Embed Size (px)
Citation preview
OPORTUNIDADES E AMEAÇAS NA REDE1
Paulo Ramos de Oliveira
Resumo: O crescimento da internet proporcionou um aumento significativo no leque de
serviços ofertados, e expansão dos negócios empresariais. Por outro lado, tem crescido de forma
significativa os ataques na rede. Mas, como prover segurança nesse ambiente de constantes
ameaças e ataques? Nesse contexto, a tecnologia da informação passou a ter papel estratégico
nos negócios das organizações. Através de testes de invasão, é possível se prevenir de
vulnerabilidades e ameaças, uma vez que prover segurança é um processo iterativo.
Esse tema ganhou notoriedade nos últimos anos, de forma que tem crescido a
preocupação das empresas com a questão da segurança na rede. O presente estudo aborda o
tema teste de invasão na prevenção de vulnerabilidades e ameaças. Foi feito uma simulação em
ambiente virtual, com demonstração sucinta de algumas formas de ataques, e ao final, são
apresentadas algumas recomendações com base na literatura.
Palavras-chave: Vulnerabilidades. Teste de invasão. Hacker ético.
1 INTRODUÇÃO
Com o surgimento de novas tecnologias como a internet das coisas, computação em
nuvem e outras, novas oportunidades e ameaças, e também novos atores entram em cena. A que
nível de risco todos estão expostos?
Em seu livro Managing Risk and Information Security (2013), o autor Malcolm Harkins,
que já foi vice-presidente e executivo chefe de segurança da informação na Intel, levanta
algumas questões acerca do crescimento da utilização da tecnologia, e consequentemente o
1Artigo apresentado como Trabalho de Conclusão do Curso de Pós-graduação em Governança de TI, da
Universidade do Sul de Santa Catarina, como requisito parcial para a obtenção do título de Especialista em
Governança de Tecnologia de Informação.
aumento das ameaças, em que estatísticas feitas por empresas de antivírus como McAfee e
Kaspersky apontam crescimento ano a ano de ataques a dispositivos móveis, por exemplo,
devido a seu crescimento de utilização. Agora, com a internet das coisas, esses novos
dispositivos conectados em rede passam a ser alvos também, aumentando esses números dessas
estatísticas.
O livro Guia do Hacker Brasileiro (2002), do autor Marcos Flávio Assunção se inicia
com a pergunta: “Estamos seguros? ”. Ao final do tópico, após discorrer um pouco sobre
segurança em informática, o próprio autor responde à pergunta: “com certeza que não”.
O tema segurança da informação desperta um pouco a curiosidade e a preocupação dos
usuários de um modo geral. Curiosidade, pois intriga um pouco quando vemos notícias de
crackers que invadem sistemas, tiram sites do ar, roubam informações, etc E, preocupação
porque ficamos no meio desse fogo cruzado: de um lado o desenvolvimento promovido por
empresas e entidades de ensino a serviço da utilidade pública com técnicas e novos serviços do
campo da segurança da informação; e do outro, o bandido que de algum modo consegue ter
acesso a essas ferramentas e utilizá-las de certa forma antiética.
Foi feita uma pesquisa bibliográfica sobre o assunto, sendo usados como referência os
livros Teste de invasão de Georgia Weidman, e Hacking para leigos de Kevin Beaver, e outros
recursos que tratam do tema segurança da informação. Os testes foram aplicados em ambiente
virtual, com virtualbox, utilizando uma máquina virtual Kali Linux e outra com Windows 7,
com o objetivo de demonstrar como encontrar falhas e vulnerabilidades em sistemas em rede.
