Docsity
Docsity

Prepare-se para as provas
Prepare-se para as provas

Estude fácil! Tem muito documento disponível na Docsity


Ganhe pontos para baixar
Ganhe pontos para baixar

Ganhe pontos ajudando outros esrudantes ou compre um plano Premium


Guias e Dicas
Guias e Dicas


Análise de vulnerabilidade, Teses (TCC) de Segurança de Informação e Linguagem de Marcação

Esses portais, assim como toda tecnologia, possuem vulnerabilidades de segurança que colocam em risco os serviços oferecidos pelos mesmos, bem como os dados dos usuários que os utilizam. Este trabalho tem como objetivo identificar as eventuais vulnerabilidades de segurança em portais de governos eletrônicos, buscando compreender a relação entre a estrutura econômico-tecnológica e a segurança de sistemas.

Tipologia: Teses (TCC)

2019
Em oferta
30 Pontos
Discount

Oferta por tempo limitado


Compartilhado em 12/08/2019

jc-neto
jc-neto 🇧🇷

4

(1)

1 documento

1 / 47

Toggle sidebar

Esta página não é visível na pré-visualização

Não perca as partes importantes!

bg1
UNIVERSIDADE FEDERAL DE UBERLÂNDIA
José Victor Pereira Costa
Análise de Vulnerabilidades de Segurança em
Portais de Governos Eletrônicos
Uberlândia, Brasil
2017
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
Discount

Em oferta

Pré-visualização parcial do texto

Baixe Análise de vulnerabilidade e outras Teses (TCC) em PDF para Segurança de Informação e Linguagem de Marcação, somente na Docsity!

UNIVERSIDADE FEDERAL DE UBERLÂNDIA

José Victor Pereira Costa

Análise de Vulnerabilidades de Segurança em

Portais de Governos Eletrônicos

Uberlândia, Brasil

UNIVERSIDADE FEDERAL DE UBERLÂNDIA

José Victor Pereira Costa

Análise de Vulnerabilidades de Segurança em Portais de

Governos Eletrônicos

Trabalho de conclusão de curso apresentado à Faculdade de Computação da Universidade Federal de Uberlândia, Minas Gerais, como requisito exigido parcial à obtenção do grau de Bacharel em Ciência da Computação.

Orientador: Rodrigo Sanches Miani

Universidade Federal de Uberlândia – UFU Faculdade de Ciência da Computação Bacharelado em Ciência da Computação

Uberlândia, Brasil

“O homem não teria alcançado o possível se, repetidas vezes, não tivesse tentado o impossível. ” - Max Weber

Resumo

O crescimento do números de computadores, juntamente com a popularização da Inter- net, contribuiu para a digitalização de serviços e o surgimento de portais de governos eletrônicos. Esses portais, assim como toda tecnologia, possuem vulnerabilidades de se- gurança que colocam em risco os serviços oferecidos pelos mesmos, bem como os dados dos usuários que os utilizam. Este trabalho tem como objetivo identificar as eventuais vulnerabilidades de segurança em portais de governos eletrônicos, buscando compreender a relação entre a estrutura econômico-tecnológica e a segurança de sistemas. As análises a serem desenvolvidas levarão em conta o uso de ferramentas, Web Scanners , que irão auxiliar na obtenção de resultados mais efetivos. O desenvolvimento do projeto é feito observando o cenário tecnológico nacional bem como suas estruturas de segurança. Os re- sultados obtidos demonstram que as vulnerabilidades mais encontradas são: Injeção, XSS e Redirecionamento e Encaminhamento Inválidos. Os estados com maior nível econômico apresentam pior desempenho na análise, destacando-se o estado do Rio de Janeiro.

