus˜ao e trabalho futuro 63 Abreviaturas 66 Bibliografia 68 Apˆendices 68 A Modelos de dados 69 A.1 ptScan . . . 69 A.1.1 XML inicial . . . 69 A.1.2 XML transformado . . . 70

A.1.3 JSON gerado . . . 70

A.2 niktoScan . . . 71

A.2.1 XML inicial . . . 71

A.2.2 XML transformado . . . 71

A.3 sslScan . . . 73 x

(13)

A.4 httpScan . . . 77

(14)

(15)

Lista de Figuras

2.1 Modelo Ataque-Vulnerabilidade-Intrus˜ao. . . 11

2.2 Aplicac¸˜ao do paradigma Cliente-Servidor. . . 13

2.3 Arquitetura OpenVAS. . . 15

2.4 Distribuição geográfica dos servidores. . . 17

3.1 Distribuição geográfica dos servidores. . . 21

3.2 Arquitetura genérica da solução. . . 23

4.1 Arquitetura do HAS. . . 26

4.2 Vis˜ao estrutural do sistema. . . 28

4.3 Plugins e scripts do sistema. . . 29

4.4 Diagrama “Has”. . . 30 4.5 Diagrama “Maestro”. . . 31 4.6 Diagrama ptScan. . . 32 4.7 Diagrama “niktoScan”. . . 34 4.8 Diagrama “sslScan”. . . 35 4.9 Diagrama “httpScan”. . . 36 4.10 Diagrama “excelGenerator”. . . 37

4.11 Escolha do tipo de enderec¸o a ser visualizado. . . 38

4.12 Escolha da quantidade de enderec¸os a serem analisados. . . 38

4.13 Escolha de datas dos dados. . . 38

4.14 Escolha da informac¸˜ao espec´ıfica a visualizar. . . 39

4.15 Separadores da folha de c´alculo gerada. . . 40

4.16 Arquitetura de armazenamento. . . 41

5.1 Detec¸˜ao de plugin lento. . . 51

5.2 Comparação tempos médios de execução dos plugins. . . 54

5.3 Tempos de execução do “niktoScan” com e sem replicação. . . 54

5.4 Ganhos na execução do “niktoScan” com replicação. . . 55

5.5 Tempos de execução do “sslScan” com e sem replicação. . . 55

5.6 Ganhos na execução do “sslScan” com replicação. . . 55

5.7 Tempos de execução do “httpScan” com e sem replicação. . . 56

5.8 Ganhos na execução do “httpScan” com replicação. . . 56 xiii

(16)

5.11 Ganhos no tempo de execuc¸˜ao da ferramenta . . . 57

5.12 Top 10 dos portos encontrados como estando abertos pelo “ptScan”. . . . 59

A.1 Ficheiro XML correspondente ao scan dos portos TCP. . . 69

A.2 Ficheiro XML correspondente ao scan dos portos UDP. . . 69

A.3 Ficheiro XML resultante da junção da informação. . . 70

A.4 Documento JSON com os dados convertidos. . . 70

A.5 Ficheiro XML gerado na recolha de informac¸˜ao. . . 71

A.6 Ficheiro XML com a informac¸˜ao importante. . . 71

A.8 Ficheiro XML gerado na recolha de informac¸˜ao pelos certificados. . . 73

A.9 Ficheiro XML gerado na recolha de informac¸˜ao pelas cifras. . . 74

A.10 Ficheiro XML gerado apenas com informac¸˜ao relevantes. . . 75

A.12 Ficheiro XML inicialmente gerado pelo httpScan. . . 77

A.13 Ficheiro XML apenas com os dados relevantes. . . 77

(17)

(18)

(19)

Lista de Tabelas

1.1 Tabela do plano de trabalho . . . 6

2.1 Correspondˆencia entre BD tradicional e ElasticSearch . . . 18

5.1 Resultados obtidos na execuc¸˜ao de testes ao plugin httpScan . . . 46

5.2 Resultados dos testes realizados `a vulnerabilidade Heartbleed. . . 47

5.3 Resultados dos testes realizados `a vulnerabilidade FREAK. . . 48

5.4 Resultados dos testes realizados `a vulnerabilidade POODLE. . . 49

5.5 Tabela com quantidade de “alarmes” detetados pelo Nikto. . . 50

5.6 Tempos de execuc¸˜ao dos plugins em segundos . . . 51

5.7 Tempo de execução de cada réplica dos plugins, em segundos. . . 53

5.8 Tempo médio de execução de cada plugin, em segundos. . . 53

5.9 Quantidade de hosts analisados e que responderam a cada plugin. . . 59

5.10 Resultados resumidos do niktoScan. . . 60

5.11 Resultados do “sslScan”. . . 60

(20)

(21)

Cap´ıtulo 1

Introduc¸˜ao

Nos dias que correm, é cada vez mais comum a dependência, tanto nas empresas como na vida pessoal, de dispositivos e tecnologias informáticas. Embora seja do conhecimento geral, nunca é demais relembrar que é quase imposs´ıvel garantir que estas ferramentas sejam cem por cento seguras. Estamos a falar de ferramentas e equipamentos que podem ir desde um simples smartphone pessoal, com o qual passamos grande parte dos dias, até a serviços de cloud. Embora estes sejam considerados bastante seguros, por toda a tecnologia de segurança que incorporam, são vários os exemplos de ataques realizados com sucesso às clouds e até mesmo a smartphones, nomeadamente o recente ataque à iCloud em que fotos intimas de várias celebridades foram expostas por toda a Internet. [1]

Muitas vezes estes ataques surgem relacionados com a falta de cuidado dos utiliza-dores que não se mostram suficientemente preocupados com a segurança dos seus dados. Esta falta de preocupação, por vezes, vem do facto dos produtos, tal como são vendidos e publicitados, transmitirem um elevado grau de confiança aos clientes/utilizadores. A falta de preocupação com a segurança, está assim relacionada com a confiança que os utilizadores têm nas empresas que lhes vendem/fornecem serviços.

Para garantir que este voto de confiança, por vezes cega, não é quebrado, é do maior interesse e responsabilidade de quem fornece estes serviços garantir que os dados dos seus clientes estão armazenados de forma segura, e que estes estão dispon´ıveis sempre que o cliente necessitar dos mesmos. Assim sendo, é de suma importância garantir que estes dados não estão dispon´ıveis para acessos indevidos, ou seja, quanto maior o n´ıvel de segurança dos dados e da infraestrutura que os armazena, menor o n´ıvel de vulnerabi-lidade a que os mesmos estão sujeitos.

De forma a evitar este tipo de ataques, tem sido realizado um enorme esforço por parte das empresas para que os seus serviços sejam cada vez mais seguros, o que implica que estes devem ter capacidade para tolerar faltas, remover vulnerabilidades e prever ataques. No caso deste projeto, e da empresa onde se realiza, a segurança é um aspeto fulcral não só pelo facto da Portugal Telecom (PT) ser uma das maiores empresas do pa´ıs, como

(22)

pelo número de clientes que confiam nos serviços que esta presta e na confidencialidade esperada dos seus dados, mas também pelo facto desta empresa ser uma referência no desenvolvimento de novas tecnologias em sistemas de comunicação.

Dada a dimensão da PT as consequências de uma intrusão nos sistemas da empresa podem ser altamente prejudiciais. Da´ı a necessidade do desenvolvimento deste projeto com o objetivo de aumentar a capacidade de detecção de potenciais pontos vulneráveis a ataques.

