Funcionalidades expostas pelos sistemas listados usam as mesmas capacidades exploradas pelos agressores em ataques
Caso a possibilidade de que os ativos digitais de sua empresa se tornem alvos de agressores não lhe assusta, não leia este artigo. Agora, se você vive na mesma realidade que o resto de nós, então aqui está a sua chance de aproveitar alguns conselhos para executar testes preventivos contra intrusão.
Evan Saez, analista de inteligência em ciberataques da Lifars, separou aquelas que considera as melhores ferramentas disponíveis no mercado. Segundo o especialista, as funcionalidades expostas por esses sistemas são essenciais para certificar a segurança de sua empresa, pois são as mesmas capacidades usadas pelos agressores em ataques.
Metasploit
O Metasploit é um framework com uma sólida base de fãs entre os programadores. Ele adiciona ferramentas de teste customizadas, que procuram fraquezas em sistemas operacionais e aplicações. Os módulos customizados são lançados no GitHub e no Bitbucket, repositórios online para projetos de código.
“A Metasploit é a mais popular ferramenta de testes de penetração”, exalta Saez, sinalizando que a tecnologia oferece tanto a interface Ruby quanto a CLI, a serem escolhidas com base no que o utilizar busca atingir. “A interface Ruby é mais útil para testar uma rede extensa, porque rodar comandos na CLI seria muito entediante”, defende.
Nessus Vulnerability Scanner
O Nessus Vulnerability Scanner também é popular na localização de vulnerabilidades. A tecnologia vasculha computadores e firewalls à procura de portas abertas para a instalação de software potencialmente malicioso. “Como ferramenta de teste, ela se comunica com o sistema operacional para encontrar vulnerabilidades. Ela é normalmente usada para compliance, determinando se os patches estão atualizados”, explica Garrett Payer, líder de tecnologia da provedora de soluções ICF International. “O Nessus só compara scans a bases de dados de fragilidades conhecidas”, complementa Saez.
Nmap
O Nmap determina os tipos de computadores, servidores e hardware que as empresas possuem conectados às redes corporativas. A possibilidade de essas máquinas serem identificáveis via escaneamento externo é por si só uma vulnerabilidade, explorada por agressores para estabelecer planos de ataque.
Use o Nmap para procurar hosts, portas abertas, versões de software, sistemas operacionais, hardware e fragilidades — geralmente mapeando a superfície de ataque da rede. Ele é útil em cada etapa dos testes de penetração, identificando os componentes conectados ao entrar em um novo segmento de rede. “Essa ferramenta, com sua habilidade de scripting, é útil para enumerar o acesso de usuário”, indica Payer.
Burp Suite
A Burp Suite é outra aplicação de testes de penetração. Ele mapeia e analisa aplicações web, encontrando e explorando fraquezas. Use-a com seu navegador para mapear as aplicações na web. As ferramentas dentro da suíte descobrem buracos de segurança e lançam ataques customizados. Além disso, a Burp Suite automatiza funções repetitivas enquanto retém a escolha do usuário quando o utilizador precisa ter o controle das opções individualizadas. “Essa ferramenta rica investiga cross site scripting e outras vulnerabilidades usando um proxy, fornecendo transparência em relação ao que o site de fato manda ao servidor”, expõe Payer.
OWASP ZAP
Sem fins lucrativos, a OWASP ZAP oferece escaneamento manual e automático de aplicações web, tanto para novatos quanto para veteranos em testes de penetração. Com código aberto, ela está disponível no GitHub.
A ferramenta desempenha uma variedade de testes, incluindo escaneamento de portas, ataque de força bruta e fuzzing, tudo para identificar códigos maliciosos. Seu usuário usa interface gráfica intuitiva, semelhante à de uma aplicação da Microsoft ou outras ferramentas de web design (como a Arachnophilia).
Uma vez tendo navegado e desempenhado atividades em um site, ele usa o ZAP para visualizar o código e outros processos realizados durante essas atividades. Quando configurado como um servidor Proxy, o OWASP ZAP controla o tráfego da web que processa. “Essa ferramenta é mais nova que a Burp Suite. Não é tão rica, mas é gratuita e de código aberto. Ela fornece um conjunto de funcionalidades e uma interface gráfica que são úteis para as pessoas novatas nos testes de penetração”, defende Payer.
SQLmap
Por sua vez, o SQLmap automatiza a descoberta de buracos de SQL Injection, explorando essas fragilidades e tomando o controle das bases de dados e servidores subjacentes. O SQLmap pode ser instalado no Ubuntu Linux, dentro de uma máquina virtual (VM).
Use o SQLmap para testar sites com códigos impróprios e URLS ligadas a bases de dados por meio de comandos python em linha. Se um link malicioso para as informações de databases atrair um código errado, então a URL está sujeita a ataques.
“Outra ferramenta script-friendly, a SQLmap pode determinar se um programador tem parametrizado as entradas”, informa Payer. “Se ele não o fez, um agressor poderia enviar um comando SQL e rodá-lo na base de dados, ganhando controle”.
Kali Linux
O Kali Linux é uma suíte de ferramentas pré-instaladas de testes de penetração, segurança e forense. “Ela tem funcionalidades para pessoas com zero conhecimento de segurança”, aponta Saez.
De acordo com ele, instale a Kali Linux e abra qualquer uma das mais de uma dúzia de ferramentas que possui. “Ela vem com um grande volume de documentação de usuário”, assinala.
Jawfish
Ao contrário da maioria das ferramentas, que costumam ser signature based, a Jawfish – onde Saez é desenvolvedor — usa algoritmos genéticos. “Ela procura coisas no contexto da busca”, pontua Saez. Baseando-se em critérios de busca, a Jawfish procura vulnerabilidades.
Você pode testá-la usando a interface gráfica do utilizador (GUI) disponível. Coloque um endereço IP para o servidor, um endereço web desprotegido nesse IP, a vulnerabilidade e o método desejados e então a mensagem de conclusão. A ferramenta retornará o texto quando o site for hackeado com sucesso. A Jawfish é nova e não está preparada para adoção corporativa.