Palavras-chave : Segurança da informação, Vulnerabilidades, Governo eletrônico

Lista de tabelas

Lista de abreviaturas e siglas

ABNT Associação Brasileira de Normas Técnicas

CERT.BR Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil

CERT Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança

CMS Content Management System

CSRF Cross-Site Request Forgery

CVE Common Vulnerabilities and Exposures

FTP File Transport Protocol

HTTP Hypertext Transfer Protocol

IBGE Instituto Brasileiro de Geografia e Estatística

IEC International Electrotechnical Commission

IP Internet Protocol

ISO International Organization for Standardization

LFI Local File Include

NBR Norma Brasileira

OWASP Open Web Application Security Project

PIB Produto Interno Bruto

RCE Remote Command Execute

RFI Remote File Include

SMAR Security Measure Adoption Rate

SOAP Simple Object Access Protocol

SQL-i Structured Query Language Injection

SQL Structured Query Language

SSH Secure Shell

Sumário

  • Tabela 1 – Avaliação das ferramentas
  • Tabela 2 – Tabela de Resultados por Portal
  • Tabela 3 – Vulnerabilidades de acordo com classificação de (OWASP et al., 2013)
  • Tabela 4 – Tabela de Resultados por Portal
  • Tabela 5 – Tabela de Resultados por Portal,NMAP
  • Tabela 6 – Sites ordenados pelo número de vulnerabilidades do tipo A10.
  • Tabela 7 – Sites ordenados pelo número de vulnerabilidades do tipo A3.
  • Tabela 8 – Sites ordenados pelo número de vulnerabilidades do tipo A1.
    • al., 2013). Tabela 9 – Classificação dos portais levando em conta o trabalho de (OWASP et
  • Tabela 10 – Classificação levando em conta análise dos resultados.
  • 1 INTRODUÇÃO
  • 2 FUNDAMENTAÇÃO TEÓRICA
  • 2.1 Segurança da informação
  • 2.2 Vulnerabilidades
  • 2.3 Scanners
  • 2.4 Governo Eletrônico
  • 2.5 Trabalhos Correlatos
  • 3 DESENVOLVIMENTO
  • 3.1 Metodologia
  • 3.2 Resultados
  • 3.3 Análise dos resultados
  • 4 CONCLUSÃO
    • REFERÊNCIAS
    • APÊNDICES
    • APÊNDICE A – PORTAS E SUAS RESPECTIVAS FUNÇÕES
    • ANEXOS
      • BRASILEIROS ANEXO A – PRODUTO INTERNO BRUTO(PIB) DO ESTADOS

10

1 Introdução

A necessidade de sistemas mais seguros tem se tornado um desafio a institui- ções privadas e públicas em todo mundo. Enquanto a evolução tecnológica transforma as formas de comunicação e comércio vulnerabilidades têm surgido como limitantes desse desenvolvimento, como citado no trabalho de (NAKAMURA; GEUS, 2007).

O CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), aponta que no ano de 2016 foram contabilizados um total de 647.112 incidentes de segurança como ilustrado pela Figura 1. Se comparado aos dois anos anteriores, 2015 e 2014, o valor apresentado demonstra uma queda, entretanto pode ser considerado ainda um alto valor quando comparado ao período anterior a 2013.

Figura 1 – Total de incidentes Reportados ao CERT.BR por Ano. Extraído do portal (CERT.BR, 2016).

A análise feita por CERT.br (2016) indica que do total de incidentes registrados 59,33% são scans feitos com uso de ferramentas automatizadas para detectar recursos utilizados na rede, como pode ser visto na Figura 2. Neste trabalho foram utilizadas ferramentas scan que serão detalhadas posteriormente.

Segundo o relatório de Baker, Waterman e Ivanov (2013), o Brasil está entre os países com a menor taxa de adoção a segurança por volta de 40% sendo medidas e soluções em segurança propostas por empresas e organizações que atuam na área, como fica ilustrado na Figura 3. As medidas consideradas no relatório de Baker, Waterman e

Capítulo 1. Introdução 12

para o governo, pois caso alguma informação seja divulgada de forma errada os prejuízos poderiam ser incalculáveis (SANTOS et al., 2014).

Sobre a perspectiva de analisar as vulnerabilidades, o presente trabalho tem o objetivo de identificar as eventuais vulnerabilidades de segurança existentes em portais de governos eletrônicos, buscando compreender a relação entre a estrutura econômico- tecnológica e a segurança de sistemas. O trabalho se assemelha a abordagem utilizada por Santos et al. (2014), divergindo apenas na metodologia e na análise dos dados obtidos, onde essas etapas se baseiam nos trabalhos de (FONSECA; VIEIRA; MADEIRA, 2007).

O método utilizado na execução do projeto é centrado em quatro etapas essenciais:

  1. Seleção das ferramentas: Escolha dentre os diversos softwares de detecção de vulne- rabilidades, visando a escolha de ferramentas gratuitas;
  2. Seleção dos portais web baseados no critério de avaliação: Critério de avaliação econômico onde são escolhidos 15 sites de prefeitura de cada estado da federação mais o site de cada estado;
  3. Varredura do sites : varredura utilizando todas as ferramentas e adicionalmente o NMAP para a verificação de portas em aberto;
  4. Análise dos resultados obtidos: análise feita buscando traçar um paralelo com a economia de cada estado e cidade.

Esse método de análise foi elaborado com base nas abordagens utilizadas por (DOUPÉ; COVA; VIGNA, 2010), (ROCHA; KREUTZ; TURCHETTI, 2011) e (MONTE- VERDE; CAMPIOLO, 2014). A seleção das ferramentas e o desenvolvimento da pesquisa tem seu apoio em uma bibliografia na qual experimentos semelhantes foram executados. Todas as ferramentas selecionadas são de código aberto, conforme será discutido na seção 3.1, ou possuem versões gratuitas. No total foram selecionadas duas ferramentas: Uniscan e Skipfish com base no trabalho de (ROCHA; KREUTZ; TURCHETTI, 2011) e (HOLM et al., 2011).