Neste projeto pretendeu-se concretizar uma ferramenta de pesquisa e análise automa-tizada de superf´ıcies expostas e pass´ıveis de ataque a partir da Internet, com o intuito de diminuir as probabilidades de haver um ataque através de um ponto desconhecido do sis-tema. A importância deste projeto tem como fundamento o facto de na empresa não se encontrar implementada nenhuma ferramenta de software com capacidade para realizar este tipo de análise.

Para percebermos melhor este projeto, apresentam-se de seguida os desafios que este apresenta. São depois descritos os objetivos espec´ıficos que foram definidos. Posteri-ormente é realizada uma análise ao planeamento e contribuição que este trabalho repre-sentou para o funcionamento da empresa. Por fim, descreve-se a forma como o restante documento se encontra estruturado.

1.1 Desafios

A realização deste projeto apresentou diversos desafios, um dos quais está relacionado com o simples facto de não existir na empresa, de momento, nenhuma ferramenta com capacidade total para realizar este tipo de análise.

Outro dos desafios, talvez o maior deste trabalho, prende-se com o número de máquinas que suportam e armazenam todos os serviços públicos que são disponibilizados pela PT Comunicações. A ferramenta deve, portanto, ser capaz de lidar facilmente com o pro-blema da escalabilidade do sistema, apresentando um desempenho naturalmente variável consoante o número de máquinas definidas como alvo dos scans, mas sendo capaz de realizar a sua tarefa dentro de um intervalo de tempo considerado aceitável.

A necessidade de obter resultados fiáveis é outro dos grandes desafios apresentados neste projeto, dada a dimensão das redes a serem analisadas, visto que os resultados ob-tidos implicarão a alteração da configuração de alguns elementos da rede que devem ser realizadas com precaução.

Por fim, a integração desta ferramenta na infraestrutura existente da PT, bem como a sua integração com as ferramentas de alarme existentes, apresentam também elas um desafio interessante a ser ultrapassado.

(23)

Cap´ıtulo 1. Introduc¸˜ao 3

1.2 Objetivos

Este trabalho consistiu no desenvolvimento de uma “Solução de procura e análise automatizada de superf´ıcies expostas e pass´ıveis de ataque a partir da Internet”, a ser integrado na Direção de Cyber Security, Privacy e Business Continuity (DCY) da PT Comunicações.

Com este projeto pretende-se dotar a DCY dos mecanismos necessários para melhorar a sua eficácia na área de detecção de vulnerabilidades nas suas superf´ıcies expostas à Internet de forma adaptada às necessidades da empresa e sem prejudicar o desempenho dos seus sistemas.

Para a realizac¸˜ao deste projeto foi estabelecido como principal objetivo desenhar,

desenvolver e testar uma ferramenta capaz de resolver o problema que nos foi apre-sentado.

Assim, definiram-se os seguintes objetivos espec´ıficos no desenvolvimento da ferra-menta:

1. Assegurar funcionalidade; 2. Permitir distribuic¸˜ao; 3. Assegurar escalabilidade;

4. Permitir expans˜ao da ferramenta;

5. Assegurar capacidade para analisar toda a rede pública de serviços da PT; 6. Assegurar a integração na infraestrutura existente;

Do ponto de vista funcional, pretende-se especificamente que numa primeira fase seja realizado um levantamento das máquinas que estão ligadas, com base em listas de IPs/ mascaras de rede/ nomes dessas máquinas. Além do levantamento das máquinas que se encontram ligadas, é também realizado o levantamento dos portos que as mesmas apre-sentavam como estando abertos bem como o serviço a que as mesmas estão associadas. Em fases posteriores, depois de confirmado o serviço associado a cada porto, serão fei-tas pesquisas por informações dos serviços que permitam determinar se os mesmos estão vulneráveis a ataques.

1.3 Planeamento e Contribuic¸˜oes

Para a realizac¸˜ao deste projeto, foi desenvolvido um plano de trabalho que contribuiu para que nos consegu´ıssemos orientar durantes as diferentes fases pelas quais o projeto passou.

(24)

Planeamos para uma primeira fase do trabalho estudar e testar as tecnologias que são utilizadas pela PT Comunicações para o armazenamento dos dados. Nesta fase foi-nos permitido adquirir conhecimento dobre este software com o objetivo de nos familiarizar-mos com as funcionalidades do mesmo, ou seja, inserir e eliminar dados, especificar o modelo de dados a serem inseridos e realizar de pesquisas sobre estes mesmos dados.

Seguiu-se, numa segunda fase, a interação com várias ferramentas de recolha de informações sobre os hosts que foram utilizados para testes. Neste per´ıodo tivemos opor-tunidade de adquirir conhecimento sobre as várias formas de execução das ferramentas que nos permitiram obter diferentes informações, também para adaptar e uniformizar o output gerado pelas diferentes ferramentas para um formato semelhante entre todas.

Depois desta fase de ambientação às ferramentas a serem utilizadas, foi elaborado o relatório preliminar com informação de contexto sobre o trabalho e algum do trabalho desenvolvido até ao momento em que o mesmo foi escrito. Nesta tarefa um ligeiro atraso devido a melhoramentos que foram aplicados ao relatório.

Após a escrita sobre aquela que foi a nossa ideia inicial, foram realizados vários testes com vista à correção de erros, melhoramento da uniformização dos dados recolhidos pelas ferramentas e também para melhorar a definição dos modelos de dados, ou seja, a forma segundo a qual os dados serão armazenados.

De seguida planeamos implementar um algoritmo de automatização para análise de múltiplos endereços. Nesta fase foi criado um script que executava as várias pequisas de forma sequencial e cujos dados eram todos armazenados e transmitidos recorrendo à utilização de ficheiros. Esta tarefa e a seguinte (realização de tetes) acabaram por se misturar visto que à medida que o script foi desenvolvido foram realizados testes.

Planeamos de seguida uma per´ıodo para realizar atualizações ao relatório preliminar. Esta tarefa acabou por não ser cumprida rigorosamente visto que o projeto estava a mudar e que várias das atualizações foram realizadas no decorrer do projeto.

Nas fases que se seguiram o projeto começou a ganhar a estrutura e forma que apre-sentamos neste relatório. Começamos a pensar na facilidade transmitida pela existência dos diferentes plugins para as diferentes pesquisas e restantes tarefas. Foi também nesta fase que as datas das tarefas planeadas acabaram por “escorregar” e o projeto acabou por atrasar um pouco um relação ao previsto. Dada a nova estrutura adotada nesta fase foi necessária a atualização de todo o trabalho até à data realizado.

T´ınhamos planeado de seguida a implementação de um script de visualização, seguido da implementação dos plugins de scan e análise, seguido de uma fase de integração, de testes à ferramenta e da escrita do relatório final.

Na verdade, com a alteração da estrutura e arquitetura do projeto, começamos por alterar por completo os plugins de scan e análise, estes tinham sido desenvolvidos para serem executados de forma sequencial e recorrendo a ficheiros para que os dados fossem passados de script em script. Nesta fase os scripts foram adaptados para comunicarem

(25)

Cap´ıtulo 1. Introdução 5 através da infraestrutura utilizada na empresa e foram também adaptados para serem ca-pazes de executar em paralelo para diminuir o tempo total de execução da ferramenta e melhorar o seu desempenho.

Só depois de conclu´ıda a criação destes scripts é que nos debruçamos sobre o desen-volvimento do plugin de visualização dos dados, só fazia sentido ser desenvolvido depois de termos os dados armazenados de forma correta.

