







































Estude fácil! Tem muito documento disponível na Docsity
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Prepare-se para as provas
Estude fácil! Tem muito documento disponível na Docsity
Prepare-se para as provas com trabalhos de outros alunos como você, aqui na Docsity
Encontra documentos específicos para os exames da tua universidade
Prepare-se com as videoaulas e exercícios resolvidos criados a partir da grade da sua Universidade
Responda perguntas de provas passadas e avalie sua preparação.
Ganhe pontos para baixar
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Esses portais, assim como toda tecnologia, possuem vulnerabilidades de segurança que colocam em risco os serviços oferecidos pelos mesmos, bem como os dados dos usuários que os utilizam. Este trabalho tem como objetivo identificar as eventuais vulnerabilidades de segurança em portais de governos eletrônicos, buscando compreender a relação entre a estrutura econômico-tecnológica e a segurança de sistemas.
Tipologia: Teses (TCC)
1 / 47
Esta página não é visível na pré-visualização
Não perca as partes importantes!








































Em oferta
Análise de Vulnerabilidades de Segurança em
Portais de Governos Eletrônicos
Trabalho de conclusão de curso apresentado à Faculdade de Computação da Universidade Federal de Uberlândia, Minas Gerais, como requisito exigido parcial à obtenção do grau de Bacharel em Ciência da Computação.
Universidade Federal de Uberlândia – UFU Faculdade de Ciência da Computação Bacharelado em Ciência da Computação
“O homem não teria alcançado o possível se, repetidas vezes, não tivesse tentado o impossível. ” - Max Weber
O crescimento do números de computadores, juntamente com a popularização da Inter- net, contribuiu para a digitalização de serviços e o surgimento de portais de governos eletrônicos. Esses portais, assim como toda tecnologia, possuem vulnerabilidades de se- gurança que colocam em risco os serviços oferecidos pelos mesmos, bem como os dados dos usuários que os utilizam. Este trabalho tem como objetivo identificar as eventuais vulnerabilidades de segurança em portais de governos eletrônicos, buscando compreender a relação entre a estrutura econômico-tecnológica e a segurança de sistemas. As análises a serem desenvolvidas levarão em conta o uso de ferramentas, Web Scanners , que irão auxiliar na obtenção de resultados mais efetivos. O desenvolvimento do projeto é feito observando o cenário tecnológico nacional bem como suas estruturas de segurança. Os re- sultados obtidos demonstram que as vulnerabilidades mais encontradas são: Injeção, XSS e Redirecionamento e Encaminhamento Inválidos. Os estados com maior nível econômico apresentam pior desempenho na análise, destacando-se o estado do Rio de Janeiro.
Palavras-chave : Segurança da informação, Vulnerabilidades, Governo eletrônico
ABNT Associação Brasileira de Normas Técnicas
CERT.BR Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil
CERT Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança
CMS Content Management System
CSRF Cross-Site Request Forgery
CVE Common Vulnerabilities and Exposures
FTP File Transport Protocol
HTTP Hypertext Transfer Protocol
IBGE Instituto Brasileiro de Geografia e Estatística
IEC International Electrotechnical Commission
IP Internet Protocol
ISO International Organization for Standardization
LFI Local File Include
NBR Norma Brasileira
OWASP Open Web Application Security Project
PIB Produto Interno Bruto
RCE Remote Command Execute
RFI Remote File Include
SMAR Security Measure Adoption Rate
SOAP Simple Object Access Protocol
SQL-i Structured Query Language Injection
SQL Structured Query Language
SSH Secure Shell
10
A necessidade de sistemas mais seguros tem se tornado um desafio a institui- ções privadas e públicas em todo mundo. Enquanto a evolução tecnológica transforma as formas de comunicação e comércio vulnerabilidades têm surgido como limitantes desse desenvolvimento, como citado no trabalho de (NAKAMURA; GEUS, 2007).
O CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), aponta que no ano de 2016 foram contabilizados um total de 647.112 incidentes de segurança como ilustrado pela Figura 1. Se comparado aos dois anos anteriores, 2015 e 2014, o valor apresentado demonstra uma queda, entretanto pode ser considerado ainda um alto valor quando comparado ao período anterior a 2013.