2 ASPECTOS GERAIS DE TECNOLOGIA DA INFORMAÇÃO
2.1 Considerações iniciais
A internet proporcionou um grande avanço na vida das pessoas, influenciando a forma
como as pessoas trabalham, estudam, buscam informações sobre entretenimento, etc Pode-se
dizer que esse avanço foi tão significativo, que o autor Manuel Castells em seu livro A galáxia
da Internet (2001) chega a comparar esse avanço da tecnologia com o avanço da Revolução
Industrial. Nas suas palavras que abrem o livro:
Se a tecnologia da informação é hoje o que a eletricidade foi na Era Industrial, em
nossa época a Internet poderia ser equiparada tanto a uma rede elétrica quanto ao
motor elétrico, em razão de sua capacidade de distribuir a força da informação por
todo o domínio da atividade humana. (CASTELLS, 2001, p. 7)
Hoje, pode-se pagar uma conta ou efetuar uma compra de um eletrônico no conforto da
própria casa em pleno domingo à noite, quando não há instituições financeiras operando, nem
lojas físicas do ramo abertas. A internet também proporciona muitas oportunidades de negócios,
como tem ocorrido ultimamente, como por exemplo, o Uber, Netflix, WhatsApp, e inúmeros
outros exemplos que poderiam ser citados, que influenciam as escolhas das pessoas, e em alguns
casos chegam a ser até objeto de disputa entre setores no mercado.
Se por um lado, toda essa inovação tecnológica proporciona tantas coisas boas para a
sociedade em geral, por outro lado, ela também tira o sono de muita gente, isso quando não tira
bens materiais e/ou imateriais, ou até vidas. Tivemos muitos exemplos ultimamente, como
ataques hackers em escala mundial, ou outras formas de mau uso da tecnologia, quando boatos
espalhados em redes sociais acabam levando pessoas a cometerem atos fora da razão.
2.2 Segurança da Informação
A informação é um ativo muito importante dentro das organizações e requer atenção,
assim como demais ativos também importantes para os negócios. Nesse sentido, a segurança
da informação se aplica a todos os aspectos de proteção da informação ou dados, em qualquer
forma. O nível de proteção deve, em qualquer situação, corresponder ao valor dessa informação
e aos prejuízos que poderiam decorrer do uso impróprio da mesma. Além disso, cobre toda a
infraestrutura que permite o seu uso, como processos, sistemas, serviços, tecnologias e outros.
Aplicar a segurança da informação é um processo constante e iterativo, e deve contar
com a colaboração de todos os envolvidos na manipulação dos sistemas de informação. A
segurança em sistemas computacionais não é formada exclusivamente por meios que visam a
proteger informações ou recursos computacionais, mas é, antes de tudo, uma disciplina que por
meio de seus conceitos, metodologias e técnicas, tenta manter propriedades de um sistema,
evitando danos ao mesmo. (LENTO, 2014)
2.3 – Vulnerabilidades, ameaças e ataques
Em monografia apresentada à Universidade Cândido Mendes, o autor afirma que não
existe ambiente totalmente seguro. Independentemente de todo o aparato tecnológico, sempre
haverá o elemento humano. As melhores ferramentas até então conhecidas podem ter sido
aplicadas, mas nem todas as vulnerabilidades são conhecidas em um momento específico no
tempo. (FREITAS, 2009)
Como afirma Lento (2014), a vulnerabilidade é uma condição existente num software
ou hardware, e que pode resultar em perda de uma ou mais propriedades da segurança da
informação, conforme citadas anteriormente. Uma vulnerabilidade pode deixar um sistema
propenso a um ataque. Aplicações web utilizam-se de sistemas gerenciadores de banco de dados
(SGBD) para armazenar informações de usuários. Para aplicar segurança nesses SGBDs, é
preciso pensar na proteção das informações contidas ali. 2Exemplos de ataques de grande
proporção ocorreram com o site do Yahoo quando teve milhões de contas de usuários roubadas,
e os criminosos tentaram negociar essas informações no mercado negro da internet. Portanto,
um desenvolvedor precisa estar atento à forma de armazenamento de informações sensíveis nos
bancos de dados, como senhas, números de cartões, CPFs, etc Se essas informações são
guardadas em texto puro, um ataque como o do Yahoo pode expor totalmente os usuários.
Beal define ameaça como sendo a expectativa de um acontecimento acidental ou
proposital, causado por um agente, que pode afetar um ambiente, sistema ou ativo de
informação (BEAL, 2008). Pode ser risco de um incêndio, invasão ao sistema ou rede,
indisponibilidade do serviço. Ou seja, é algo que possa explorar uma vulnerabilidade. Lento
ainda define as ameaças como ativas, quando interagem diretamente com o ambiente; ou
passivas, quando não interagem diretamente, como uma coleta de informações por exemplo.