Espera-se fornecer uma projeção da segurança de sites eletrônicos em determinadas regiões dos país, oferecendo um ampla análise da segurança em ambientes governamentais. O relatório elaborado ao final deste trabalho servirá como esboço da segurança dos sites abordados.

O presente estudo encontra-se organizado em capítulos, onde tem-se: o capítulo 2 evidencia a fundamentação teórica e os trabalhos correlatos, contribuindo, desta forma, para o entendimento e estruturação do trabalho; no capítulo 3 apresenta-se o desenvolvi- mento da pesquisa, sendo composto pela metodologia, resultados e análise dos mesmos;

Capítulo 1. Introdução 13

por fim, no capítulo 4 desenvolve-se a conclusão, a qual reúne as considerações finais obtidas na efetivação deste trabalho.

Capítulo 2. Fundamentação teórica 15

permitindo que indivíduos ou empresas tomem decisões informadas. A classificação da OWASP consiste nos seguintes grupos:

  1. Injection (Injeção): ocorre quando dados e consultas não confiáveis são enviadas para o interpretador do banco de dados. Dessa forma o atacante pode iludir o interpretador fazendo com que ele execute comandos indesejados dando acesso a dados restritos.
  2. Quebra de Autenticação e Gerenciamento de Sessão: quando funções da aplicação são implementadas incorretamente dando aos atacantes o poder de comprometer senhas, chaves e tokens de sessões ou permitindo que eles assumam a identidade de outros usuários.
  3. Cross-Site Scripting (XSS): ocorre quando uma aplicação recebe dados sem uma validação ou filtro adequados permitindo assim que os atacantes executem scripts no navegador da vítima, realizando assim o sequestro de sessões a desfiguração de sites e redirecionamento para sites de caráter malicioso.
  4. Referência Insegura e Direta a Objetos: ocorre quando o programador expõe uma referência à implementação interna de um objeto, onde o mesmo não possui verifi- cação de controle de acesso. Isso permite que o atacante manipule essas referências para o acesso de dados não autorizados.
  5. Configuração Incorreta de Segurança: ocorre quando a configuração padrão de ser- vidores, frameworks , servidores e banco de dados é insegura. Assim, caso não sejam tomadas medidas de segurança, isso permite o acesso a atacantes.
  6. Exposição de Dados Sensíveis: ocorre quando não é dada a proteção devida (crip- tografia, por exemplo) a dados sensíveis. Isso permite que os atacantes roubem ou realizem modificações, dando assim abertura a fraudes.
  7. Falta de Função para Controle do Nível de Acesso: ocorre quando não se tem a verificação das requisições feitas pelo usuário. Logo um atacante pode modificar sua requisição permitindo que ele execute funções de nível de acesso mais alto.
  8. Cross-Site Request Forgery (CSRF): ocorre quando a vítima que possui uma ses- são ativa em um navegador é forçada a enviar requisições HTTP forjada incluindo qualquer informação vinculada a sessão( cookie ). Isso permite ao atacante forçar o navegador da vítima a criar requisições que sejam aceitas como legitimas, como se essas requisições fossem realizadas pela própria vítima.
  9. Utilização de Componentes Vulneráveis Conhecidos: ocorre quando se faz uso de componentes que possuem vulnerabilidades conhecidas. Em sua maioria esses com- ponentes são bibliotecas, frameworks ou módulos que possuem privilégios elevados.

Capítulo 2. Fundamentação teórica 16

Em um taque esses componentes podem ser explorados fazendo com que ocorram perdas de dados ou comprometimento do servidor.

  1. Redirecionamentos e Encaminhamentos Inválidos: ocorre quando não há a validação das páginas para os quais o usuário é redirecionado. Isso faz com que os atacantes consigam redirecionar as vítimas para sites de phishing ou malware , ou até mesmo utilizem encaminhamentos para acessar a páginas as quais não se tem autorização.

As Figuras 4 e 5 ilustram respectivamente os ataques SQL-i e XSS. Na Figura 4 é mostrado a injeção de código SQL nos campos de login de uma aplicação, onde por exemplo, é injetado "1 = 1"que possui um valor booleano true que faz com que toda a tabela de usuários seja retornada.

Já na Figura 5, pode-se observar, a injeção de trechos de código, PHP, em uma caixa de texto, fazendo com que um alerta seja exibido para o usuário. Esse alerta poderia ser substituído por uma página ou link malicioso.

