You are on page 1of 19

ESTUDO COMPARATIVO DE METODOLOGIAS DE PENTESTS

Cristiano Goulart Borges <cgborges@gmail.com> Eduardo Andr de Santa Helena <eduardo.sh@gmail.com> Orientador
Universidade Luterana do Brasil (Ulbra) Curso de Ps Graduao em Segurana de Sistemas Campus Canoas Av. Farroupilha, 8.001 Bairro So Jos CEP 92425-900 Canoas - RS

09 de julho de 2011

RESUMO
Este artigo compara as principais metodologias de PENTEST disponveis, OSSTMM, ISSAF, OWASP e NIST, a fim de identificar qual a mais abrangente. Alm disso, apresenta uma pesquisa de campo feita com empresas que aplicam testes de penetrao no Brasil, a qual apontou as metodologias proprietrias, desenvolvidas pelas empresas que aplicam testes, como as mais utilizadas no mercado nacional. Por fim, apresenta um comparativo com estudos anteriores, onde se comprova que a tendncia detectada previamente de que as metodologias proprietrias dominariam o mercado dos testes de segurana, se confirma no cenrio atual. Palavras-chave: PENTEST, OSSTMM, ISSAF, OWASP, NIST.

ABSTRACT
Title: Comparative Study of PENTESTs Methodologies This article compares the main available PENTESTs methodologies, OSSTMM, ISSAF, OWASP and NIST, to identify the more effective. Moreover, it presents a survey done with companies in Brazil who applies penetration testing, which indicated the proprietary methodologies, developed by companies who apply those tests, such as those commonly used on Brazilians scenario. Finally it presents a comparison with previous studies, which proves that the previously detected tendency, which says that proprietary methodologies would dominate the PENTEST scenario is them confirmed in the actual scenario. Key-words: PENTEST, OSSTMM, ISSAF, OWASP, NIST.

1. INTRODUO
Nos ltimos anos, a gesto da segurana da informao tem sido um assunto gerador de bastante estresse para as empresas, em especial, s equipes de TI (Tecnologia da Informao). Algumas empresas do a devida ateno ao tema, mas ainda hoje, comum deparar-se com instituies onde a segurana das informaes vista de forma secundria e que provavelmente, s ser relevante quando um incidente grave de segurana acontecer. Aliada a essa drstica realidade, algumas equipes de TI seguem um modelo ultrapassado de gesto, no qual um bom programa antimalware1 e um firewall eram considerados suficientes para sanar o problema. Atualmente a gesto da segurana da informao um campo bem mais amplo e complexo, demandando maiores cuidados, investimentos e ferramentas que visam proteger os negcios da empresa. Para as empresas que se preocupam com essa gesto, os Pentests (Penetration Tests) ou Testes de Penetrao vm se tornando uma prtica imprescindvel, fundamental e em alguns casos, obrigatria. Aps incidentes de segurana e manifestos como o do hacker de pseudnimo The Mentor2, as empresas comearam a se interessar pelo fato de estarem vulnerveis na rede mundial de computadores. A ideia de atacar seus prprios sistemas para identificar vulnerabilidades antes que hackers o fizessem parecia ento mais promissora, seno obrigatria. Equipes foram formadas para invadir sistemas de computadores, mas conforme Banks e Carric (2008), sem uma metodologia especfica e com diversas tticas radicalmente diferentes ente si, as empresas no se sentiam seguras o suficiente com os resultados obtidos, principalmente quando comparados. Se o resultado no pudesse ser reproduzido, no se tratava de um teste de penetrao, mas de uma invaso qualquer; fato que acabou se tornando uma premissa para os Pentests. Os Pentests so testes de penetrao contra a infraestrutura de um sistema ou rede, utilizando
1 2

Antimalware todo o programa de segurana que combate pragas digitais como vrus, spam, rootkits, etc. Manifesto de 8 de janeiro de 1986 que deu voz a todo um submundo de prticas e tcnicas de invaso de sistemas.

mtodos especficos para estimar seu nvel de segurana. Conforme Kang (2008), o uso dos Pentests pelas organizaes para testar a segurana dos seus servios e sistemas de informao, antes que usurios malintencionados o faam, vem crescendo. Em alguns casos como no padro PCI DSS3 (Payment Card Industry Data Security Standard), a realizao de um Pentest obrigatria ao menos uma vez por ano, ou sempre que houver qualquer alterao ou upgrade significativo na infraestrutura ou nos aplicativos. A aplicao de um Pentest permite identificar vulnerabilidades nos processos, nos recursos e nos sistemas do negcio. Permite equipe de TI mensurar o quo seguro/inseguro o seu ambiente corporativo e consequentemente prover informaes para melhor direcionar os investimentos em segurana. Isto faz com que os sistemas fiquem menos vulnerveis. Alm disso, conforme Corsaire (2009 apud Vernersson, 2010), a execuo de Pentests evita perdas financeiras e de receitas, evitando que haja uma quebra de confiana nos sistemas e processos. Tambm prova a devida diligncia e respeito aos reguladores da indstria aos seus clientes e acionistas, visto que uma no conformidade pode se transformar rapidamente em perda de negcios e consequentemente de recursos financeiros. Outro motivo para a aplicao dos testes identificar vulnerabilidades e qualificar seu impacto para o negcio, permitindo que as empresas hajam de maneira proativa. Num cenrio em que diferentes metodologias podem ser aplicadas para executar um Pentest, contra empresas que possuem diferentes ativos, pode-se chegar seguinte problemtica: Qual a metodologia mais abrangente a ser utilizada na aplicao de um Teste de Penetrao? Existem diversos mtodos e a escolha de um deles para a execuo dos testes no se apresenta como uma tarefa fcil. Optar por uma metodologia adequada representa um passo muito importante para a execuo bem sucedida de um Pentest. O presente trabalho tem por objetivo comparar algumas das metodologias de Pentest utilizadas no mercado, a fim de descobrir qual delas mais abrangente, considerando-se o seu escopo, atualizaes, prazos de execuo, entre outros fatores. As seguintes metodologias faro parte desse estudo comparativo: ISSAF, NIST, OSSTMM e OWASP. Alm de comparar essas metodologias, foi realizada uma pesquisa com empresas que aplicam Pentests no Brasil para descobrir qual delas a mais utilizada na prtica, bem como suas motivaes. Ao resultado dessa pesquisa, foi realizada uma comparao com o trabalho de Santos (2010), no qual, entre outros resultados, concluiu-se que 35,29% das empresas apostariam em metodologias proprietrias para a execuo dos testes num futuro prximo, a despeito das metodologias disponveis na poca da pesquisa. O presente artigo est organizado em 6 sesses. Na seo 2, intitulada Fundamentao Terica, sero verificadas as principais metodologias disponveis e suas caractersticas, enaltecendo suas principais funcionalidades. Na seo 3, intitulada Metodologia, sero conceituadas as metodologias utilizadas nesse artigo, quais processos foram seguidos e como foi estruturado todo o trabalho at que se chegasse aos resultados finais obtidos. Na seo 4, Resultados, sero verificadas quais as implicaes obtidas do estudo comparativo e da pesquisa, alm da comparao com os resultados do artigo na rea de outro autor. Finalmente na seo 5, Concluses, sero verificadas as principais concluses advindas do presente estudo.