2.4 – Engenharia Social
Os autores são categóricos ao afirmar que o usuário é o elo mais fraco da corrente na
segurança da informação. Por que isso? O professor mestre em Sistemas de Informação Marcos
2 Disponível em: http://g1.globo.com/tecnologia/noticia/2016/09/ataque-sofrido-por-yahoo-pode-ser-
ciberguerra-fria-dizem-especialistas.html - Acesso em set/2017
Flávio Assunção tem um vídeo no Youtube referente a uma palestra sobre segurança da
informação que se chama A arte de enganar através da engenharia social, e nele é citado que os
criminosos preferem atacar o usuário à tecnologia, porque a tecnologia sempre avança, e
quando o pessoal descobre uma vulnerabilidade, as empresas vão lá e corrigem. Já com o
usuário, bem, este nem sempre acompanha a evolução das coisas. Weidman cita que o usuário
representa uma vulnerabilidade que não pode ser corrigida. (WEIDMAN, 2014)
No livro O guia do hacker brasileiro (2002), Assunção define engenharia social como
um método que uma pessoa utiliza para conseguir vantagens em relação a outra pessoa. Bastam
simples exemplos, como uma pessoa que liga para uma empresa se passando por cliente para
obter algum tipo de informação, ou até mesmo uma pessoa que conhece a rotina de uma
empresa, e se passa por alguém que irá realizar alguma coisa na empresa e consegue adentrar o
espaço físico da empresa visada.
2.5 – Hackers, crackers e hacker ético
As pessoas costumam utilizar a conotação hacker para todo invasor de sistemas. Na
verdade, os autores definem duas categorias: o hacker e o cracker. Uma boa explicação pode
ser auferida no livro Hacking para leigos do autor Kevin Beaver (2013), onde é explicado que
o termo hacker é designado para aquele usuário que gosta de explorar e aprender como sistemas
funcionam, e descobre novas maneiras de trabalhar. Aquele que que invade ou corrompe
sistemas é o cracker, que modifica, apaga ou rouba informações em busca de ganhos pessoais.
O hacker também tem a conotação de white hat, enquanto o cracker tem a de black hat.
Seguindo nesse contexto, entra a figura do hacker ético, que utiliza técnicas e
ferramentas para testar a segurança nas empresas. Como define Beaver:
A intenção do hackeamento ético é descobrir vulnerabilidades do ponto de vista dos
invasores maliciosos para melhor proteger os sistemas. (…) Hackeamento ético
também pode garantir que fabricantes aleguem que a segurança de seus produtos é
legítima. (BEAVER, 2013, p. 11).
As empresas utilizam este tipo de trabalho com a finalidade de identificar pontos fracos
nas práticas de segurança e vulnerabilidades em seus sistemas. Beaver afirma que firewalls,
criptografia e senhas podem criar uma falsa sensação de segurança. Assim sendo, atacar seus
próprios sistemas para identificar vulnerabilidades ajuda a torná-los mais seguros. (BEAVER,
2013)
2.6 – Legislação
No Brasil, existem duas leis que abrangem o ambiente de informática: a lei 12.737/2012
que ficou conhecida como “Lei Carolina Dieckmann”, e o marco civil da internet que é a lei
12.965/2014. A lei Carolina Dieckmann dispõe sobre a tipificação criminal de delitos de
informática, e nela cabe destacar os artigos 154-A e 266.
3Art. 154-A - Invasão de dispositivo informático alheio, conectado ou não à rede de
computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter,
adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do
dispositivo ou instalar vulnerabilidades para obter vantagem ilícita.
Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou
de informação de utilidade pública.
Art. 266 -
§ 1º Incorre na mesma pena quem interrompe serviço telemático ou de informação de
utilidade pública, ou impede ou dificulta-lhe o restabelecimento.