O desenvolvimento destes plugins acabou por demorar mais tempo do que o previsto, não só pela necessidade constante de corrigir problemas que surgiram durante a execução da ferramenta, mas também por terem sido introduzidos novos plugins para procurar e analisar diferentes superf´ıcies.

Por último veio a fase de testes que foi realizada já com toda a ferramenta a funcionar corretamente e que nos permitirá tirar conclusões quanto ao trabalho que desenvolvemos. Quanto à escrita deste relatório final, foi um processo continuo que constantemente sofreu alterações e correções acompanhando as incidências do projeto.

Com a concretização deste projeto contribu´ımos para o aumento do n´ıvel de prevenção e deteção, de situações anómalas, existente na PT Comunicações disponibilizando uma ferramenta com capacidade para detetar superficies expostas a ataques a partir da Internet de forma automatizada e capaz de escalar.

(26)

Tarefas Durac¸˜ao/per´ıodo Estudo e teste das tecnologias a utilizar para armazenamento e

visualizac¸˜ao dos dados [1/10 a 17/10](2 semanas)

Estudo, configurac¸˜ao e teste de diferentes ferramentas de

“scanning” (1 mˆes)14/11][20/10 a

Elaboração do relatório preliminar _{[17/11 a 28/11]}(2 semanas)

Realização de testes com número reduzido de endereços (1 mês)

- Definic¸˜ao do modelo de dados [1/12 a 5/12]

- Adaptac¸˜ao dos resultados ao modelo [8/12 a 12/12]

- Correc¸˜ao de erros [15/12 a 9/1]

Implementação de algoritmo de automatização para análise de

m´ultiplos enderec¸os (1 semana)a 16/1][12/1

Realização de novos testes e avaliação dos resultados obtidos _{[19/1 a 30/1]}(2 semanas)

Atualização do relatório preliminar (1 semana)_6/2] [1/2 a

Avaliação da escalabilidade e eficácia dos testes em subnets (2 semanas)_{a 20/2]} [9/2

Implementação de ferramenta de visualização de resultados (1 semana)_{a 27/2]}[23/2

Investigação e desenvolvimento de componente de detecção de

vulnerabilidades (1 mˆes)3/4][2/3 a

Realização de testes, e correção de poss´ıveis erros, aplicado

redes p´ublicas da PT (1 mˆes)1/5][6/4 a

Integração / automação da implementação do modelo

desenvolvido (1 mˆes)29/5][4/5 a

Elaboração do relatório final (1 mês)_30/6][1/6 a

(27)

Cap´ıtulo 1. Introduc¸˜ao 7

1.4 Estrutura do Documento

O documento está estruturado em 6 secções da seguinte forma.

Na secção 2 começamos por abordar quais seriam algumas das alternativas à criação da ferramenta para deteção de superf´ıcies expostas, seguindo-se uma explicação de outras ferramentas auxiliares usadas para o desenvolvimento e concretização do projeto.

Na secção 3 abordamos o problema que levou à criação deste projeto, de um ponto de vista genérico. Apresentamos os requisitos que uma solução para este problema deve satisfazer, bem como a solução genérica que consideramos ser a mais correta para resolver este mesmo problema.

De seguida apresentamos na secção 4, a nossa concretização da solução proposta, explicando o ambiente onde o mesmo foi desenvolvido, as decisões que foram tomadas, a visão funcional e estrutural da solução e todos os componentes de software que esta solução envolve.

Na secção 5 descreve-se o trabalho de avaliação que foi realizado, nomeadamente os testes realizados com a ferramente e os resultados obtidos em cada teste.

Por fim, na secção 6, apresenta-se uma conclusão onde iremos avaliar o nosso trabalho com base nos objetivos que foram cumpridos e com base nos resultados obtidos pela ferramenta. Indicam-se ainda poss´ıveis extensões ao trabalho que lhe trariam uma maior robustez e maior capacidade de análise.

(28)

(29)

Cap´ıtulo 2

Contexto e Soluc¸˜oes Alternativas

A ferramenta neste projeto tem como objetivo a descoberta de superf´ıcies expostas a ataques através da Internet, ou seja, descobrir elementos da rede que estejam vulneráveis a ataques conhecidos através da Internet. Para tal, é importante analisar as ferramentas que existem no mercado e perceber as razões pelas quais é prefer´ıvel desenvolver esta ferramenta de forma interna em detrimento da utilização ou compra de licenças desses mesmos softwares.

Neste cap´ıtulo será feita uma introdução a alguns conceitos relacionados com a segurança distribu´ıda que nos ajudarão a entender os desafios apresentados neste projeto. Falaremos também de algumas ferramentas que serão utilizadas para ajudar a concretizar o projeto, sendo que estas servirão para a realização de scans, armazenamento e visualizar dados.

2.1 Seguranc¸a Distribu´ıda

Uma vez que este projeto se insere na área da segurança informática, introduzimos nesta secção alguns dos conceitos mais importantes nesta área descrevendo, a motivação geral por trás das ações perpetradas por utilizadores maliciosos, os tipos de ataques nor-malmente realizados e ainda as consequências provocadas por estes ataques quando são bem sucedidos e resultam numa intrusão.

A relação das pessoas com os computadores tem sofridos alterações nas últimas décadas de uma forma quase absurda, passando de uma, falta de confiança inicial para a crença cega nos computadores chegando ao ponto de se tornarem demasiado dependentes dos mesmos e armazenar neles toda a informação que lhes é importante.

Muitas vezes as pessoas não dão a devida importância à informação que armazenam nos seus computadores. Tanto informação de cariz pessoal como a de cariz profissional, relacionado com o seu trabalho, são muitas vezes deixadas de forma descuidada sem que estes se preocupem com a privacidade desta informação.

Este tipo de comportamento está associado à falta de formação das pessoas para este tipo de cuidados (preservação da privacidade dos dados armazenados em computadores),

(30)

uma vez que a informática tem avançado a um ritmo tão rápido e que a generalidade das sociedades não a tem acompanhado.

Esta falta de cuidado é muitas vezes aproveitada por utilizadores mal intencionados para invadir os computadores de outras pessoas, roubar passwords ou espiar a rede para observação de informação alheia, sendo estas ações muitas vezes realizadas como uma simples “brincadeira” para mostrar o poder que estes utilizadores possuem comparativa-mente aos que não se preocupam com a preservação dos seus dados.

Contudo, não nos podemos esquecer que mesmo que muitas destas ações sejam rea-lizadas por diversão, em alguns casos existem utilizadores com verdadeiras intensões de “arrombar” a segurança dos nossos computadores e de provocar algum tipo de incidente. As motivações por trás destas ações estão muitas vezes relacionadas com curiosidade de quem as realiza, a sua vontade de “colecionar troféus”, obter acesso a recursos de comunicação ou computação, danificar ou sabotar sistemas e roubo de informações.

Para prevenir que estes incidentes aconteçam devemos estar atentos ao que se passa no mundo informático e garantir que nos prevenimos minimamente dado que muitas veze es-tes incidenes-tes podem ser devastadores, sobretudo nos casos das empresas onde para além dos seus dados são também responsáveis pelos dados dos seus clientes, que se pretende sejam mantidos em privado.

A área da segurança deve então ser abordada pelas empresas da mesma forma que muitas outras áreas o são e como tal devem ter planos de segurança, ou seja, deve ser realizada uma análise ao problema, uma lista de requisitos e/ou politicas de segurança, definição das funcionalidades do sistema e uma seleção das tecnologias que são permiti-das. A realização destes planos implica um investimento na infraestrutura de segurança das mesmas, sendo que o custo associado a este investimento deve ser inferior ao valor das consequências de um poss´ıvel incidente relacionado com a segurança.