2. FUNDAMENTAO TERICA
Segundo o Dicionrio On-line de Portugus (www.dicio.com.br), a metodologia parte de uma cincia que estuda os mtodos aos quais ela se liga ou de que se utiliza. Dessa forma, podemos concluir que a metodologia parte fundamental na execuo de um Pentest, pois este consiste justamente de um conjunto de procedimentos de ataque e registros, empregados contra uma rede ou sistema. O que ir diferenciar uma metodologia da outra como ela ir realizar sua funo, pois o objetivo final de todas elas muito se assemelha. Dessa maneira, como escolher uma metodologia que englobe as necessidades de uma determinada empresa? Alm disso, qual delas a mais utilizada pelas empresas que aplicam Pentests e por qu? Existem diversas metodologias disponveis para a aplicao dos testes, e este artigo focou-se nas mais populares, compreendidas pelo ISSAF, o guia oferecido pelo NIST, o OSSTMM e o OWASP. Essas metodologias so as mais populares no mercado atual, e o foco desse trabalho discutir quais delas se adaptam melhor s empresas que esto considerando a possibilidade de execut-los e quais so mais aplicadas na prtica. Foi feita inicialmente uma viso geral sobre cada uma dessas metodologias e a proposio de um estudo
3

O PCI DSS um padro mundial de segurana da informao para estabelecimentos que utilizem cartes como forma de pagamento. Suas diretrizes foram desenvolvidas em conjunto pelas operadoras de cartes de crdito e dbito, incluindo as bandeiras Visa, Mastercard e American Express.

comparativo, que pode ser acompanhado a seguir.

2.1 ISSAF 0.2.1B de Maio de 2006


O ISSAF (Information Systems Security Assessment Framework) uma metodologia disponibilizada pelo OISSG (Open Information Systems Security Group), uma organizao sem fins lucrativos que concentra seus esforos para prover conhecimentos de segurana da informao. Essa metodologia uma das maiores disponveis, e na sua verso 0.2.1B, datada de 2006, conta com 845 pginas, contrastando com as 80 pginas do NIST, as 213 pginas do OSSTMM e as 349 pginas do OWASP (somando-se as trs ltimas metodologias teremos 642 pginas). Conforme Jackson (2010), os autores acreditam que melhor fornecer toda a informao possvel que um auditor possa precisar para executar os testes ao invs de limit-las aos objetivos principais de alto nvel. Cada teste de controle tem instrues detalhadas de como ser executado e quais os resultados esperados. A estratgia da metodologia ISSAF baseada em trs fases, a saber: Planejamento e Preparao: esta a fase de troca das informaes iniciais, planejamento e preparao para os testes. A fim de fornecer proteo legal para ambas as partes envolvidas no processo, antes dos testes serem executados preciso firmar um Termo de Acordo de Avaliao entre a parte contratante e parte contratada. Conforme o OISSG (2006), nesta fase prevista ainda as atividades de identificao dos contatos individuais de ambas as partes, reunies para confirmar o escopo, a abordagem e a metodologia e finalmente os acordos dos casos especficos dos testes e caminhos de escalonamento. Avaliao: esta a fase onde o Pentest efetivamente realizado. Esta fase dividida em nove grandes reas: Coleta de informaes, Mapeamento da rede, Identificao de vulnerabilidades, Penetrao, Obteno de acesso e escalao de privilgios, Enumerao, Comprometimento de stios e usurios remotos, Manuteno do acesso e Encobrimento de rastros. Relatrios e limpeza: nesta fase, os relatrios sobre os testes executados devem ser disponibilizados ao cliente. importante notar que, no caso de uma vulnerabilidade grave ser descoberta durante a execuo dos testes, ela deve ser comunicada imediatamente a parte contratante, mesmo antes da finalizao de todos os testes. Tambm nesta fase, todas as informaes geradas nos sistemas alvo, necessrias para a execuo dos testes, devem ser eliminadas. Se no for possvel elimin-las remotamente, todos os arquivos gerados devem ser mencionados em relatrio para que possam ser eliminados futuramente pelo cliente.