3 COLETA DOS DADOS
A primeira parte no teste de invasão é a coleta de informações. Weidman destaca que o
objetivo da coleta de informações é conhecer o máximo possível sobre o alvo, tais como: se o
3 Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm - Acesso em
set/2017
CEO revela informações no Twitter, quais softwares são executados nos servidores web, qual
endereço IP é controlador do domínio, etc
Esse processo de consulta de informações sobre domínios pode ser obtido no Kali
Linux. Basta digitar no terminal whois mais nome do site a ser pesquisado. A figura 1 mostra
uma consulta sobre o msn.com.br no terminal do Kali.
Figura 1: consulta whois no terminal do Kali Linux
Fonte: autor
Outro site que pode ser consultado para levantamento de informações acerca de um site
de alguma empresa é o 4registro.br, que também dispõe da ferramenta whois. O mesmo exemplo
foi utilizado para consultar o site msn, conforme mostra a figura 2.
Figura 2: tela de consulta no site registro.br
Fonte: site registro.br
4 Site: https://registro.br – Acesso em set/2017
Sites de empresas de grandes empresas como Google, Globo, têm muitos servidores de
hospedagem, o que pode ajudar na prevenção a ataques de negação. Empresas pequenas nem
sempre tem tantos recursos. No exemplo acima, pode ser visto que o site dispõe de 4 servidores.
Outro tópico que pode ser abordado é o Google hacking, ou seja, utilizar os recursos do
Google para buscar informações sobre um site, ou encontrar servidores que podem conter
informações em aberto. Por exemplo, pesquisando no Google por sites que estejam sem a
página index, pode-se encontrar pastas acessíveis para um invasor, conforme figura 3.
Figura 3: consulta no Google por index of
Fonte: Google
A figura 4 mostra que a pasta se encontra em aberto para acesso público.
Figura 4: pasta do site da Unicamp
Fonte: Google
Combinando comandos de consultas, pode-se até pesquisar por bancos de dados. A
figura 5 mostra que nos dois primeiros resultados exibidos através da pesquisa por arquivos do
tipo SQL em sites de governos, um dos resultados retorna até uma planilha que supostamente
armazena dados de logins e senhas.
Figura 5: consulta por arquivos do tipo SQL em sites de governos
Fonte: Google
Clicando na primeira opção, pode-se acessar um banco de dados no site da secretaria de
saúde de Santa Catarina, conforme mostra a figura 6.
Figura 6: parte da tela do banco de dados
Fonte: Google
Essa primeira parte seria referente a pesquisa por informações na rede sobre o alvo. A
próxima fase da coleta consiste em fazer uma varredura na rede para descobrir portas abertas e
quais serviços estão rodando nelas. Weidman sugere o Nmap para varredura de portas, e o
Nessus para encontrar vulnerabilidades. Além disso, o site Shodan também pode ser utilizado
para varredura na rede. A figura 7 mostra uma varredura feita na máquina virtual com Windows
7, onde se encontram hospedadas duas aplicações web em localhost. Fazendo uma varredura
pelo Nmap, pode-se observar as portas abertas e os serviços que estão rodando.
Figura 7: tela de varredura da máquina virtual que hospeda uma aplicação para teste
Fonte: autor
A partir daí, o atacante pode pesquisar vulnerabilidades para esses serviços que estão
rodando. Uma forma simples é pesquisar no Google. Por exemplo, a porta 80 está rodando um
serviço desatualizado, que é o servidor Apache versão 2.2.6 em conjunto com o PHP versão
5.2.5. Nesse caso, o atacante pode consultar no Google por vulnerabilidades no Apache 2.2.6
ou mesmo para essa versão do PHP.
O site 5Security Focus pode mostrar informações acerca de vulnerabilidade para esses
serviços, mas não disponibiliza exploit para explorá-la. Já o site 6Exploit Database,
disponibiliza exploit para exploração de falhas. Abaixo, segue um exemplo de um exploit
disponibilizado para explorar alguma falha na porta 80.