Numa perspectiva formal, existem alguns conceitos e terminologia b´asica na ´area da

seguranc¸a que importa referir e descrever. Assim, diz-se que umavulnerabilidade ´e uma

fragilidade ou falta apresentada por um sistema de computação ou de comunicação, que pode ser explorada com intenções maliciosas. Devido às vulnerabilidades apresentadas por um sistema, o mesmo apresenta uma elevada probabilidade de ser alvo de um ataque,

à qual damos o nome deameaça. Nestas condições um ataque pode ser definido como

a activação intencional e maliciosa de uma falta no sistema, ou seja, com a intenção de explorar uma vulnerabilidade.

Estes ataques podem ser realizados de duas formar distintas, ou seja, podem ser

rea-lizados de forma ativa ou passiva. Umataque ativo caracteriza-se pelas tentativas

agres-sivas do utilizador malicioso para conseguir penetrar no sistema e perturbar o seu normal

funcionamento e roubar ou modificar dados. Os ataques passivos caracterizam-se por

não necessitarem de ações explicitas contra a segurança dos sistemas ou a integridade da informação contida nestes. Geralmente estes ataques são realizados através da leitura

(31)

Cap´ıtulo 2. Contexto e Soluções Alternativas 11 de ficheiros disponibilizados erroneamente para a Internet, fazendo login nos sistemas através da utilização de credenciais predefinidas ou intersetando pacotes na rede para ob-ter algum tipo de informação.

A um ataque bem sucedido que resulta no estado erroneo de um sistema de comunicac¸˜ao

ou computação damos o nome de intrusão. Se nada for feito contra as intrusões, estas

podem levar à falha da segurança do sistema. Assim, é importante dotar o sistema de mecanismos que permitam tolerar situações de intrusão no sistema, de modo a que este se mantenha seguro. Por exemplo, estes mecanismos podem ser baseados na deteção de intrusões e na introdução de redundância, que permita mascarar o comportamento in-correto do componente afetado. Estas intrusões podem resultar na intercepção e fraude de pagamentos eletrónicos ou sistemas de home banking, na realização de transferências bancárias eletrónicas indevidas, em espionagem industrial ou no roubo de informações.

Para nos ajudar a compreender melhor a ligac¸˜ao entre todos os conceitos que aqui foram introduzidos, apresentamos de seguida a Figura 2.1 [2] [3] [4].

Erro Tolerância Intrusões Prevenção Intrusões Utilizador malicioso Programador Falha Vulnerabilidade (falta) Ataque (falta) Intrusão (falta)

Figura 2.1: Modelo Ataque-Vulnerabilidade-Intrus˜ao.

O nosso projeto enquadra-se na prevenção de intrusões uma vez que desenvolvemos uma ferramenta que descobre superf´ıcies expostas a vulnerabilidades a partir da Internet com o intu´ıdo de as eliminar o que reduz o número de poss´ıveis pontos de ataque .

2.2 Ataques e vulnerabilidades

Depois da introdução anteriormente realizada aos conceitos de ataque e de vulnera-bilidade, nesta secção abordamos os ataques e as vulnerabilidades concretas que procu-ramos detetar e evitar que aconteçam nos sistemas da empresa, fazendo de seguida uma separação entre os mesmos.

Neste trabalho procuramos detetar superficies expostas a partir da Internet que repre-sentem uma vulnerabilidade a determinados ataques, nomeadamente aos seguintes:

• DoS: “Denial of Service” é um ataque que se foca em perturbar os recursos de computação fazendo com que os mesmos fiquem indispon´ıveis para satisfazer as ne-cessidades para as quais foram criados. Estes ataques podem ser realizados através

(32)

da execução de múltiplos pedidos direcionados a um determinado host tornando-o lento o que acaba por resultar na interrupção dos serviços que o mesmo disponibi-liza;

• SQLi: Um ataque “SQL injection” consiste em injetar query SQL em campos de texto (input) da aplicação. Se for bem realizado estes ataques podem modificar (inserir, atualizar ou remover) ou revelar informações sens´ıveis contidas nas bases de dados;

• XSS: Cross-Site Scripting é um ataque realizado através da injeção de scripts mali-ciosos em web sites que não validam ou codifiquem os seus campos de input. Estes scripts são geralmente direcionados a outros utilizadores do mesmo web site e são executados no browser do “alvo” porque este não têm forma de saber se o script é confiável ou não uma vez que este vem de uma, suposta, fonte segura. Estes scripts podem aceder a informações retidas nas cookies ou outro tipo de informação sens´ıvel armazenada no browser.

No que diz respeito a vulnerabilidades, as que consider´amos no contexto particular deste trabalho foram as seguintes:

• Http.Sys: É uma vulnerabilidade existente na pilha do protocolo HTTP que permite a execução remota de código. Esta vulnerabilidade é causada quando o HTTP.sys analisa de forma incorreta um pedido (malicioso) HTTP especialmente criado. Esta vulnerabilidade afeta essencialmente sistemas Windows da Microsoft.

• Heartbleed: É uma vulnerabilidade das bibliotecas de criptografia do OpenSSL e permite o roubo de informação (supostamente protegida) através da leitura de zo-nas protegidas da memória. Ficam assim comprometidas as chaves secretas que são utilizadas para identificar fornecedores de serviços e cifrar o tráfego, nomes de uti-lizadores e as suas passwords bem como conteúdos associados a esses utiuti-lizadores. • FREAK: É uma vulnerabilidade que existe em algumas das implementações dos

protocolos SSL/TLS e permite a utilizadores mal intencionados decifrar comunicações seguras entre clientes vulneráveis e servidores. Esta vulnerabilidade pode ser facil-mente identificada nos casos em que os servidores web aceitam cifras RSA EXPORT. • POODLE: É uma vulnerabilidade que foi introduzida no desenho das versões 2.0

e 3.0 do protocolo SSL que permite que um utilizador malicioso consiga observar uma ligação segura de forma “limpa”, ou seja, texto normal. Apesar de existirem os protocolos TLS 1.0/1.1/1.2 utilizados para colmatar esta vulnerabilidade um uti-lizador mal intencionado consegue provocar a falha deste protocolo fazendo com que o sistema recorra à versão 3.0 do protocolo SSL para conseguirem explorar a

(33)

Cap´ıtulo 2. Contexto e Soluções Alternativas 13 vulnerabilidade e observar a comunicação entre outro utilizador e o serviço a que este está a aceder.

2.3 Soluções para detecção de vulnerabilidades

Tendo em conta o principal objetivo deste trabalho, a solução do mesmo poderia re-correr à utilização de ferramentas cuja funcionalidade é também a descoberta de portos abertos, serviços associados a essas portas e vulnerabilidades associadas a esses serviços. Nesta secção abordamos duas dessas ferramentas, cuja função é também a da desco-berta de vulnerabilidades dentro de sistemas informáticos. Falamos das suas funcionali-dades, do desempenho e explicamos a razão pela qual optamos por não utilizar nenhuma destas ferramentas no decorrer da concretização deste projeto. Contudo não rejeitamos por completo a integração de algumas das funcionalidades por estas realizadas num futuro próximo, uma vez que são ferramentas cuja qualidade e eficácia na detecção de vulnera-bilidades está bem comprovada.