A metodologia, como um todo, definida em 4 grandes reas que possuem suas subreas bem mais especficas. O ISSAF prev os seguintes testes principais: Segurana de Rede: que envolve segurana de senhas, switches, roteadores, firewalls, IDS4 (Intrusion Detection Systems), VPN5 (Virtual Private Networks), sistemas de antivrus e estratgias de gerenciamento, SAN6 (Storage Area Network), WLAN (Wireless LAN), segurana de usurios de Internet, segurana de sistemas AS400 e Lotus Notes. Segurana de Host: que envolve segurana de sistemas Unix/Linux, sistemas Windows, Novell Netware e servidores de Internet. Segurana de Aplicao: que envolve segurana de aplicaes de Internet (incluindo injees de SQL), auditoria de cdigos fonte, auditoria de binrios e inclui ainda uma lista de checagem de avaliao de segurana da aplicao. Segurana de Banco de Dados: que envolve a segurana de banco de dados e engenharia social.

Intrusion Detection Systems ou Sistemas de Deteco de Intruso, como o nome sugere, so sistemas que monitoram as atividades de um sistema ou rede a fim de detectar tentativas de invaso. Virtual Private Networks ou Redes Virtuais Privadas so redes que estabelecem um canal seguro utilizando-se de criptografia atravs de um meio inseguro, como a Internet. Storage Area Network ou Redes de Armazenamento so redes com a funo especfica de armazenar dados, geralmente localizadas em stios geograficamente distantes de onde se encontra a informao original.

Um ponto a ser ressaltado nessa metodologia que em todos os procedimentos de teste, ela sugere uma maneira de evitar vulnerabilidades que possam ser encontradas em funo do procedimento em questo. Outro ponto que devemos nos atentar que ela possui um formulrio de feedback com questes prdefinidas que pode ser enviado diretamente aos seus autores. Conforme o prprio OISSG (2006) a idia fornecer aos idealizadores e mantenedores do projeto, embasamento para melhor adequar a metodologia e fornecer atualizaes mais direcionadas ao que o mercado necessita. Curiosamente, no so lanadas atualizaes da metodologia desde sua ltima verso em 2006.

2.2 NIST - Publicao Especial 800-115 de Setembro de 2008


O NIST (National Institute of Standards and Technology) uma metodologia disponibilizada pelo Departamento de Comrcio dos Estados Unidos da Amrica, em sua Publicao Especial 800-115 Guia Tcnico para Avaliaes e Testes de Segurana da Informao. Essa publicao de segurana do NIST obrigatria para diversos departamentos americanos, mas pode ser utilizada livremente pelas indstrias, conforme Jackson (2010). Para que os testes tcnicos de segurana da informao tenham o mximo proveito, o NIST aconselha que as empresas primeiramente tomem algumas precaues, como estabelecer uma Poltica de Segurana de Avaliaes, implementar uma metodologia que possa ser documentada e reproduzida, determinar os objetivos de cada avaliao de segurana procurando alcan-los e finalmente analisar as descobertas, desenvolvendo tcnicas de mitigao de riscos para sanar as vulnerabilidades. A proposta dessa metodologia, segundo NIST (2008 pg. 10), fornecer orientaes no planejamento e na aplicao de testes tcnicos de segurana da informao, anlise de descobertas e desenvolvimento de estratgias de mitigao. Esta metodologia no se concentra em informar qual tcnica deve ser utilizada nos testes, afinal existem diversas tcnicas que podem atingir o mesmo objetivo. A idia especificar como as diversas tcnicas devem ser utilizadas para que os testes sejam efetivos. Dentro do documento podem ser encontradas referncias a outras metodologias como o OSSTMM e o OWASP, por exemplo. O documento dividido nas seguintes sees: Testes de segurana e viso geral dos exames: esta seo basicamente focada em trs mtodos de avaliao de segurana da informao para determinar a efetividade das ferramentas de segurana: testes, exames e entrevistas. Reviso das tcnicas: esta seo discute as tcnicas para descobrir as vulnerabilidades de segurana atravs de exames passivos dos sistemas, das aplicaes, dos procedimentos, das redes e polticas. Identificao do alvo e tcnicas de anlise: esta seo discute tcnicas para identificar dispositivos em atividade bem como suas portas e servios associados, a fim de descobrir vulnerabilidades. Tcnicas de validao das vulnerabilidades do alvo: esta seo usa as informaes obtidas na seo anterior para explorar a existncia das ameaas, provando dessa maneira a existncia da vulnerabilidade e demonstrando os riscos da sua explorao. Planejamento de avaliaes de segurana: esta seo oferece orientaes na criao de polticas de testes, priorizando e agendando as avaliaes, selecionando a melhor abordagem e gerenciando as consideraes de logstica. Execuo de avaliaes de segurana: esta seo objetiva destacar ao auditor, pontos chaves que precisam de ateno durante a fase de execuo. Alm disso, procura discutir a anlise do processo e fornece recomendaes para coletar, armazenar, transmitir e destruir dados referentes avaliao. Atividades ps teste: esta seo fornece s organizaes, maneiras de transformar suas descobertas em aes que reforcem a segurana. Primeiramente analisando as descobertas encontradas e desenvolvendo aes de mitigao dessas vulnerabilidades. Posteriormente disponibilizando um relatrio com estas recomendaes. Por fim as atividades de mitigao devem ser executadas.

importante ficarmos atentos ao fato de que a metodologia no to detalhada quanto s demais, mas fornece um processo de testes de segurana que pode ser reproduzido, o que como vimos anteriormente, premissa bsica para um Pentest.