Apenas o fato de rodar serviços desatualizados não significa que a aplicação esteja
vulnerável, depende de vários fatores como ambiente de hospedagem, segurança no código da
aplicação, etc Esses sites citados disponibilizam informações sobre vulnerabilidades
5 Site: http://www.securityfocus.com – Acesso em set/2017.
6 Site: https://www.exploit-db.com – Acesso em set/2017.
encontradas, e na maioria das vezes, a recomendação para solução do problema basta apenas
aplicar as atualizações disponibilizadas pelas empresas de software. Como exemplo, o vírus
7Wanna Cry que pegou várias empresas no mundo em maio/2017, a Microsoft já havia
disponibilizado um pacote de correção para essa vulnerabilidade cerca de 3 meses antes. O
problema é que muitas empresas não atualizam seus sistemas por vários motivos, como
infraestrutura complexa, custo muito alto, incompatibilidade com softwares desenvolvidos nas
próprias empresas.
Figura 8: tela do site Exploit Database disponibilizando um exploit
Fonte: site Exploit Database
Beaver afirma que ataques contra sites inseguros podem ser realizados mesmo que o
tráfego HTTP seja criptografado (via HTTPS ou HTTP sobre SSL). Weidman sugere uma
varredura buscando por vulnerabilidades em aplicações web utilizando o Nikto. A figura 9
mostra a tela com varredura na máquina virtual em que se encontram hospedadas as aplicações
web, e o resultado mostra que existem vulnerabilidades possíveis de serem exploradas.
7 Disponível em: https://g1.globo.com/tecnologia/noticia/hospitais-publicos-na-inglaterra-sao-alvo-cyber-
ataques-em-larga-escala.ghtml - Acesso em set/2017.
Figura 9: tela de varredura utilizando o Nikto
Fonte: autor
Uma outra ferramenta que pode ser utilizada no Kali para testar aplicações web é a
OWASP ZAP. A figura 10 mostra um teste feito nessas aplicações, e o resultado mostrou vários
problemas, como destacado na figura duas falhas que possibilitam exploração por injeção de
SQL. O teste aplicado pela ferramenta consiste em inserir um script alerta, que mostra uma
caixa de diálogo na tela, demonstrando que aqueles campos de entrada de dados do usuário
aceitam instruções javascript.
Essa ferramenta mostra muitos detalhes dos problemas encontrados, sendo muito útil
para testar uma aplicação web antes de ser disponibilizada para o usuário final.
Figura 10: tela do OWASP ZAP em teste ao servidor
Fonte: autor
O resultado apontou alguns problemas, dentre eles uma vulnerabilidade a ataque de
injeção de SQL. Um teste feito na aplicação detectada confirmou a falha. Foi inserido um
pequeno código em javascript, apenas para mostrar um alerta na tela, conforme a figura 11.
Figura 11: tela de login da aplicação
Fonte: autor
Depois de clicar no botão confirmar, aparece esse alerta mostrado na figura 12.
Figura 12: alerta javascript
Fonte: autor
O problema nesse caso não é esse alerta em si, ele é até inofensivo. O problema é que
quando uma entrada de dados do usuário aceita injeções SQL, o invasor pode começar a
bisbilhotar ali até conseguir descobrir os dados armazenados nesse banco. E, se os dados
estiverem em texto puro, o atacante pode visualizá-los facilmente.
No Kali, ainda existem outros aplicativos que podem ser utilizados para atacar a
máquina alvo. No exemplo abaixo, dentro do diretório windows-binaries, podem ser
visualizados keylogger, net cat, backdoor para abertura de portas, etc A figura 13 mostra a
criação de um payload que simula uma janela de um sistema para posterior disponibilização
num servidor web, que nesse caso, será hospedado no servidor Apache da máquina atacante,
para download através do navegador na máquina alvo. Poderia ser um arquivo em formato PDF
infectado com algum desses programas. A ideia é que quando o usuário abrir o arquivo ou
programa, a máquina atacante terá acesso total à sua máquina.
Figura 13: criação de payload no terminal Kali
Fonte: autor
Depois que usuário baixar e rodar o aplicativo, será aberta essa janela abaixo. Poderia
ser um aplicativo mais elaborado, ou um arquivo infectado, esse exemplo é apenas para
demonstração do ataque, conforme mostrado na figura 14.