2.3.1 Nessus

Esta ferramenta foi criada em 1998 como uma alternativa open-source ao software comercial existente. É usado, sobretudo, para descobrir vulnerabilidades, quer seja numa só máquina quer seja numa rede de computadores. Esta ferramenta utiliza uma linguagem própria, chamada Nessus Attack Scripting Language (NASL) para criar os seus plugins. Cada plugin pode ser visto como um teste a uma determinada vulnerabilidade.

Esta ferramenta pode ser utilizada com vários objetivos, nomeadamente justificar in-vestimentos em tecnologias de segurança perante terceiros, ou mesmo antes que um ata-cante o faça e assim poupar tempo e custos [5][6].

O funcionamento do Nessus ´e baseada num paradigma Cliente/Servidor, como mostra a Figura 2.2, onde o cliente e o servidor podem estar em qualquer s´ıtio da rede, desde que ligados `a Internet. Cliente Nessus Servidor Nessus Sistemas Alvo SSL

(34)

Assim o Cliente Nessus faz o pedido ao Servidor Nessus que irá de seguida proceder à análise nas máquinas definidas como alvo. Esta comunicação entre cliente e servidor é realizada através de um canal seguro que utiliza Secure Socket Layer SSL com o intuito de proteger os dados referentes às pesquisas realizadas. Os clientes devem ser, preferen-cialmente, em windows por terem uma melhor interface que, consequentemente, permite uma melhor leitura dos dados recolhidos.

Por sua vez o servidor corre em qualquer sistema Unix, faz as análises pedidas pelo cliente e guarda os resultados correspondentes em relatórios. Esta ferramenta apresenta dois modos de utilização: comercial ou “caseira”. Para ambas as versões existem 68402 plugins dispon´ıveis que cobrem 27455 Computer Vulnerabilities and Exposures (CVEs) e 20118 identificadores únicos de bugs [7].

Na versão caseira os relatórios resultantes das pesquisas são armazenados em servi-dores para ser lidos mais tarde pelo cliente, que necessita de criar uma conta para poder aceder aos mesmos. E o facto mais importante neste modo de utilização, a realização de scans está limitada a um total de 16 endereços IP. Outro aspeto a salientar neste modo é que o modo “caseiro” é grátis.

Na versão comercial os resultados são enviados aos clientes sob a forma de relatório onde constam as vulnerabilidades encontradas e algumas soluções para resolver esses mesmos problemas. Esta versão, tal como o nome indica, por ser comercial tem um custo associado de 2.190,00 USD$ por ano e por licença.

Os maiores desafios apresentados por esta ferramenta relacionam-se com o facto de lidar com falsos positivos que podem consumir demasiado tempo a determinar o verda-deiro resultado. Outro dos problemas consiste em lidar com o facto de que pode provocar a falha do sistema (routers, firewalls, outros componentes do sistema). Estas falhas po-dem ocorrer independentemente do cuidado que se possa ter a preparar a execuc¸˜ao destes scans, pelo que o utilizador/cliente deve estar preparado para o pior.

Outro desafio relaciona-se com o tempo necessário para executar os scans, que de-pende do número de máquinas, portos abertos, serviços a correrem nesses portos, tipo de sistema operativo, quantidade de firewalls, velocidade da Internet, quantidade de tráfego, quantidade de vulnerabilidades encontradas e ainda da possibilidade da máquina falhar. Por norma esta ferramenta demora algumas horas a executar um scan a uma máquina, 2 a 3 dias se for uma sub-rede da classe C (256 endereços), podendo demorar semanas nos casos em que tem de analisar redes de classe B (65.536 endereços)[7][8][5][6].

2.3.2 openVas

O OpenVAS ´e uma ferramenta open-source criada para dar continuidade ao Nessus a partir de 2008, quando este deixou de ser open-source.

(35)

Cap´ıtulo 2. Contexto e Soluções Alternativas 15 Nesta arquitetura podemos notar que os clientes se ligam a um gestor que é responsável pelos scans solicitados pelos mesmos. Toda a comunicação entre estes “módulos”, tal como também podemos observar no Nessus, é efetuada através de SSL [9].

Sistemas Alvo Cliente OpenVAS Greenbone Security Assistent Analisador OpenVAS Gestor OpenVAS Configurador Resultados NVT S er vi ços D ados C li ent es

Figura 2.3: Arquitetura OpenVAS.

Como mostra a Figura 2.3, o núcleo desta ferramenta orientada a serviços é o seu analisador (analisador OpenVAS), conhecido por executar de forma muito eficiente os testes armazenados na Network Vulnerabiity Tests (NVT) e que são atualizados diaria-mente (existem aproximadadiaria-mente 35 000 plugins). Utiliza um protocolo próprio para transferência de dados, o OpenVAS Tranfer Protocol (OTP) que por sua vez utiliza SSL para garantir segurança nessas mesmas comunicações [9].

O ‘Gestor OpenVAS” é o serviço central que consolida os dados dos scans realizados, para tornar esta solução mais fiável. Toda a inteligência está centralizada no gestor, pelo que podem facilmente ser criados clientes que sejam simples e consistentes.

É também o gestor que é responsável por controlar as Bases de Dados (BDs) SQL onde estão armazenados todos os dados e configurações dos scans, pela gestão dos utili-zadores, por escalonar os scans, por gerir falsos positivos, e por suportar a realização dos scans concorrentes, acabando por funcionar num modelo Master-Slave para controlar, num ponto central, as várias instâncias de scans criadas [9].

Por sua vez, apresenta duas soluções diferentes para os seus clientes. O OpenVAS CLI e o Greenbone Security Assistant (GSA). O OpenVAS CLI é executado em linha de comandos e permite criar processos batch para controlar os scans a realizar, e pode ser executado em qualquer sistema operativo. O GSA oferece um serviço com interface web “slim fit” para browsers [9].

Uma vez que esta ferramenta é a continuação do Nessus de 2008, podemos então concluir que os seus modos de atuação são semelhantes. Assim, as dificuldade/desafios encontrados no OpenVAS são semelhantes às encontradas no Nessus, ou seja, a geração de falsos positivos, a falta de garantias de que os scans mais completas/agressivas não irão afetar o desempenho do sistema alvo, ou até a falha do mesmo e ainda os problemas

(36)

relacionados com os tempos de execução que já foram apresentados quando falamos sobre o Nessuss.

2.3.3 Discuss˜ao

As ferramentas que foram anteriormente apresentadas apresentam uma vasta capacidade de scan e an´alise. Contudo optamos por n˜ao as utilizar.

No caso do Nessus esta decisão baseou-se no facto de este ter um custo associado à sua utilização e também devido ao facto de que este ferramenta não garante que os serviços, servidores e máquinas que são analisadas não irão sofrer perturbações no seu normal funcionamento [10].

No caso do OpenVas a nossa decisão prendeu-se com o facto de esta ser uma ferra-menta derivada do Nessus e embora seja uma ferraferra-menta open-source, esta também não garante que não irá perturbar o normal funcionamento das máquinas a serem analisadas.

Assim optamos pela incorporação de outras ferramentas cujas funcionalidades vão de encontro ao que necessitamos para realizar este projeto e também para garantir que o fun-cionamento das máquinas analisadas não é alterado. Essas ferramentas serão abordadas e descritas na secção seguinte.

