Vulnerabilidades
Análise de vulnerabilidades
A análise de vulnerabilidades no papel da Cibersegurança é muito importante. Sem ela, não existiria nenhuma melhoria no ramo de combate às ameaças cibernéticas, pois sem desenvolvimento, não haveria métodos de nos proteger dos diversos tipos de ataque que se conhecemos.
Este tópico é dividido em vários ramos, como a Digital Forensics, a Incident Response, entre outros.
Digital Forensics
A Digital Forensics é, como o nome indica, a forense digital, e é a obtenção e análise de dados de uma forma pura, sem quais quer tipos de distorção e sem tendências para qualquer lado, de modo a reconstruír o que se passou no passado com o sistema.
Tem como objetivo examinar dados de sistemas, ativdidade de utilizadores do sistema, programas em execução, entre outras métricas que possam ajudar a determinar se está a decorrer um ataque e quem está por detrás do ataque.
Deve-se ter sempre em conta a preservação dos dados. Se o caso a ser estudado for levado a tribunal e se descobrir que os dados foram, de qualquer forma, manipulados, é o suficiente para a prova de esses mesmos dados ser completamente anulada, e até mesmo levar o caso contra quem apresentou essa prova.
Digital Forensic Investigation (DFI)
Com a DFI, entra-se na parte judicial das investigações. É uma investigação mais especializada, pois devem-se usar métodos e técnicas que permitam a que as evidências apresentadas possam ser admissíveis num tribunal.
O grande objetivo é chegar à causa raíz do problema/evento e garantir com clareza que as evidências não foram manipuladas de forma alguma, não levantando quaisquer questões ou dúvidas.
Deve ser realizado um DFI, por exemplo:
- Resposta a um incidente
- Investigações criminais
- Corrigir falhas de segurança
Métodos de Análise
Existem dois tipos conhecidos de métodos de análise de evidências, o Método Tradicional e Método Vivo
Método Tradicional(Post mortem)
O método tradicional consiste na análise de evidências com o sistema desligado, acedendo ao disco num modo inalterável(read-only), e examinar, por exemplo:
- Logs do sistema
- E-mails
- Ficheiros
- Metadados
Método Vivo (Live forensic)
O método vivo resulta da análise da máquina, com a mesma ligada. Pode ser usado como prova um screenshot da máquina. No caso de ser necessário examinar um disco, pode demorar algum tempo, especialmente se for de grande capacidade de armazenamento.
Incident Response
Incident Response(resposta ao incidente) é o procedimento que um sujeito ou, nomeadamente uma empresa toma para que se prepare, detete, contenha e recupere de uma eventual perda de dados.
Esta é bastante importante em empresas para minimizar os danos eventuais de uma invasão de dados, ou seja, não haver perda de dados e, até mesmo, impedir que a mesma aconteça.
Existem várias equipas específicas para cada tipo de invasão, como Computer Incident Response Teams (CIRTs), Computer Emergency Response Teams (CERTs), entre outras.
Threat Intelligence
A Threat Intelligence baseia-se na obtenção e análise de informações que ajudem a identificar possíveis ataques. Esta vem com o benefício de ter uma segurança proativa, ou seja, evitar qualquer tipo de ameaças a uma empresa.
O seguinte esquema demonstra no que constitui uma Kill Chain:
As 7 fases de um ataque cibernético
Também é importante mencionar as inúmeras organizações que ajudam e facilitam o combate aos ataques cibernéticos, sendo a mais destacada a MITRE ATT&CK.
A MITRE ATT&CK é uma organização focada na obtenção de informações de ciberataques apenas por observação do que acontece no mundo digital. É conhecida por ter uma vasta base de dados de ataques com informações de quase todos os ataques que aconteceram.
Além de identificar os problemas, também disponibiliza soluções para os mesmos, tudo isto sem qualquer custo tanto para uso pessoal como para uso empresarial. Isto obviamente reforça a ideia de colaboração, que é bastante importante no ramo da informática.
Ordem de Volatilidade
É muito importante ter em conta a ordem de volatilidade dos ficheiros criados por um sistema, pois devemos começar sempre pelos ficheiros que estão mais em contacto com o sistema (como ficheiros cache, RAM, etc.). A ordem por base no tempo em que estão disponíveis e acessíveis é, respetivamente, pela seguinte ordem:
- Ficheiros cache
- Memória(RAM)
- Estado da rede
- Processos ativos
- Armazenamento
- Backups / Cópias de Segurança
- DVD's ou impressões
A seguinte ordem é importante pelo facto de ao examinar um sistema, é preciso ter precisão para encontrar a origem do problema, e na maioria dos casos essas evidências estão na memória gerada pelo sistema no instante em que ocorre o ataque, sendo esse o foco principal de um investigador.