Figura 14: payload gerado pelo Msfvenom
Fonte: autor
A partir daí, o atacante já tem acesso à máquina do usuário, conforme mostra a figura
15. A partir da máquina atacante, o invasor consegue listar o conteúdo da máquina atacada,
como efetuar outras ações. O problema aqui é quando o usuário da máquina atacada fecha o
arquivo ou aplicação, o atacante perde o acesso. Porém, há como migrar o processo dessa
aplicação para outros processos, garantindo assim o acesso ainda que o usuário feche a
aplicação.
Figura 15: tela do terminal que mostra pasta na máquina alvo
Fonte: autor
Depois da coleta de informações, vem a parte de pós exploração de falhas. Nesse ponto,
Weidman propõe métodos para escalada de privilégios dentro dos sistemas ou deslocamento de
um sistema para outro. Como nesse exemplo acima, o atacante conseguiu acesso ao sistema da
máquina alvo, a partir daí poderia utilizar métodos de persistência de acesso, migração de
processos, verificação de informações sobre usuários logados, descoberta de senhas, etc Isso
envolve outros payloads do Metasploit, até mesmo o Meterpreter, como o Railgun que é citado
pela Weidman para administrar sessões na máquina controlada.
Num teste de invasão completo, envolveria muitos outros testes além destes, como testes
em redes wireless, varredura na rede, teste de engenharia social com usuários, como por
exemplo, enviar um e-mail infectado para o usuário, entre outros. O importante a ressaltar é o
que o Kali tem muitas ferramentas de exploração que podem ser usadas para esse fim. É possível
criar falsos e-mail, clonar sites, interceptar acessos a sites com o Burp, quebrar senhas por força
bruta com o Crunch, dentre uma gama de coisas que é possível fazer.
3.1 ANÁLISE DOS DADOS COLETADOS
Finalizadas as ações referentes aos testes efetuados, o pentester deverá proceder aos
relatórios para entrega ao cliente, com a demonstração dos testes efetuados, bem como as
recomendações para que o cliente providencie as correções necessárias. Se preciso, poderá ter
um acompanhamento para verificar se as ações foram tomadas, e o problemas corrigidos.
Conforme já mencionado, o pentester não fará as correções, apenas as recomendações.
O teste com o OWASP ZAP mostrou que há problemas com o código de uma das
aplicações, inclusive um problema de injeção de SQL. A outra aplicação, que não teve esse tipo
de problema apontado, tem no seu código uma instrução para prevenir esse tipo de problema,
conforme a figura 16.
Figura 16: parte do código de uma das aplicações
Fonte: autor
Além disso, mostrou que o ambiente de hospedagem necessita de atualização, pois o
sistema atualizado pode prover uma melhor segurança, levando em consideração a
confiabilidade do cliente que irá acessar esse site.
Conforme mencionado anteriormente, o pentester não é o responsável pelas correções
dos problemas apresentados, apenas fará sugestões e poderá acompanhar as ações que serão
tomadas para sanar tais problemas.
4 CONCLUSÕES
O objetivo da pesquisa foi demonstrar que os testes de invasão ajudam as empresas a
conhecerem suas vulnerabilidades. Como muitos dizem, a melhor forma de prevenção é
conhecer como age o oponente. Nesse contexto, a pesquisa ajudou a esclarecer um pouco sobre
ataques a sistemas em rede, e como verificar se um ambiente se encontra vulnerável. Conforme
dito anteriormente, um teste de invasão completo abrange muitas outras etapas além do exposto
neste trabalho.
Vale refletir que, fazendo uma analogia com a segurança pública, os mecanismos
utilizados pelos reponsáveis pela segurança, muitas vezes são acessíveis pelos bandidos
também. Muitas ferramentas de segurança desenvolvidas para fins monitoramento de segurança
acabam caindo nas mãos de crackers, como nos casos dos códigos subtraídos na 8NSA, que
resultaram nos ataques globais em maio/2017. E, hoje, com a facilidade da informação mais e
mais usuários acabam tendo acesso fácil a aprendizagem de ataques, como no caso do Youtube
que tem muitos vídeos sobre diversos tipos de ataques, e até mesmo treinamentos disponíveis
na internet sobre teste de invasão podem ser usados por usuários maliciosos que queiram
aprender a efetuar ataques em rede. Tem o lado bom do hacker ético, mas tem o lado do usuário
mal intencionado.
