Artigo
QuartaTec
Testes de invasão em ambientes de governo
Segurança da Informação sempre foi palavra de ordem e um assunto levado a sério pelo Serpro. Atualmente, nossos sistemas possuem diversas camadas de segurança, bem como são submetidos frequentemente a análises de vulnerabilidades e testes. Mesmo com todos estes processos e atividades, temos a certeza que sempre podemos melhorar e aprimorar ainda mais a segurança para nossos sistemas e clientes, agregando cada dia mais confiabilidade para os sistemas do Governo Federal.
No último ano, adotamos a metodologia de Teste de Invasão como um passo complementar a todo o Processo de Segurança. Os testes de invasão ou Pentest, como é comumente chamado, são avaliações e tentativas de se comprometer de alguma maneira a segurança do ambiente testado, utilizando principalmente técnicas e conhecimentos Hacker.
Mas os hackers não são aqueles que roubam bancos e criam vírus?! Não!
A palavra hacker não possui um significado definitivo, mas tem origem no termo hack, que pressupõe encontrar uma solução elegante para um problema qualquer. Com o passar do tempo, hack foi sendo cada vez mais associado aos programadores de computadores, quando estes realizavam alguma façanha. E por fim, hacker começou a ser utilizado na década de 1960 no MIT, onde indivíduos extremamente habilidosos praticavam programação.
Agora, é importante lembrarmos que nem todo “criador de solução elegante” utiliza este conhecimento para o bem. Portanto, sempre teremos os “hackers do bem” e os não tão bem intencionados, digamos assim.
No Brasil e no mundo muitos são os casos relatando grandes invasões e quebras de segurança por "hackers". Desde muito tempo ações deste tipo são realizadas. Na década de 1970, por exemplo, o hacker conhecido como "Capitão Crunch" descobriu/inventou uma maneira de realizar chamadas telefônicas de longa distância de forma gratuita. Já na década de 1990, o hacker mais famoso do mundo, Kevin Mitnick, foi preso após diversas invasões e roubos de dados de empresas de grande porte. É importante destacar ainda o enorme estrago realizado pelo ransomware WannaCry, em maio de 2017, quando milhares de computadores e sistemas tiveram seus dados sequestrados e interrompidos (incluindo hospitais, agências de governo e etc).
Podemos perceber que as atividades hacker estendem-se por diversas áreas e tecnologias diferentes, sendo assim o conhecimento necessário para sua execução também é fator crítico de sucesso.
Testes de invasão
A ideia por trás dos testes de invasão no Serpro foi de capacitarmos pessoas com conhecimentos avançados e contínuos em assuntos como segurança, sistemas operacionais, redes, linguagens de programação, protocolos e tecnologias em geral, pois novas falhas de segurança e formas de invasões são descobertas e criadas a cada dia. Essas pessoas capacitadas podem atuar de forma proativa e complementar ao Processo de Segurança dos nossos sistemas e clientes.
Importante também ressaltar que este grupo está devidamente autorizado para proceder ataques que busquem ou explorem falhas contra nossos ambientes e serviços. Esta autorização dada pela diretoria é peça fundamental para que uma ação de Teste de Invasão não seja caracterizada como tentativa de invasão, o que seria crime previsto na Lei 12.737/2012, que ficou conhecida como Lei Carolina Dieckmann.
Pentest
O Pentest tenta explorar não apenas o fluxo normal de informações em um sistema (como ele deveria funcionar), ou seja, não nos limitamos a entrar pela porta de entrada. Caso seja possível realizar um acesso não autorizado de uma outra forma "elegante/hack", nós faremos e, juntamente com as equipes técnicas, auxiliaremos e direcionaremos a correção das falhas encontradas.
Partimos do princípio que é desejo do Serpro encontrar e explorar falhas em nossos sistemas e ambientes o mais rápido possível ou, ainda, antes que alguém mal intencionado o faça. Desta forma, conseguimos corrigir possíveis pontos não identificados nas etapas anteriores das atividades de segurança.
Os testes geralmente são realizados sem aviso prévio, partindo de fora de nossa rede interna, simulando situações reais de ataque e tentativa de invasão. Desta forma, podemos avaliar o ambiente do ponto de vista de um atacante externo, passando pelas mesmas situações e dificuldades que estes encontrariam.
Apesar do seu curto tempo de existência, já podemos verificar casos de sucesso desta metodologia no Serpro e sua importância para a empresa. Estamos sempre trabalhando muito próximos das equipes de Redes, Suporte e Segurança, para que toda e qualquer descoberta relevante seja tratada. Todas as informações conduzidas por esta equipe são consideradas sigilosas e o princípio de "least privilege" (privilégios mínimos) é aplicado, ou seja, apenas os envolvidos no teste e a equipe técnica que fará a correção ficam a par da situação, nos mínimos termos necessários.
Não é objetivo do time de Teste de Invasão no Serpro expor falhas e/ou equipes. Nossa missão está sempre alinhada com o aumento do grau de segurança para nossa infraestrutura, ambientes e serviços.
A QuartaTec
Thiago Sell Iahn é um dos palestrantes do último dia da QuartaTec - 2ª Edição. A QuartaTec é um ciclo de palestras realizado pelo Serpro. Tem como objetivo de ampliar o conhecimento dos profissionais de TI a respeito de conceitos de tecnologias emergentes e fomentar a academia, reforçando a visão da empresa como referência em tecnologia de ponta. Neste mês de março, teremos a última quarta temática, abordando testes de invasão em empresas do governo, neste dia 28. Os eventos são abertos ao público, tanto presencialmente quanto por transmissão via Internet. Inscreva-se!
Tiago Sell IahnEspecialista em Segurança da Informação em Redes de Computadores. Experiência em administração de Servidores Windows e Linux desde 2005. Atua em Segurança da Informação desde 2007. Foi professor na Faculdade Anhanguera de 2009 a 2011 em Santa Catarina. No Serpro, é responsável pela equipe de Segurança para Centro de Dados e Servidores, e pela equipe de Segurança Ofensiva (Pentest). Certificado em ISACA CISM (Certified Information Security Manager), Pentester Profissional, MCSO - Modulo Certified Security Officer.