2.4 Outras Ferramentas de seguranc¸a

Para o desenvolvimento da nossa ferramenta começamos por pesquisar sobre algumas ferramentas cuja funcionalidade se enquadra dentro das carater´ısticas que pretendemos implementar no nosso projeto. Uma vez que se trata de um projeto maioritariamente virado para a análise de servidores web, decidimo-nos por pesquisar sobre ferramentas com capacidade para detetar serviços, portos e vulnerabilidades em servidores web.

Nesta secção falamos sobre as ferramentas que foram pesquisadas e que foram utiliza-das para dar vida a este projeto. A escolha destas ferramentas tem por base os resultados que as mesmas nos permitem obter bem como as tecnologias que são utilizadas pela em-presa onde o projeto foi desenvolvido e onde se deve integrar.

2.4.1 Nmap

O Nmap é uma ferramenta open-source vastamente utilizada por administradores de sistemas como uma forma de controlar a segurança dos seus sistemas através da informação que é recolhida.

Optamos por utilizar esta ferramenta devido à necessidade que temos de descobrir quais os portos e os serviços que estão a ser disponibilizados pelas máquinas que são analisadas.

(37)

Cap´ıtulo 2. Contexto e Soluções Alternativas 17 É uma ferramente que por norma é rápida a realizar as suas tarefas e oferece ainda a possibilidade de execução de scripts que nos podem ajudar a testar/descobrir vulnerabili-dades no sistema. Conta também com a possibilidade de apresentar os resultados obtidos em ficheiros XML, que nos poderá ser útil para tratamento e correlação de dados.

É tradicionalmente utilizada através da linha de comandos, embora exista uma Graphi-cal User Inteface (GUI), denominada Zenmap que facilita a visualização dos resultados obtidos [10][11].

2.4.2 SSLyze

O SSLyze é uma ferramenta, em python, que tem capacidade para analisar servidores web através das suas configurações de SSL. Foi utilizada para analisarmos os servidores que apresentem o porto 443 aberto. Este porto está, geralmente, associado ao serviço HTTPS.

Esta ferramenta tem capacidade para obter informação, se dispon´ıvel, sobre os certifi-cados do servidor (o próprio certificado, datas de validade, etc...), sobre a possibilidade do servidor estar vulnerável ao Heartbleed e permite obter informação sobre todas as cifras tanto SSL como TLS suportadas pelo servidor [12].

Tal como o Nmap, também o SSLyze suporta a extração dos dados resultantes das suas pesquisas para vários formatos de ficheiros, nomeadamente para o formato XML.

2.4.3 Nikto

O Nikto é uma ferramenta Open Source, utilizada na análise a servidores web. Esta ferramenta foi concebida para realizar uma grande quantidade de testes sobre esses servi-dores, com o exclusivo intuito de ajudar à sua proteção.

Os plugins desta ferramenta são frequentemente atualizados e podem ser atualizados na ferramenta de forma automática. Para tal, basta alterar o ficheiro de configuração da ferramenta. Nem todas as verificações feitas com esta ferramenta representam vul-nerabilidades do servidor. Alguns dos resultados dos testes realizados, têm uma função meramente informativa [13].

O Nikto tem capacidade para realizar milhares de testes, cerca de 10 mil. A Figura 2.4 mostra um pequeno excerto de um dos ficheiros que cont´em parte dos testes que esta realiza. Podemos observar nesta figura que apenas neste ficheiro existem 6608 testes.

(38)

De entre os vários testes realizados a ferramenta tem capacidade para testar vulnera-bilidades: a) à possibilidade de injeções (XSS, Scripts, HTML); b) à possibilidade de ataque DoS; c) à identificação de versões desatualizadas de software; d) links que possam conter informação importante; ou e) a injeções de SQL. [14][15]

A ferramenta oferece ainda várias possibilidades de armazenar o seu output (“.htm”, “.xml”, “csv” e “txt”). Como as ferramentas que estamos a utilizar (Nmap e SSLyze) geram ouputs em ficheiros “.xml”, optámos também utilizar esse formato de output para esta ferramenta.

2.4.4 ElasticSearch

O ElasticSearch é uma ferramenta que neste projeto tem como função armazenar os dados que serão recolhidos, em cada scan realizado pelas ferramentas anteriormente refe-ridas, associados a um determinado endereço. De forma genérica podemos dizer que esta ferramenta é semelhante às bases de dados tradicionais, como demonstrado na Tabela 2.1.

BD Tradicional ElasticSearch

Base de dados Indice

Tabela Tipo

Entrada da tabela Documento

Tabela 2.1: Correspondˆencia entre BD tradicional e ElasticSearch

Com base na tabela anterior, podemos então perceber que os dados recolhidos pelas ferramentas de scan explicadas anteriormente, serão guardadas como um documento que conterá determinada informação de determinado host e deverá ser apresentado em JSON ( JavaScript Object Notation). A cada documento é atribu´ıdo um identificador (id). Este id pode ser atribu´ıdo manualmente, tomando o valor que o utilizador lhe passar, ou pode ser atribu´ıdo automaticamente, caso em que o seu valor será totalmente aleatório [16] [17].

Cada documento estará associado a um determinado “Tipo”. Para cada “Tipo” deverá existir um mapeamento de dados, ou seja, tal como uma tabela de uma base de dados tradicional deve ter os campos e os tipos dos dados associados definidos, caso contrário os dados serão interpretados e armazenados como strings. Por sua vez, cada “Tipo” está associado a um “Indice” [16] [17].

2.4.5 Kibana

O Kibana é uma interface gráfica, open source, que nos permite interagir e observar os dados que se encontram armazenados no ElasticSearch. Uma das grandes vantagens na utilização desta ferramenta está no facto desta apresentar informação em tempo real.

(39)

Cap´ıtulo 2. Contexto e Soluções Alternativas 19 Além disso é uma ferramenta de fácil acesso e, após alguns minutos, de fácil utilização [18].

Oferece ao utilizar um leque variado de apresentação dos dados. Possibilita a visualização dos dados em bruto e tem capacidade para gerar gráficos (barras, linhas, circulares) com base nesses mesmos dados para uma melhor percepção [18].

Permite ainda ao utilizar a criação de dashboards com diferentes gráficos, onde o utilizador pode visualizar diferentes dados em simultâneo. Estes dashboards podem ser editados a qualquer momento. Podem também ser guardados e carregados mais tarde, caso o utilizador necessite de criar outros dashboards com diferentes representações de dados [18].

2.4.6 Hidra Broker

O Broker é utilizado neste projeto como um canal de comunicação ao qual está as-sociada uma interface para a concretização, quer entre as diferentes aplicações que se encontram em execução na rede, como também para a comunicação com a infraestrutura do armazenamento de dados. Todas as mensagens transmitidas por este canal são auten-ticadas e consequentemente identificadas pelas credenciais de quem as transmite [19].

As comunicações realizadas por este canal de comunicação recorrem à utilização de queues que funcionam segundo o paradigma produtor/consumidor. Estas queues ofere-cem a possibilidade de várias aplicações, distribu´ıdas, comunicarem através de um mesmo canal, neste caso através do mesmo Broker[19].

Esta forma de comunicação é a utilizada pela empresa em que o projeto se inseriu e, por esta razão, o projeto foi desenvolvido de forma a que este se adaptasse facilmente à estrutura existente.

(40)

(41)

Cap´ıtulo 3

Arquitetura do HAS

Neste capitulo abordamos o problema da deteção de vulnerabilidades no contexto da PT Comunicações e introduzimos a arquitetura HAS concebida para lidar com este problema, para o qual trabalhamos com base numa solução genérica. Associado a este problema, existem alguns requisitos espec´ıficos que o caracterizam e que também são aqui explicados.