Figura 1 – Total de incidentes Reportados ao CERT.BR por Ano. Extraído do portal (CERT.BR, 2016).
A análise feita por CERT.br (2016) indica que do total de incidentes registrados 59,33% são scans feitos com uso de ferramentas automatizadas para detectar recursos utilizados na rede, como pode ser visto na Figura 2. Neste trabalho foram utilizadas ferramentas scan que serão detalhadas posteriormente.
Segundo o relatório de Baker, Waterman e Ivanov (2013), o Brasil está entre os países com a menor taxa de adoção a segurança por volta de 40% sendo medidas e soluções em segurança propostas por empresas e organizações que atuam na área, como fica ilustrado na Figura 3. As medidas consideradas no relatório de Baker, Waterman e
Capítulo 1. Introdução 12
para o governo, pois caso alguma informação seja divulgada de forma errada os prejuízos poderiam ser incalculáveis (SANTOS et al., 2014).
Sobre a perspectiva de analisar as vulnerabilidades, o presente trabalho tem o objetivo de identificar as eventuais vulnerabilidades de segurança existentes em portais de governos eletrônicos, buscando compreender a relação entre a estrutura econômico- tecnológica e a segurança de sistemas. O trabalho se assemelha a abordagem utilizada por Santos et al. (2014), divergindo apenas na metodologia e na análise dos dados obtidos, onde essas etapas se baseiam nos trabalhos de (FONSECA; VIEIRA; MADEIRA, 2007).
O método utilizado na execução do projeto é centrado em quatro etapas essenciais:
Esse método de análise foi elaborado com base nas abordagens utilizadas por (DOUPÉ; COVA; VIGNA, 2010), (ROCHA; KREUTZ; TURCHETTI, 2011) e (MONTE- VERDE; CAMPIOLO, 2014). A seleção das ferramentas e o desenvolvimento da pesquisa tem seu apoio em uma bibliografia na qual experimentos semelhantes foram executados. Todas as ferramentas selecionadas são de código aberto, conforme será discutido na seção 3.1, ou possuem versões gratuitas. No total foram selecionadas duas ferramentas: Uniscan e Skipfish com base no trabalho de (ROCHA; KREUTZ; TURCHETTI, 2011) e (HOLM et al., 2011).
Espera-se fornecer uma projeção da segurança de sites eletrônicos em determinadas regiões dos país, oferecendo um ampla análise da segurança em ambientes governamentais. O relatório elaborado ao final deste trabalho servirá como esboço da segurança dos sites abordados.
O presente estudo encontra-se organizado em capítulos, onde tem-se: o capítulo 2 evidencia a fundamentação teórica e os trabalhos correlatos, contribuindo, desta forma, para o entendimento e estruturação do trabalho; no capítulo 3 apresenta-se o desenvolvi- mento da pesquisa, sendo composto pela metodologia, resultados e análise dos mesmos;
Capítulo 1. Introdução 13
por fim, no capítulo 4 desenvolve-se a conclusão, a qual reúne as considerações finais obtidas na efetivação deste trabalho.
Capítulo 2. Fundamentação teórica 15
permitindo que indivíduos ou empresas tomem decisões informadas. A classificação da OWASP consiste nos seguintes grupos:
Capítulo 2. Fundamentação teórica 16
Em um taque esses componentes podem ser explorados fazendo com que ocorram perdas de dados ou comprometimento do servidor.
As Figuras 4 e 5 ilustram respectivamente os ataques SQL-i e XSS. Na Figura 4 é mostrado a injeção de código SQL nos campos de login de uma aplicação, onde por exemplo, é injetado "1 = 1"que possui um valor booleano true que faz com que toda a tabela de usuários seja retornada.
Já na Figura 5, pode-se observar, a injeção de trechos de código, PHP, em uma caixa de texto, fazendo com que um alerta seja exibido para o usuário. Esse alerta poderia ser substituído por uma página ou link malicioso.
Figura 4 – Imagem ilustrando a exploração de um vulnerabilidade. Extraído de (Gabriella Fonseca Ribeiro, 2011).