Análise de evidências
A análise de evidências é muito importante para o desenvolvimento de métodos eficazes para combate a malwares, pois permite-nos examinar máquinas afetadas por qualquer tipo de ameaça. Estas podem ser, por exemplo:
- Malware
- Spyware
- Trojans
- Ransomware
Vulnerabilidades e como combatê-las
Quando se fala em vulnerabilidades, refere-se a uma possível falha num sistema que, a partir da mesma, pode ser comprometido o sistema, o utilizador ou uma empresa. Deve ser encarada como algo de alta prioridade, e deve ser resolvida o quão antes possível, antes que ocorra algo inesperado. Por este motivo deve sempre existir a identificação, análise e retificação de vulnerabilidades.
Como forma de ajuda a combater vulnerabilidades, existem vários websites com as vulnerabilidades mais comuns, e todas as informações necessárias para poder saber a sua origem e como combatê-las.
Common Vulnerabilities and Exposures (CVE)
A CVE é um projeto da MITRE, cujo intuito é identificar, definir e catalogar as várias vulnerabilidades que existem no mundo digital. Estas ameaças são sempre publicadas por parceiros da própria CVE, obtendo assim uma consistência nas descrições das vulnerabilidades, para quem desejar explorar múltiplas vulnerabilidades e não ter muitos conflitos com as explicações das mesmas.
Common Vulnerability Scoring System (CVSS)
A CVSS é um sistema que atribui a cada vulnerabilidade um grau de gravidade. Este é classificado do seguinte modo:
| Severity | Base Score Range |
|---|---|
| None | 0.0 |
| Low | 0.1 - 3.9 |
| Medium | 4.0 - 6.9 |
| High | 7.0 - 8.9 |
| Critical | 9.0 - 10.0 |
A tabela acima representa os graus de gravidade na classificação CVSS
Apenas são usados valores definitivos, que significa que não vai existir mudança de valores para uma vulnerabilidade. Daí surgir a importância de uma calculadora capaz de medir com precisão o grau de gravidade de uma vulnerabilidade. Se a mesma se agravar, é criado um novo catálogo com a nova ameaça.
Common Weakness and Enumeration (CWE)
A CWE é outro projeto da MITRE, que lista todos os tipos de fraquezas de software e hardware comuns. Uma fraqueza é uma condição num software, hardware, firmware ou serviço que pode vir a introduzir uma vulnerabilidade a partir delas.
O grande objetivo da CWE é parar as vulnerabilidades na sua raíz, educando qualquer pessoa que trabalha no ramo da informática, de modo a evitar erros comuns e contribuir para um espaço mais seguro numa empresa.
Open Web Application Security Project (OWASP)
O OWASP é uma fundação open-source com o intuito de melhorar a segurança de software no geral, ensinando pessoas pelo mundo todo para existir uma web mais segura.
Dentro desta fundação, foi criada um projeto bastante importante no mundo cibernético, o OWASP Top Ten. Este projeto consiste em, no final de cada ano, organizar um top 10 das ameaças mais comuns nesse mesmo ano. É feito sempre uma comparação com anos anteriores para verificar as mudanças e melhorias que aconteceram. Ao ser realizada a comparação, consegue-se saber se houve melhorias face ao combate de vulnerabilidades anteriores, as novas vulnerabilidades introduzidas e uma breve explicação de cada uma delas.
No seguinte esquema, está representada a comparação das vulnerabilidades do ano 2017, e do ano 2021:
Comparação das ameaças mais comuns entre 2017 e 2021
Softwares usados para análises
Para poder examinar e tirar conclusões de anomalias nos sistemas, é necessário utilizar ‘software’ dedicado para este tipo de problemas. Os softwares mais utilizados são o Autopsy, o OWASP-ZAP, e o Docker.
Também é importante referir que para examinar discos e outras unidades de memória, é necessário usar uma máquina virtual Kali.