2.3 OSSTMM v 3.0 de Dezembro de 2010


O OSSTMM (Open Source Security Testing Methodology Manual) uma metodologia disponibilizada pelo ISECOM (Intitute for Security and Open Methodologies). Na sua verso 3.0, foi projetada para ser consistente e de resultados reproduzveis, se baseando fortemente nos conceitos de segurana humana, fsica, sem fio, de telecomunicaes e de redes de dados. Conforme o ISECOM (2010 p.13) a proposta principal oferecer uma metodologia cientfica que caracterize a segurana operacional atravs dos exames e correlao dos resultados dos testes de uma maneira consistente. Uma auditoria utilizando o OSSTMM garante ao analista que os testes foram conduzidos completamente, que incluram todos os canais necessrios, que a postura dos testes aplicados estava de acordo com a lei, que os resultados dos testes so mensurados de uma maneira quantificvel, que os resultados so consistentes e reproduzveis e que os resultados contm apenas fatos derivados dos prprios testes. Uma das partes mais importantes do OSSTMM so suas chamadas Regras de Engajamento, que de certa forma, permitem que os testes produzam resultados compatveis, independente do tamanho da organizao, de acordo com Fullerton (2010). As regras de engajamento dividem-se em 9 sees, a saber: vendas e marketing (5 regras); avaliao/estimativa de entrega (2 regras); contratos e negociaes (9 regras); escopo (2 regras); plano de testes (1 regra); processo de testes (11 regras); relatrios (12 regras).

Outro conceito interessante ressaltado pelo OSSTMM de que os computadores no esquecem as tarefas que necessitam executar. Ele na verdade, fica mais lento medida que novas tarefas vo sendo adicionadas. Os humanos, entretanto, cometem erros, esquecem as tarefas e abandonam tarefas intencionalmente quando essas no so mais importantes ou necessrias no momento. Logo, nos Pentests, a tarefa principal a de gerenciar a segurana de maneira apropriada, o que feito definindo-se o teste corretamente. Os tipos de testes do OSSTMM so: Blind: o analista no tem conhecimento prvio sobre os ativos, canais e defesas do alvo, estando s cegas. O alvo, ao contrrio est preparado para ser auditado e conhece todos os detalhes da auditoria. Esta modalidade testa a capacidade e conhecimento do analista de segurana. Double Blind: o analista no tem conhecimento anterior sobre os ativos, canais e defesas do alvo. O alvo por sua vez, tambm no notificado sobre o escopo da auditoria, ou seja, tanto o analista de segurana quanto o alvo esto s cegas. Esta modalidade testa a capacidade e conhecimento do analista de segurana e tambm a efetividade dos controles do alvo. Gray Box: o analista tem um conhecimento limitado sobre os ativos e defesas e um conhecimento total sobre os canais do alvo. O alvo est preparado para ser auditado, e conhece previamente todos os detalhes da auditoria. Os testes dependem da qualidade das informaes oferecidas ao analista e do conhecimento dele. Double Gray Box: o analista tem um conhecimento limitado sobre os ativos e defesas e um conhecimento total sobre os canais do alvo. O alvo est preparado para ser auditado, e conhece previamente o escopo e tempo da auditoria, mas no sabe quais canais sero testados. Os testes dependem da qualidade das informaes oferecidas ao analista e ao alvo antes dos testes, bem como o conhecimento do analista.

Tandem: O analista de segurana e o alvo esto preparados para a auditoria, ambos sabendo antecipadamente dos detalhes. Este tipo de auditoria testa a proteo e os controles do alvo, entretanto no consegue testar sua preparao para variveis desconhecidas. Reversal: O analista trabalha no alvo com o conhecimento total de todos os seus processos e segurana operacional, mas o alvo no sabe nada sobre o que, quando e como ser testado.

No OSSTMM, cada item de cada seo receber um valor associado. Segundo Fullerton (2010 pg.5): Esses valores sero computados para determinar o RVA (Risk Value Assessment) ou Avaliao do Valor do Risco de cada seo. Este RVA ser utilizado para mensurar a segurana de uma maneira consistente e reproduzvel, independente do auditor. O uso do RVA permitir mostrar estatisticamente os riscos ao qual o alvo precisa ficar atento e permitir responder algumas perguntas, como: Quanto de dinheiro precisa ser investido em segurana? O que deve ser protegido primeiro? Quais solues de proteo precisamos e como devemos configur-las para termos eficincia mxima? O quanto de melhoria obteremos atravs dos contratos e processos de segurana? Como medimos os esforos e melhorias peridicos em segurana? Como sabemos se estamos reduzindo nossa exposio s ameaas? O RAV pode nos dizer o quo eficientemente algo pode resistir aos ataques? O RAV pode ajudar com conformidades regulatrias? Das metodologias atualmente disponveis, o OSSTMM a mais atualizada, sendo que sua ltima verso, o OSSTMM v 3.0, data de Dezembro de 2010.

2.4 OWASP v 3.0 Testing Guide de Dezembro de 2008


O OWASP (Open Web Application Security Project) uma metodologia para testes de aplicaes web, disponibilizada pela OWASP Foundation. A organizao se divide em algumas frentes de projetos e desenvolve diversos guias prticos para auxiliar na tarefa de segurana. Os principais projetos so: Proteo: um conjunto de ferramentas e documentos que podem ser utilizados para se proteger contra problemas de segurana nos projetos e falhas nas implantaes. Deteco: um conjunto de ferramentas e documentos que podem ser utilizados para encontrar problemas de segurana nos projetos e falhas nas implementaes. Nesta categoria est o projeto do Guia de Testes OWASP. Ciclo de Vida: um conjunto de ferramentas e documentos que podem ser utilizados para adicionar atividades relacionadas segurana no SDLC (Software Development in Life Cycle) ou Ciclo de Vida de Desenvolvimento de um Programa.