Figura 4 – Imagem ilustrando a exploração de um vulnerabilidade. Extraído de (Gabriella Fonseca Ribeiro, 2011).

Capítulo 2. Fundamentação teórica 18

blema. Para o administrador de segurança são passados dados sumarizados. Para um executivo são exibidas informações, inclusive gráficos. ∙ Interface com Usuário ( User Interface ): permite interação com usuário, onde o mesmo pode configurar e passar parâmetros para o software. Essa interface pode ser gráfica ou apenas linha de comando.

Figura 6 – Componentes do Scanner. Adaptado de (HKSAR, 2008).

Dentre os scanners mais populares estão: Vega, W3af, Golismero, Skipfish, Unis- can e Nikto. Todos esses scanners são gratuitos ou possuem versões gratuitas, segundo (OWASP, 2017).

2.4 Governo Eletrônico

Existem várias definições sobre o termo governo eletrônico. A definição escolhida nesse trabalho é dada por Evans e Yen (2006), sendo: "Simply speaking, E-Government means the communication between the government and its citizens via computers and a Web-enabled presence".

Em uma tradução não literal, os e-govs podem ser vistos como um meio de co- municação entre cidadão e Governo através de computadores conectados à internet. Essa comunicação reduz os custos e a burocracia de serviços governamentais, reduzindo os custos governamentais e o tempo gasto em atendimento ao cidadão.

Ainda segundo Evans e Yen (2006), a automação das funções governamentais ajuda a disseminar informação e aumentar os níveis de atendimento ao cidadão. Esse tipo de atitude faz com que os cidadãos entendam que sua satisfação é algo relevante. Outro ponto seria a compreensão sobre a opinião popular dadas as informações recolhidas pelo portal.

Capítulo 2. Fundamentação teórica 19

Dessa forma, os portais de governos eletrônicos, permitem que as agências governamentais reduzam custos e centralizem a tomada de decisão e eliminem redundâncias ineficientes e onerosas.

Os sites de governo eletrônico compreendem a municípios, estados e governo fe- deral. Os sites municipais correspondem sites de municípios e prefeituras, por exemplo site da prefeitura de São Paulo. Sites estaduais correspondem aos sites do governo de cada estado, por exemplo site do estado do Acre. O Governo Federal também possui seu próprio site , que pode ainda acessar o site de estados e prefeituras.

2.5 Trabalhos Correlatos

Nesta sessão serão descritos os trabalhos relacionados ao tema desse trabalho: aná- lise de vulnerabilidades em portais de governos eletrônicos. Serão discutidos a seguir os trabalhos de (SANTOS et al., 2014), (MONTEVERDE; CAMPIOLO, 2014), (DOUPÉ; COVA; VIGNA, 2010), (ROCHA; KREUTZ; TURCHETTI, 2011), (VIEIRA; ANTU- NES; MADEIRA, 2009), (FONSECA; VIEIRA; MADEIRA, 2007) e (ANTUNES; VI- EIRA, 2015).

Santos et al. (2014) utiliza um modelo de abordagem semelhante ao trabalho aqui proposto. Sua abordagem faz uso de um único scanner , o Nessus, e os sites analisados compõe um total de 127 considerando estados e prefeitura, onde o foco é particularmente as prefeituras do Rio de Janeiro. O método utilizado por Santos et al. (2014) em seu tra- balho é denominado g-Quality. Este método consiste da avaliação de sites considerando oito pontos: usabilidade, interoperabilidade, segurança, privacidade, veracidade da infor- mação, agilidade do serviço e transparência. Os autores deixam explicito que o foco do artigo é no quesito segurança.

Na avaliação de segurança, Santos et al. (2014) leva em conta os seguintes critérios da ferramenta: Security Notes (o sistema fornece informações em erros ou simplesmente as exibe por configuração padrão), Security Warnings (o sistema pode apresentar vulnera- bilidade dependendo de alguma condição), Security Holes (uma falha a ser explorada foi realmente encontrada). Partindo dessas três categorias os autores classificam as vulnera- bilidades encontradas considerando o grau de risco dado. Essa classificação é feita através dos rótulos: None (sem risco), Low (informação que pode ser utilizada), Medium (falha de segurança que pode dar acesso a um Shell), High (comandos podem ser executados no servidor), Serious (vulnerabilidade facilmente explorada), Critical (o sistema já está com- prometido).

Os resultados obtidos por Santos et al. (2014) levam em conta a comparação entre sites federais, capitais e prefeituras do Rio de Janeiro. Na consideração dos resultados ele considera que a cada 3 avisos, apenas um seja verdadeiro. Logo é considerado apenas 0,33 o