Kali
O Kali é um sistema operativo Linux de base Debian. É usada especificamente para análise de vulnerabilidades, invasão de redes, entre outros fins de forense. No website oficial existem várias opções de download do Kali. Uma das mais utilizadas para análise de máquinas é a Live Boot.
A Live Boot consiste num sistema operativo temporário e inalterável, ou seja, ao reiniciar ou desligar, volta às definições default. Como não se pode fazer alterações definitivas na máquina, ela tem de estar pré-definida com os programas necessários para qualquer tipo de análise. Por ser um sistema inalterável, tem a vantagem de ser possível mexer nas evidências sem correr o risco de alterar as mesmas, algo que invalidaria automaticamente as provas.
Por ser um sistema de base Linux, grande parte dos sistemas de ficheiros são acessíveis, algo que não é possível num sistema Windows.
Existe também a possibilidade de usar o Kali em máquina virtual, usando um disco virtual, que significa que guarda todas as alterações como um computador faria. Este tipo de máquina é usada para explorar vulnerabilidades, por exemplo, em redes.
Estas ferramentas devem ser usadas explicitamente com o consentimento total da vítima, sendo estritamente proibido realizar um ataque não autorizado a qualquer empresa ou indivíduo. São apenas ferramentas para fundos de educação.
Autopsy
O Autopsy é uma aplicação open-source que é capaz de analisar quase todos os tipos de discos, e foi escrita em Java. Esta usa plugins feitos pela comunidade para uma experiência customizável para cada utilizador, permitindo assim uma livre escolha dependendo das necessidades de cada pessoa.
Esta aplicação é focada em vários campos, como, por exemplo:
- Pesquisas em Universidades/Academias
- Investigações em empresas
- Governo e Órgãos militares
- Investigações na polícia
A grande vantagem de usar o Autopsy ao invés de usar um sistema Kali por Live Boot, é que pode-se analisar unidades de disco diretamente a partir do sistema operativo principal, aumentando significamente o desempenho da análise, pois não se usa uma pen ou uma máquina virtual para usar o sistema operativo.
OWASP - Zed Attack Proxy (OWASP-ZAP)
A OWASP-ZAP é uma aplicação open-source desenvolvida pela OWASP, com o objetivo de explorar vulnerabilidades num website. O programa vem com inúmeras ferramentas de Penetration Testing, para detetar o máximo de vulnerabiliades possíveis.
Esta aplicação tem como vantagens:
- Ser reutilizável, sendo capaz de guardar reports
- Bom para iniciantes
- É grátis
Por outro lado, não é a ferramenta mais prática de usar em empresas, pelo facto de ser open-source e não ter tanta privacidade como outras ferramentas pagas.
É recomendado pela OWASP-ZAP o uso desta aplicação juntamente com o Docker, para a automatização das ferramentas existentes no programa.
Também é importante referir o projeto Juice Shop, que consiste numa aplicação escrita em JavaScript e que simula uma loja genérica de vários produtos, que contém uma série de vulnerabilidades.
É aconselhado usar a imagem deste projeto no Docker, para a exploração dos erros ser efetuada local e eficientemente. Estes erros têm vários graus de dificuldade de serem explorados, e à medida que se descobre os erros, eles vão sendo guardados num ficheiro log. que contém o que já foi descoberto pelo utilizador.
Docker
O Docker é um programa usado para desenvolver, enviar e correr aplicações. Desta forma, pode-se criar vários containers para correr ou enviar qualquer tipo de aplicação num espaço isolado. Tem a vantagem de poder ter várias aplicações a correr localmente no mesmo sistema sem consumir muito hardware, que é um grande benefício na área da cibersegurança, pois é usado vários programas ao mesmo tempo.
No seguinte esquema é apresentado que mostra a lógica por detrás do Docker:
Esquema que representa o funcionamento do Docker
Os containers são feitos e funcionam em base de imagens, semelhante a um sistema operativo. Estas são normalmente imagens de outras imagens, apenas com algumas modificações feitas.
Uma imagem bastante conhecida neste campo é a imagem do Juice Shop, um projeto referido na Seção OWASP-ZAP. Com o Docker e a imagem deste projeto, podemos criar um container que vai correr o site, localmente. A grande vantagem de correr ficheiros localmente é que pode-se fazer os testes sem qualquer problema, é possível fazer certos tipos de ataque que na Internet seriam considerados ilegais mas que são, sem dúvida alguma, cruciais para o bom funcionamento de um website.