A filosofia da empresa a de tentar fazer um mundo onde software inseguro seja a exceo e no a regra, e nisso, o Guia de Testes do OWASP se torna uma pea importantssima do quebra cabeas (OWASP 2008 pg. 7). O stio do projeto na Internet, conta com uma gama impressionante de projetos na rea de segurana, sendo que o Guia de Testes OWASP apenas um deles. Podemos citar tambm o OWASP Top Ten Project, projeto que visa alertar quanto as 10 maiores vulnerabilidades de segurana das aplicaes de Internet, o OWASP WebScarab Project, uma ferramenta que testa a segurana das aplicaes de Internet e o OWASP WebGoat Project, que um ambiente para treinamento online em segurana de aplicaes. Na concepo do projeto, esto especificados os princpios a serem seguidos para a execuo dos testes, e que superficialmente resumem-se em: No acreditar em milagres: no acreditar que a presena de um firewall ou de um scanner de segurana ir resolver todos os problemas. Conforme OWASP (2008 pg.17) a segurana um processo, no um produto. Pensar estrategicamente e no taticamente: evitar a prtica do modelo patch-and-penetrate que consiste em aplicar correes de segurana sem buscar as verdadeiras causas do problema. Usar o SDLC: usar o SDLC para desenvolver polticas, padres e guias que se encaixem na metodologia de desenvolvimento, evitando problemas de segurana. Testar cedo e com regularidade: quanto mais cedo os problemas de segurana forem

detectados, mais rapidamente sero resolvidos e com o menor custo. Entender o escopo da segurana: consiste em saber o quanto de segurana um projeto necessita, sendo que uma poltica de classificao da informao ajuda muito nesse processo. Desenvolver a mentalidade correta: para testar a segurana de um sistema, no basta test-lo com uso trivial. preciso pensar como um atacante iria faz-lo e test-lo nas piores condies. Entender o objetivo: uma das principais iniciativas no desenvolvimento de uma aplicao segura document-lo corretamente. Usar as ferramentas corretas: conhecer profundamente as ferramentas que sero utilizadas nos testes para saber perfeitamente o que elas podem ou no fazer. Ter ateno aos detalhes: evitar fazer testes superficiais nas aplicaes e consider-las como seguras. Os detalhes podem diferenciar uma aplicao segura das demais. Usar o cdigo fonte quando disponvel: Se o cdigo fonte da aplicao estiver disponvel, preciso us-lo durante os testes, pois possvel encontrar diversos erros no cdigo que no seriam perceptveis num teste comum. Desenvolver mtricas: imprescindvel, num programa de testes, saber se o programa est melhorando ou no. Por isso o estabelecimento de mtricas essencial para saber onde a ferramenta precisa ser melhorada. Documentar os resultados: para concluir o processo de testes, fundamental registrar quais aes foram tomadas, por quem, quando e detalhes dos resultados.

O Guia de Testes OWASP, especifica tambm que os Pentests, apesar de eficientes, no so a nica maneira de garantir a segurana das aplicaes. Conforme OWASP (2008), um Pentest se mostra eficiente em 15% dos casos, seguido pela reviso do cdigo em 35% dos casos e pela reviso dos processos e inspees manuais em 50% dos casos. O guia OWASP bem objetivo, sendo que cada teste mostra um resumo dos problemas, ferramentas que podem ser utilizadas para avaliar os servios, exemplos, resultados esperados e materiais de referncia. Em resumo, a metodologia pode ser dividida nas categorias de coleta de informaes, nos testes de gerenciamento de configuraes, de autenticao, de gerenciamento de sesses, de autorizao, da lgica de negcios, de validao de dados, de negao de servios, de servios de Internet e testes de AJAX7.

2.5 Estudo comparativo


Santos (2010) realizou um levantamento entre organizaes com atuao na rea de TI para avaliar a importncia dada pelas empresas do setor execuo de testes de segurana em seus sistemas. Tambm avaliou se estes testes eram feitos utilizando-se alguma metodologia. Entre as diversas concluses a que chegou nesse estudo, que entre outros mtodos, utilizou questionrios, podemos ressaltar alguns dos resultados:
7

56% das organizaes possuam equipes de testes prprias; 60% das empresas que possuam equipes de testes tinham a equipe formada por at cinco colaboradores; 11% das empresas utilizam tcnicas de programao segura em todos os projetos; 29% das empresas possuem a presena de um processo formal para a anlise de riscos de segurana da informao; 16% consideram os testes de segurana importantes apenas quando solicitados pelo cliente; 69% das empresas no utilizam metodologias para a aplicao dos testes de segurana;

Acrnimo de Asynchronous Javascript and XML, consiste no uso de Javascript e XML nos navegadores utilizando-se de solicitaes assncronas de informaes.

40% das empresas utilizam OSSTMM, OWASP ou alguma metodologia prpria, enquanto 20% das empresas utilizam ISSAF ou NIST; em 60% dos casos as empresas tiveram timos resultados em funo do uso das metodologias; e finalmente, e mais importante, uma vez que servir de base de comparao para o presente artigo, que 35,29% das empresas tm interesse em utilizar uma metodologia prpria futuramente, contrastando com 11,76% que pretendem usar OSSTMM, 11,76% que pretendem usar OWASP e 17,64% que pretendem usar as recomendaes do NIST. Nenhuma empresa se mostrou inclinada a utilizar o ISSAF.

importante ressaltar que, no referido artigo, as empresas participantes da pesquisa atuavam na rea de TI, mas no tinham como atividade principal a realizao de Pentests, como o caso do presente estudo. De qualquer maneira, ser feita uma comparao entre os dados da pesquisa de Santos (2010) e os dados da pesquisa realizada no presente artigo, para que se possa verificar se a tendncia se confirma ou se pode-se chegar a novas concluses, quando analisado apenas o ponto de vista das empresas que aplicam testes de penetrao.