3.1 Definic¸˜ao do Problema

O problema que nos foi exposto, apresentava como principal objetivo dotar a Direção de Cyber Security, Privacy e Business Continuity (DCY) da PT Comunicações, de uma ferramenta que ofereça capacidade para procurar e analisar, de forma automatizada, su-perf´ıcies expostas a ataques a partir da internet.

Este problema surge do facto de que até ao momento não existe, na empresa, ne-nhuma ferramenta com capacidade para realizar este tipo de procura e análise. Sabendo da dimensão que a empresa apresenta, sabemos também que o número de servidores que suportam toda a infraestrutura de rede pública também é muit´ıssimo elevado.

Figura 3.1: Distribuição geográfica dos servidores. 21

(42)

Quanto maior um sistema for, maior é também a probabilidade de que o mesmo se encontre suscept´ıvel a alguma vulnerabilidade, quer por falha de quem administra os ser-vidores, ou porque quase todos os dias são descobertas novas vulnerabilidades em muitos sistemas.

Estas vulnerabilidades podem ser aproveitadas por utilizadores maliciosos que depois as conseguem explorar e ganhar acesso privilegiado aos servidores, ou roubar informac¸˜ao confidencial, quer da empresa quer dos clientes.

Outro ponto, interessante de referir, neste problema tem a ver com o facto das m´aquinas se encontrem espalhadas geograficamente, o que complica ainda mais a gest˜ao que deve ser feita regularmente para garantir que os servidores estejam sempre atualizados e segu-ros.

A criação de uma ferramenta para este tipo de análise facilitará o trabalho das equipas responsáveis por gerirem estes servidores, que terão aqui um auxilio importante nos casos em que por alguma razão alguma atualização não tenha sido realizada, ou em casos em que novas vulnerabilidade tenham sido divulgadas.

3.2 Requisitos do Sistema

Para a criação desta ferramenta devemos ter em conta alguns aspectos referidos ante-riormente, tais como o elevado número de máquinas e a necessidade que existe de uma ferramenta que seja capaz de fazer esta análise à rede.

De forma a podermos atacar este problema consideramos que a ferramenta deve apre-sentar algumas carater´ısticas que nos ajudem a que a mesma seja implementada com sucesso.

As carater´ısticas que consideramos importantes s˜ao:

• Escalabilidade: a ferramenta deve ser escalável uma vez que estamos a lidar com uma rede de dimensões consideráveis. Os casos em que é necessário analisar toda a rede devem ser tomados em conta. Com esta carater´ıstica podemos garantir que independentemente do número de servidores analisados, a resposta da ferramenta será sempre semelhante;

• Distribuição: a ferramenta deverá oferecer a possibilidade de ser executada de forma distribu´ıda. Desta forma a carga de trabalho dos vários scans realizados pode ser distribu´ıda por servidores diferentes,a para evitar que os mesmo influenciem em demasia o desempenho das máquinas onde se encontram e também por precaução no caso de algum dos servidores falhar;

• Expansão: a ferramenta deve ser concretizada de forma modular, ou seja, através de plugins. Desta forma garantimos a facilidade em adicionar ou remover módulos à ferramenta, por serem individuais e não estarem inter relacionados;

(43)

Cap´ıtulo 3. Arquitetura do HAS 23 • Capacidade de análise: a ferramenta deve ser capaz de realizar vários tipos de análise. Para tal deve utilizar diferentes ferramentas para realizar os scans ne-cessários;

• Compatibilidade: a ferramenta deve ser compat´ıvel com a infra estrutura existente para garantir a sua total funcionalidade.

3.3 Arquitetura genérica da solução

A figura que se segue (Figura 3.2) apresenta aquela que foi a nossa proposta de solução para o problema anteriormente apresentado. Como podemos perceber através da observação da imagem, a nossa solução baseou-se na modularizarão da solução identifi-cando as funcionalidades essenciais agrupadas em torno de uma plataforma de comunicação. Genericamente pretende-se que cada módulo funcional possa ser concretizado através da implementação de um conjunto de plugins.

Scan e& análise Inicialização Orquestração Visualização& de& resultados Hidra&Broker Transporte&

dados Armazenamento&de&dados

Figura 3.2: Arquitetura genérica da solução.

Relativamente à plataforma de comunicação, ficou decido à partida que seria utilizado o Hidra Broker uma vez que esta é a tecnologia utilizada o pela PT Comunicações para a concretização das comunicações entre as diversas aplicações existentes na empresa com o repositório de dados.

No nosso caso, o Hidra Broker servirá como meio de intercomunicação entre os nos-sos plugins, e também entre os plugins e o armazenamento de dados. Desta forma

te-mos garantido a compatibilidade da ferramenta com a infraestrutura existente na PT

Comunicac¸˜oes, satisfazendo assim um dos requisitos apresentados anteriormente.

Através da utilização de plugins ficamos com a possibilidade de distribuir a nossa

(44)

plugins da ferramenta. Adistribuição da ferramenta é, também, utilizada como garantia de que no caso de falha de um dos plugins os restantes têm a possibilidade de manter o seu normal funcionamento, uma vez que estes são independentes entre si.

Recorrendo à distribuição dos plugins da ferramenta, esta torna-se facilmente

es-calável através da criação de várias instancias de execução dos plugins. Este é um ponto relevante uma vez que lidamos com uma rede de grandes dimensões.

Dada a função desta ferramenta e a decisão que tomámos de recorrer à utilização de plugins, uma das partes mais importantes da mesma é a realização de scans e análise dos dados resultantes dos mesmos. Assim, temos os scans divididos por plugins tornando a

ferramentaexpans´ıvel uma vez que quando for necess´ario realizar um scan diferente, dos

já realizados, basta criar um novo plugin que se ligue ao mesmo canal de comunicação. Com a facilidade existente da expansão da ferramenta conseguimos garantir, por fim,

umagrande capacidade de an´alise sendo que basta adicionar novos plugins com

capa-cidade para testarem e detetarem diferentes vulnerabilidades.

Esta ferramenta apresenta distintos grupos de plugins aos quais estão associadas dife-rentes funções. Temos então um grupo de plugins com a responsabilidade de inicialização da ferramenta, responsáveis pela parametrização da mesma, um grupo de plugins com a responsabilidade de orquestração, ou seja, tem a responsabilidade de tomar decisões quanto ao encaminhamento dos dados dentro da ferramenta, um grupo de plugins para a realização de scans e análise responsáveis por realizar pesquisar por informações es-pec´ıficas, de acordo com o plugins, sobre determinado host, um grupo de plugins res-ponsável pela visualização dos dados recolhidos e, temos por fim um canal de comunicação responsável pelo transporte dos dados e por ligar todos os plugins entre si e com o arma-zenamento de dados.

Esta ferramenta terá então o inicio da sua execução através do plugin de parametrização, responsável por tratar do input da ferramenta encaminhando os dados iniciais para o sitio correto, através da utilização do Hidra Broker responsável pelo transporte dos dados.

De seguida é realizado um scan inicial para o levantamento de informação primária dos hosts que serão analisados. Estes dados serão encaminhados para o armazenamento de dados (ES) bem como para o plugin de orquestração que será responsável por distribuir os hosts pelos plugins com os testes que devem de ser executados sobre os mesmos. De notar que associado a cada plugin existe uma queue que servirá para que os plugins possam receber a informação que lhes interessa para a concretização das suas tarefas.