Capítulo 2. Fundamentação teórica 18
blema. Para o administrador de segurança são passados dados sumarizados. Para um executivo são exibidas informações, inclusive gráficos. ∙ Interface com Usuário ( User Interface ): permite interação com usuário, onde o mesmo pode configurar e passar parâmetros para o software. Essa interface pode ser gráfica ou apenas linha de comando.
Figura 6 – Componentes do Scanner. Adaptado de (HKSAR, 2008).
Dentre os scanners mais populares estão: Vega, W3af, Golismero, Skipfish, Unis- can e Nikto. Todos esses scanners são gratuitos ou possuem versões gratuitas, segundo (OWASP, 2017).
Existem várias definições sobre o termo governo eletrônico. A definição escolhida nesse trabalho é dada por Evans e Yen (2006), sendo: "Simply speaking, E-Government means the communication between the government and its citizens via computers and a Web-enabled presence".
Em uma tradução não literal, os e-govs podem ser vistos como um meio de co- municação entre cidadão e Governo através de computadores conectados à internet. Essa comunicação reduz os custos e a burocracia de serviços governamentais, reduzindo os custos governamentais e o tempo gasto em atendimento ao cidadão.
Ainda segundo Evans e Yen (2006), a automação das funções governamentais ajuda a disseminar informação e aumentar os níveis de atendimento ao cidadão. Esse tipo de atitude faz com que os cidadãos entendam que sua satisfação é algo relevante. Outro ponto seria a compreensão sobre a opinião popular dadas as informações recolhidas pelo portal.
Capítulo 2. Fundamentação teórica 19
Dessa forma, os portais de governos eletrônicos, permitem que as agências governamentais reduzam custos e centralizem a tomada de decisão e eliminem redundâncias ineficientes e onerosas.
Os sites de governo eletrônico compreendem a municípios, estados e governo fe- deral. Os sites municipais correspondem sites de municípios e prefeituras, por exemplo site da prefeitura de São Paulo. Sites estaduais correspondem aos sites do governo de cada estado, por exemplo site do estado do Acre. O Governo Federal também possui seu próprio site , que pode ainda acessar o site de estados e prefeituras.
Nesta sessão serão descritos os trabalhos relacionados ao tema desse trabalho: aná- lise de vulnerabilidades em portais de governos eletrônicos. Serão discutidos a seguir os trabalhos de (SANTOS et al., 2014), (MONTEVERDE; CAMPIOLO, 2014), (DOUPÉ; COVA; VIGNA, 2010), (ROCHA; KREUTZ; TURCHETTI, 2011), (VIEIRA; ANTU- NES; MADEIRA, 2009), (FONSECA; VIEIRA; MADEIRA, 2007) e (ANTUNES; VI- EIRA, 2015).
Santos et al. (2014) utiliza um modelo de abordagem semelhante ao trabalho aqui proposto. Sua abordagem faz uso de um único scanner , o Nessus, e os sites analisados compõe um total de 127 considerando estados e prefeitura, onde o foco é particularmente as prefeituras do Rio de Janeiro. O método utilizado por Santos et al. (2014) em seu tra- balho é denominado g-Quality. Este método consiste da avaliação de sites considerando oito pontos: usabilidade, interoperabilidade, segurança, privacidade, veracidade da infor- mação, agilidade do serviço e transparência. Os autores deixam explicito que o foco do artigo é no quesito segurança.
Na avaliação de segurança, Santos et al. (2014) leva em conta os seguintes critérios da ferramenta: Security Notes (o sistema fornece informações em erros ou simplesmente as exibe por configuração padrão), Security Warnings (o sistema pode apresentar vulnera- bilidade dependendo de alguma condição), Security Holes (uma falha a ser explorada foi realmente encontrada). Partindo dessas três categorias os autores classificam as vulnera- bilidades encontradas considerando o grau de risco dado. Essa classificação é feita através dos rótulos: None (sem risco), Low (informação que pode ser utilizada), Medium (falha de segurança que pode dar acesso a um Shell), High (comandos podem ser executados no servidor), Serious (vulnerabilidade facilmente explorada), Critical (o sistema já está com- prometido).
Os resultados obtidos por Santos et al. (2014) levam em conta a comparação entre sites federais, capitais e prefeituras do Rio de Janeiro. Na consideração dos resultados ele considera que a cada 3 avisos, apenas um seja verdadeiro. Logo é considerado apenas 0,33 o