3. METODOLOGIA
O presente artigo utilizou diferentes metodologias, pois se procurou atingir dois objetivos distintos: (1) definir qual a metodologia mais abrangente disponvel atualmente e; (2) encontrar qual a mais utilizada pelas empresas que aplicam testes, bem como suas motivaes, comparando os resultados com os previstos no estudo de Santos (2010). Como so dois objetivos, diferentes mtodos foram utilizados para chegar-se nos resultados. Cada subseo apresentada ter, portanto, uma diferenciao dos mtodos empregados.

3.1 Estudo comparativo das metodologias


Nesta abordagem, foi realizada uma pesquisa pura, que conforme Rodrigues et al. (2004) aquela que procura o progresso cientfico e ampliao dos conhecimentos tericos, sem a preocupao de utiliz-los na prtica, buscando apenas uma atualizao de conhecimentos para uma nova tomada de posio. Para isto, todas as metodologias foram lidas e comparadas, num perodo de 6 meses compreendido entre dezembro de 2010 at maio de 2011. Todas as metodologias comparadas estavam disponveis na Internet, e suas respectivas cpias foram baixadas sem custo. Durante a leitura dos documentos, anotaes importantes sobre cada metodologia foram realizadas para efeito de comparao posterior. Os resultados foram ento analisados qualitativamente, interpretando os fenmenos observados e buscando caractersticas complementares s metodologias, de forma a verificar qual delas seria a mais abrangente. Por se tratar de uma comparao, algumas mtricas foram definidas para mensurar no que uma ou outra metodologia se destaca entre as demais. As metodologias foram ento confrontadas conforme as seguintes mtricas: aderncia: analisa a diversidade de servios abrangidos pela metodologia; atualizaes: verifica o perodo da ltima verso disponvel da metodologia e frequencia de atualizaes; certificaes: verifica se os seus idealizadores oferecem algum tipo de certificao profissional baseando-se na metodologia proposta; prazos: verifica se a metodologia especifica algum prazo mdio para a execuo dos procedimentos que sugere; pr-requisitos: verifica se a metodologia define conhecimentos mnimos especficos que um analista ou equipe deve possuir para a aplicao dos testes, bem como o tamanho da equipe necessria para a execuo deles. Sobre os prazos, assim como nos pr-requisitos, existe grande influncia da quantidade de recursos a serem testados, recursos disponveis para a realizao dos testes e nvel de conhecimento do fator humano envolvido. Entretanto, a especificao dos pr-requisitos necessrios para avaliar empresas de diferentes portes, ajudar muito na tomada de deciso sobre como executar os testes, contratando empresas externas ou treinando pessoal interno, principalmente no que se refere aos custos desse procedimento, logo, foi considerada nesta comparao. Como as metodologias no se encontram mais na sua primeira verso considera-se natural esperar que elas forneam uma mdia do tempo gasto para a realizao de um Pentest, 8

bem como os conhecimentos necessrios e quantidade de profissionais envolvidos para pequenas, mdias e grandes empresas. Estas informaes, assim como os pr requisitos, so imprescindveis na tomada de deciso e foram consideradas na comparao. Ainda sobre o estudo comparativo das metodologias de Pentest, partiu-se do pressuposto de que, para opinar sobre um determinado tema, existe a necessidade de estud-lo cuidadosamente. Logo, tomou-se a pesquisa pura como premissa para adquirir informaes relevantes suficientes que possibilitassem realizar uma comparao sobre as diversas metodologias. A leitura das metodologias permitiu ainda que os dados fossem analisados qualitativamente, uma vez que as informaes coletadas possuam uma riqueza de detalhes e no poderiam, simplesmente, ser reduzidos a nmeros. Ao final da leitura das metodologias, aps o mapeamento das informaes relevantes coletadas, j havia informaes suficientes para compar-las numa tabela, que pode ser vista na seo de resultados. Apesar de grande parte das informaes coletadas serem obtidas atravs da leitura das metodologias em si, muitas informaes teis tambm foram colhidas atravs da visitao dos stios na Internet de seus idealizadores.