O plugin de visualização pode ser utilizado em qualquer momento da realização dos scans, embora possa apresentar falta de alguns resultados devido à execução dos scans.

(45)

Cap´ıtulo 4

Concretizac¸˜ao do sistema HAS

Neste cap´ıtulo descrevemos em detalhe o Hound Attack Surface (HAS), caracteri-zando os diversos componentes e plugins que instanciam a estrutura genérica apresentada no cap´ıtulo anterior. A concretização é também descrita numa perspectiva funcional e estrutural.

4.1 Definic¸˜ao dos componentes da arquitetura

De acordo com a arquitetura genérica apresentada no cap´ıtulo anterior, a nossa solução é baseada na utilização de plugins, cada um com uma função especifica. Um plugin é constitu´ıdo por um conjunto de scripts que são programados de acordo com as funções que se pretende que este realize.

Através da Figura 4.1 podemos observar os diferentes plugins que foram desenvolvi-dos na concretização da nossa solução. De acordo com a arquitetura genérica apresentada anteriormente (Figura 3.2) os plugins estão enquadrados em diversos grupos de acordo com a natureza das funções realizadas, nomeadamente funções de parametrização, de orquestração, de coleção e análise de dados e visualização de resultados.

Para aparametrizac¸˜ao da ferramenta foi desenvolvido um plugin denominado “Has”

que é constitu´ıdo por dois scripts(a descrição detalhada de cada script é feita na secção 4.4):

• “has.rb”: responsável pela interação com o utilizador;

• “separator.rb”: respons´avel por tratar os dados de input da ferramenta;

Para aorquestração da ferramenta, ou seja, para a realização de tarefas de

encaminha-mento de dados para os plugins de scan adequados, foi desenvolvido o plugin “Maestro”, constitu´ıdo tamb´em ele por dois scripts:

• “maestro.rb”: respons´avel por receber e tomar as decis˜oes de encaminhamento dos dados;

(46)

• “maestro sender.rb”: respons´avel pela transmiss˜ao dos dados; ES Kibana Internet Separator sslScan httpScan niktoScan

Hidra5

Broker

Internet Maestro ptScan •Lista5hosts; •Marcaras5 de5rede; addrQueue

sslQueue httpQueue niktoQueue

excelGenerator Excel5 Report HAS 1 2 3 4 5 6 7 8 7.1 9 10 11 11.1

Figura 4.1: Arquitetura do HAS.

Para a realização dosscans e da análise dos dados, inclu´ımos na arquitetura os

plu-gins “ptScan”, “sslScan”, “niktoScan” e “httpScan”. Dependendo do tipo e variedade de testes a fazer, podem ser adicionados outros plugins deste tipo. Cada um deles é cons-titu´ıdo por 2 scripts e poderá ainda recorrer à utilização de um ficheiro de configuração para a configuração dos testes que os mesmos irão realizar. Os scripts que constituem estes plugins são, de forma genérica:

• “script de scan”: respons´avel por realizar um determinado tipo de scan;

• “script de analis”: respons´avel por analisar os resultados desse scan e encaminhar os dados para o armazenamento;

Para avisualizac¸˜ao dos dados criamos o plugin “excelGenerator”, constitu´ıdo pelos

scripts:

• “generator.rb”: responsável pela interação com o utilizador;

• “excelcior.rb”: responsável por dar inicio ao processo de criação da folha de cálculo de acordo com as indicações do utilizador;

(47)

Cap´ıtulo 4. Concretização do sistema HAS 27 • “fillPorts.rb”: responsável por preencher a informação referente aos portos

deteta-dos como abertos;

• “fillTests.rb”: responsável por dar tratar da separação do preenchimento dos dados referentes aos diferentes scans realizados;

• “sslTests.rb”: respons´avel por preencher os dados referentes ao scan realizado pelo plugin “sslScan”;

• “niktoTests.rb”:respons´avel por preencher os dados referentes ao scan realizado pelo plugin “niktoScan” ;

• “sysTests.rb”: respons´avel por preencher os dados referentes ao scan realizado pelo plugin “httpScan”;

• “formats.rb”: responsável por guardar informação referente à formatação da folha de cálculo;

• “searcher.rb”: responsável pela concretização das pesquisas no repositório de dados que permitem o preenchimento da folha de cálculo no seu todo;

4.2 Vis˜ao Estrutural

A organização dos diversos plugins em grupos distintos não é apenas motivada pela natureza das funções, mas está também relacionada com questões de segurança, com implicações na estrutura do sistema. Na Figura 4.2 pode observar-se que parte do sistema se encontra numa zona reservada da rede, e apenas um conjunto de scripts se encontram numa zona pública.

Consideramos ser importante manter os plugins de orquestração, parametrização e de visualização dentro de uma zona segura da rede onde o acesso a estes é concretizado de forma controlada.

Os plugins de parametrização, orquestração e visualização encontram-se centraliza-dos numa, ou em diferentes máquinas, em que o acesso é também realizado de forma controlada. No caso do plugin de visualização não queremos que um utilizador malici-oso tenha acesso aos relatórios gerados após a realização dos scans ficando na posse de informação privilegiada referente às vulnerabilidades dos sistemas da empresa. Quando à parametrização também não queremos que um utilizador malicioso possa aceder aos parâmetros de execução da ferramenta e alterá-los para beneficio próprio. Por fim o plu-gin de orquestração, dado o papel que desempenha, pode ser replicado nos casos em que é necessário obter um melhor desempenho da ferramenta.

No caso dos plugins com responsabilidades de realizar os scans, que são os que têm a maior carga de trabalho, estes encontram-se replicados em diversas máquinas (sondas) do

(48)

sistema. Recorremos à replicação e distribuição destes plugins com o intuito de aumentar o desempenho da nossa ferramenta bem como para distribuir a carga de trabalho por várias máquinas. Internet ptScan parametrização orquestração visualização ptScan niktoScan niktoScan sslScan sslScan armazena mento Zona7reservada7 da7Rede Zona7pública77 da7Rede httpScan httpScan

Hidra7Broker

Figura 4.2: Vis˜ao estrutural do sistema.

Estes plugins têm um requisito especial, devem conseguir estar ligados à rede interna e à internet simultaneamente, visto que estes necessitam de realizar scans através da Inter-net e necessitam de acesso à rede interna para armazenar a informação que foi recolhida. Para tal recorremos à definição de rotas em cada máquina para que estes plugins possam realizar as comunicações necessárias com o restante sistema.

4.3 Vis˜ao Funcional

Do ponto de vista funcional, e recorrendo à Figura 4.1, a ferramenta inicia a sua execução através do plugin de parametrização, responsável pela interação com o utilizador e leitura do ficheiro de hosts/ IPs/ máscaras de rede que o mesmo lhe passa (1). Após a leitura do ficheiro (2), o plugin publica no canal de comunicação um evento contendo dados para cada um dos endereços indicados pelo ficheiro de configuração (3).

Estes dados são retidos pela queue associada ao plugin do scan inicial (4), onde é rea-lizado um levantamento dos portos abertos bem como dos serviços que estão a correr em cada porto (5). Após a realização do scan, os dados são analisados, tratados e colocados novamente no canal de comunicação sob a forma de evento (6).

Este evento será retido pela queue associada ao plugin de orquestração (7), que por sua vez irá avaliar estes dados e decidir para onde os mesmos devem ser encaminhados, de acordo com os portos que foram identificados como estando abertos. Este encaminha-mento é mais uma vez feito sob a forma de evento para o canal de comunicação (8).