Em algumas situações, o processo de auditorias de segurança são prejudicados por "erros" humanos ocasionados pelos próprios clientes. Parece absurdo que alguém resolva contratar serviços para avaliar a segurança e depois tente sabotar essas análises, mas isso acontece.
No decorrer deste post, iremos destacar as ações que podem fazer com que um pentester perda seu tempo, transformando um dia normal em uma grande dor de cabeça para todos.
#1 Bloquear IPs ou desligar um computador
Claro que, antes da avaliação de segurança, a metodologia que será utilizada deve ser decidida entre as duas partes. Além disso, também é importante definir os horários e a partir de qual endereço IP de origem os testes de intrusão serão realizados. Uma vez iniciado o teste, é lógico que os alertas sejam gerados. Claro que o bloqueio do IP, onde o estudo será realizado, fará com que as informações sobre a plataforma estudada não possam ser obtidas.
É curioso como muitos clientes se esquecem de bloquear o IP (ou decidem não fazê-lo) em um dia normal, mas se lembram de fazer isso durante uma auditoria. Embora seja tentador pensar que ter plataformas de firewall bem configuradas possa evitar ataques, é apenas uma falsa sensação de segurança, pois um verdadeiro cibercriminoso consegue alterar (infinitamente) o endereço IP desde onde irá realizar o ataque.
Analogamente ao caso anterior, desligar um computador vulnerável, sem dúvida, impedirá que o dispositivo apareça como desatualizado, marcando um ponto no relatório. No entanto, esse tipo de comportamento, além de ser perigoso para a empresa afetada, também fará com que o dipositivo auditado não apareça no relatório. Caso isso ocorra, você terá que refazer a auditoria.
#2 Descartar uma vulnerabilidade crítica
Em diversas oportunidades, podem ser encontradas vulnerabilidades graves nos servidores, embora talvez não sejam tão críticas para o núcleo do negócio. No entanto, é importante levar em conta a quantidade de informações disponíveis nos sistemas que podem cair nas mãos de um cibercriminoso, assim como o acesso a outro dispositivo na mesma rede de forma bem simples.
Estas são algumas das razões pelas quais esse tipo de vulnerabilidade não deve ser descartada em um relatório. Lembre-se de que a segurança é um processo, não um produto.
#3 Refazer o relatório
Escrever o relatório é uma das tarefas mais tediosas para aqueles que realizam trabalho de campo ou pentest (teste de intrusão). Talvez se analisarmos algumas das causas, veremos que os auditores costumam usufruir muito mais das descobertas e da exploração de vulnerabilidades do que propriamente escrever sobre elas, embora seja uma parte muito importante do trabalho.
É fundamental analisar cuidadosamente os resultados encontrados e eliminar quaisquer falsos positivos que possam permanecer no relatório, já que um resultado incorreto poderá impactar na credibilidade, em maior ou menor grau, das demais vulnerabilidades válidas do relatório. A situação é complicada quando todas as vulnerabilidades encontradas não podem aparecer no relatório por vários motivos, como a presença de equipamentos obsoletos que não são utilizados, mas que estão ativos na rede.
Normalmente, neste momento, começa uma negociação entre os auditores e os auditados, que provavelmente acabará modificando (para bem ou mal) o relatório corretamente chamado preliminar. Não é surpresa que, se houver muitas modificações, isso não será nada agradável para o auditor.
#4 Monitoramento excessivo
Os SysAdmins, administradores de segurança e responsáveis pela rede, geralmente mudam suas rotinas diárias quando tomam conhecimento de que auditorias de segurança serão realizadas nos sistemas. Esses profissionais monitoraram exageradamente as conexões. Por isso, em muitos casos, são capazes de detectar e interceptar comunicações remotas de um auditor.
Claro que quando um pentester consegue explorar uma vulnerabilidade, provavelmente esteja conectado e seja visível para um SysAdmin. Esse profissional pode interromper facilmente a conexão, fazendo com que o analista perda o seu tempo, embora as vulnerabilidades ainda estejam presentes.
#5 Exclusão de arquivos
Relacionado com o ponto anterior, em muitas ocasiões, os aplicativos web podem ser comprometidos. Uma vez que o alvo é alcançado, um dos modos mais simples de exploração é o uso de webshells. Essa ferramenta permite acessar diretórios e várias outras unidades. Excluir este tipo de arquivo não tornará o servidor mais seguro, pois se fosse um ataque real, provavelmente não seria tão fácil detectá-lo.
Conclusão
Dizem que o mais importante está nos detalhes. Por esse motivo, é inútil executar uma revisão de segurança superficial de um aplicativo ou sistema operacional e considerá-la completa. Isso pode causar uma falsa sensação de confiança tão perigosa como não ter feito uma verificação de segurança.
Todas as maneiras para acabar com o dia de um pentester descritas neste post também são métodos que geram maior insegurança nos sistemas ou aplicativos estudados. Por isso, é extremamente importante que os auditores e os auditados trabalhem juntos, evitando dores de cabeça e, consequentemente, alinhando ambos os objetivos com o único propósito de aproveitar as tecnologias com segurança.