3.2 Pesquisa com empresas que aplicam Pentests


Nesta abordagem, utilizou-se como mtodo a pesquisa quantitativa, que conforme Rodrigues et al. (2004), faz uso da quantificao tanto na coleta, quanto no tratamento das informaes por meio de tcnicas estatsticas, neste caso, o percentual. Ainda conforme este autor, essa tcnica objetiva garantir resultados e evitar distores de anlises e interpretaes. Para auxiliar nessa finalidade, fez-se uso tambm, da tcnica de questionrio; atravs desta abordagem, um conjunto de perguntas e respostas pr-determinadas foi confeccionado para que este pesquisador pudesse analisar e interpretar os dados coletados. A tcnica de questionrio utilizada foi a de questionrios auto-administrveis, onde o entrevistado, responde as perguntas sem a necessidade da presena fsica do pesquisador, fato que ser analisado posteriormente nesta mesma seo. O questionrio foi composto por cinco perguntas fechadas, que so aquelas que foram o entrevistado a escolher uma das respostas pr-definidas sugeridas pelo pesquisador, e uma questo aberta onde a resposta livre, utilizada para que as empresas participantes da pesquisa que desejassem receber um retorno sobre ela deixassem seus e-mails de contato. Complementando a metodologia utilizada, importante ressaltar que o formulrio de perguntas configurou-se como uma pesquisa de levantamento, onde as caractersticas de uma determinada populao so observadas, porm sem a manipulao dos dados. A populao desse estudo composta por empresas nacionais que atuam nacionalmente ou internacionalmente na rea de aplicao de Pentests, independente do tamanho ou metodologia utilizada para tal fim. A busca pelas empresas foi realizada atravs da Internet num perodo compreendido entre 25/03/2011 e 28/03/2011, onde se procurou pelos termos Pentest, Pen test, Penetration Tests, Testes de invaso, Testes de penetrao, Empresas de Pentest, Aplicao de Pentests e Aplicao de Testes de Penetrao. Esta procura inicial, realizada superficialmente no site do Google (www.google.com.br), resultou num total de 33 empresas em diversas unidades federativas brasileiras, ligadas a execuo de testes de penetrao, sendo sua grande maioria situada no sudeste brasileiro. Aps uma filtragem minuciosa, onde se procurou entender efetivamente a rea de atuao dos participantes selecionados visitando seus stios na Internet, verificou-se que 8 das empresas escolhidas na verdade, ministravam cursos de Pentests, mas no prestavam esse tipo de servio ao mercado. Estas empresas foram ento tolhidas da pesquisa, reduzindo-a num universo de 25 instituies. Aps contato telefnico com algumas destas empresas, entretanto, verificou-se que 3 delas, apesar de oferecerem esse tipo de soluo nos seus stios da Internet, terceirizavam esse servio e, logo, no se sentiam a vontade para contribuir satisfatoriamente com o presente artigo, sendo tambm cortadas da pesquisa. Tendo isso em vista, o universo final de pesquisa do presente artigo de 22 instituies que aplicam Pentests. Um questionrio foi criado no Survey Monkey (www.surveymonkey.com), que uma ferramenta online gratuita8 para criao de questionrios. Este questionrio ficou disponvel por 2 meses compreendidos entre os dias 01/04/2011 31/05/2011 no endereo http://www.surveymonkey.com/s/K6L595G. O contato inicial com as empresas deu-se atravs de mensagens de correio eletrnico onde foi realizada uma breve apresentao sobre a pesquisa e o autor, bem como sua justificativa e objetivo. Ainda nesta apresentao inicial, assegurava-se aos participantes o absoluto e total sigilo de suas informaes fornecendo os contatos do autor para o esclarecimento de eventuais dvidas que os participantes pudessem ter. O tom utilizado foi sempre formal e de muita cordialidade, agradecendo tambm aos que optassem por no participar. O leiaute
8

Gratuita para uso pessoal. Uma taxa cobrada para uso comercial.

utilizado no formulrio foi muito limpo e com questionamentos sucintos. Como nos primeiros 30 dias em que a pesquisa esteve disponvel houve apenas 27% de participao das empresas contatadas, foi realizado, no perodo de 05/05/2011 a 13/05/2011, contato com as empresas pelo telefone. Novamente, de maneira cordial, foi questionado se a poltica de segurana da empresa permitia a resposta da pesquisa e em caso positivo, o endereo eletrnico pelo qual o contato deveria ser realizado; mtodo que se mostrou muito eficaz, pois se atingiu dessa maneira 73% de participao das empresas questionadas. importante registrar que algumas das empresas participantes atuam em diversos estados brasileiros, e nestes casos, foram considerados os estados das unidades as quais se fez contato telefnico. A seguir visualiza-se a pesquisa disponibilizada no Survey Monkey a qual os participantes tiveram acesso: 1. Qual das metodologias de Pentest abaixo voc utiliza com maior freqncia? ISSAF NIST OSSTMM OWASP Proprietria Outra (especificar) 2. Porque voc utiliza a metodologia acima? Maior aceitao no mercado Mais abrangente Mais acessvel Mais aderente ao Know How dos consultores Melhores resultados Outro (especificar) 3. Em quantos casos a metodologia escolhida lhe fornece os resultados esperados? Entre 0% e 20% Entre 21% e 40% Entre 41% e 60% Entre 61% e 80% Entre 81% e 100% 4. Voc utiliza mais de uma metodologia quando necessrio? Sim No 5. Com que freqncia voc utiliza mais de uma metodologia? Entre 0% e 20% dos casos Entre 21% e 40% dos casos Entre 41% e 60% dos casos Entre 61% e 80% dos casos Entre 81% e 100% dos casos No se aplica 6. Se desejar receber uma cpia do resultado da pesquisa, favor preencher seu e-mail no campo abaixo: Como a ltima questo no era obrigatria, nem todas as empresas puderam ser identificadas. Sendo mais preciso, duas das empresas participantes no responderam a ltima questo e no puderam ser identificadas, o que no se mostrou como um problema, uma vez que a ferramenta Survey Monkey, registra o endereo IP de cada entrevistado que respondeu ao questionrio. De posse desses IPs, foi utilizada a ferramenta GeoPlugin9 para identificar a regio originria desses dois questionrios coletados e no
9

Ferramenta que identifica a localizao geogrfica de um endereo IP, podendo fornecer informaes como: cidade, estado, pas, latitude e longitude, entre outras. A ferramenta pode ser acessada em www.geoplugin.com.