Relativo a injeção de SQL, existem vários problemas que podem ocorrer quando a
entrada de dados do usuário aceita esse tipo de injeção, desde SQL injection, cross-site scripting
até sequestro de sessões, o que pode fazer com que o atacante dispare requisições maliciosas
em nome de um usuário legítimo.
Em seu livro Segurança em aplicações web, o autor Rodrigo Ferreira recomenda
algumas precauções para esses tipos de ataques, durante a fase de desenvolvimento de
aplicações web. Recomenda, também, o site da 9OWASP, onde é possível encontrar
informações sobre prevenção a esse tipo de ataque para diversos de tipos de aplicações. A
prevenção a esse tipo de ataque é um assunto relevante, devido essas aplicações web muitas
vezes armazenarem dados de usuários, e uma vez que seu banco de dados sofra uma invasão,
esses dados podem ser roubados.
Outra recomendação feita pelo autor, seria a utilização da especificação Content
Security Policy (ou CSP), que é uma definição de um header HTTP para envio de resposta pelo
servidor ao navegador, contendo uma lista com diretivas de carregamento de conteúdo, como
na figura 17, em que as diretivas com valor ‘self’ instruem o navegador a carregar apenas
imagens e scripts cujos endereços sejam da própria aplicação.
8 Disponível em: https://www.techtudo.com.br/noticias/2017/05/heroi-acidental-quem-parou-o-ataque-do-
ransomware-wannacrypt.ghtml - Acesso em set/2017
9 Mais informações: https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet - Acesso em
set/2017
Figura 17: exemplo de header com CSP
Fonte: Ferreira (2017)
Outro ponto importante é a questão do usuário interno na empresa. O teste de fazer
download de um aplicativo infectado para ganhar acesso ao sistema alvo, serve para demonstrar
que isso pode comprometer a segurança interna. 10Há recomendações de que o usuário interno
não tenha privilégios para rodar executáveis nem fazer downloads, restringindo até o acesso à
internet, ou seja, se o usuário precisa acessar algum tipo de site, esse acesso deve ser
monitorado.
Nesse caso, seria interessante haver treinamentos de usuários sobre segurança, e
divulgações periódicas lembrando do compromisso de todos para assegurar a segurança da
informação no âmbito interno da organização.
REFERÊNCIAS
BEAL, Adriana. Segurança da Informação – Princípios e melhores práticas para a proteção dos
ativos de informação nas organizações. Livro Digital. São Paulo: Atlas, 2008.
WEIDMAN, Georgia. Testes de Invasão – Uma introdução prática ao hacking. Novatec, 2014.
FERREIRA, Rodrigo. Segurança em aplicações Web. Casa do Código, 2017.
FREITAS, Eduardo Antônio Melo. Gestão de riscos aplicada a sistema da informação:
segurança estratégica da informação. Monografia – Universidade Cândido Mendes, Brasília,
2009. Disponível em: Biblioteca Digital da Câmara dos Deputados.
10 Disponível em: http://convergecom.com.br/tiinside/seguranca/artigos-seguranca/02/05/2017/dez-dicas-para-
implementar-uma-politica-de-seguranca-da-informacao-em-empresas/ - Acesso em set/2017
LENTO, Luiz Otávio Botelho. Gestão de Segurança. Livro Digital. Palhoça: Unisul Virtual,
2014.
Segurança da Informação. Wikipédia. Disponível em:
https://pt.wikipedia.org/wiki/Segurança_da_informação – Acessado em 21/05/2017
ASSUNÇÃO, Marcos Flávio Araújo. Guia do Hacker Brasileiro. 2002.
BEAVER, Kevin. Hacking para leigos. Rio de Janeiro, RJ: Alta Books, 2013.