10

identificados. importante registrar, ainda, que certificou-se o bom funcionamento da ferramenta GeoPlugin, testando-se tambm os IPs das empresas cuja regio j era conhecida. A ferramenta se mostrou muito confivel e eficiente. Para a pesquisa de campo, optou-se pela pesquisa quantitativa por ela oferecer uma grande possibilidade de reproduo do estudo, caso se fizesse necessrio. Alm disso, o fato da pesquisa quantitativa facilitar a comparao com estudos similares mostrou-se imprescindvel, na medida em que era planejada desde o incio do presente artigo, a comparao com parte do estudo de Santos (2010). O uso de questionrios, por sua vez, conforme Oates (2005) tm como vantagens a possibilidade de atingir um nmero muito maior de pessoas, uma vez que no obrigatoriamente presencial, ou seja, no exige que o pesquisador se desloque fisicamente at o entrevistado. Aliado a isso, o fato dos entrevistados no se sentirem coagidos pelo pesquisador, respondendo o que eles entendam que o pesquisador perceba como resposta correta e o fato de deixar mais tempo livre para o pesquisador executar outras tarefas, so outras vantagens da utilizao de questionrios e que se comprovaram no decorrer da pesquisa. Como o estudo sobre Testes de Invaso, tema que por si s j causa alarde, procurou-se deix-lo o menos invasivo possvel. Ainda quanto ao uso dos questionrios, se optou pelas questes fechadas, onde todas as alternativas de resposta possveis pergunta so previamente fornecidas, ao invs das abertas, onde o entrevistado tem um espao livre para resposta. Essa abordagem leva mais tempo na criao do questionrio, pois preciso certificar-se de que todas as respostas possveis a uma determinada questo foram fornecidas; por outro lado elas facilitam a tarefa do pesquisador na anlise dos resultados, pois uma vez que as respostas foram prdefinidas, podero ser rapidamente analisadas. importante ressaltar tambm que, no formulrio de pesquisa, na questo que se referia metodologia utilizada, se permitiu que o entrevistado escolhesse entre as opes Outra (especificar) e Proprietria, no caso de nenhuma das metodologias que compreendem o presente estudo, fazerem parte da sua resposta. Estas duas alternativas se mostraram fundamentais para o questionrio, conforme analisaremos nos resultados.

4. RESULTADOS
Seguindo o padro adotado no presente artigo, a apresentao e consequente discusso dos resultados colhidos dar-se-o pela subdiviso dos tpicos, a fim de distinguir entre os resultados da comparao das metodologias e da pesquisa efetuada.

4.1 Comparao entre as metodologias


Na inteno de verificar quais as metodologias mais abrangentes para os testes de Penetrao, optouse por representar os dados em forma de tabela para facilitar o entendimento. Por abrangente, entende-se que a metodologia especificada adere ao maior nmero de mtricas comentadas na seo 3.1 Estudo comparativo das metodologias, as quais so especificadas na Tabela 1. Tabela 1 Comparativo das metodologias
Aderncia ISSAF - rede (ativos e configuraes); - host (Sistemas Operacionais) - aplicao (aplicaes Web, injeo SQL, auditoria de cdigo fonte, auditoria de binrios, avaliao de segurana das aplicaes); - base de dados (segurana e engenharia social). NIST - identificao e anlise de alvos; - validao de vulnerabilidades do alvo; - planejamento da avaliao de segurana; - execuo da avaliao de segurana; - atividades ps testes.. OSSTMM - segurana de Pessoas; - segurana Fsica; - segurana Wifi; - segurana de telecomunicaes; - segurana de redes de dados. OWASP - testes de penetrao em aplicaes Web; - coleta de informaes; - testes do gerenciamento de configuraes; - testes de autenticao; - testes de gerenciamento de sesses; - testes de autorizao; - testes da lgica de negcios;

11

Atualizaes Certificaes

ltima: Mai/2006 - ISSAF Security Professional Qualified [ISP-Q] - ISSAF Security Professional - Expert [ISP-E] - ISSAF Business Continuity Qualified [I-BCQ] - ISSAF Penetration Testing Qualified [IPTQ] - ISSAF Penetration Testing Expert [IPTE] - ISSAF Security Essentials Qualified [I-SEQ] - ISSAF Security Awareness Qualified [I-SAQ] - Comenta sobre os prazos nos apndices, mas no especifica uma mdia para pequenas, medias e grandes empresas. Comenta ainda, clculos sobre o custo benefcio dos testes. Em boa parte dos testes especifica prrequisitos tcnicos necessrios ao auditor. Os prrequisitos so especficos para cada teste aplicado. No define quantidade mnima ou mxima de pessoas na equipe ou conhecimentos necessrios para a realizao dos testes.

ltima: Set/2008 -

ltima: Dez/2010 Para Profissionais: - OSSTMM Professional Security Tester [OPST] - OSSTMM Professional Security Analyst [OPSA] - OSSTMM Professional Security Expert [OPSE] - OSSTMM Wireless Security Expert [OWSE] - Certified Trust Analyst [CTA] Para Empresas: - Security Test Audit Report [STAR] - ISECOM Licensed Auditors [ILA] - OSSTMM Seal of Approval A durao dos testes um campo previsto no STAR, mas a metodologia no especifica uma mdia para pequenas, medias e grandes empresas.

- testes de validao de dados; - testes de negao de servios; - testes de servios web; - testes de AJAX10. ltima: Nov/2008 - Em desenvolvimento

Prazos

Pr-Requisitos

- Na seo 6.4.1 Seleo e habilidades do auditor, d dicas de como selecionar auditores. Os conhecimentos sugeridos so de segurana, networking, segurana de rede, firewall, IDS, sistemas operacionais, programao e protocolos de rede, identificao e verificao de vulnerabilidades,

No Captulo 4 Mtricas de segurana, comenta que auditores inexperientes ou com poucas habilidades afetaro a qualidade dos testes, porm no especifica conhecimentos mnimos necessrios para a realizao deles. No define quantidade mnima ou mxima de pessoas na equipe ou conhecimentos necessrios para a

- Na seo de Derivao de Testes dos Requisitos de Segurana, afirma que o auditor deve ter principalmente conhecimento de software e de segurana. Sugere que uma estratgia realstica seria treinar os desenvolvedores de software internos da empresa para executar essas tarefas. Cita conhecimentos bsicos como

10

Acrnimo de Asynchronous Javascript And Xml, que o uso de tecnologias como Javascript e XML para tornar as pginas mais interativas.

12

configuraes de segurana, gerenciamento de vulnerabilidades e experincia em Pentesting. Uma equipe deve ter indivduos capazes de revisar configuraes de sistemas, utilizar ferramentas de avaliaes automticas que identificam vulnerabilidades conhecidas e explorar vulnerabilidades ativamente para demonstrar medidas ineficazes de segurana. Se os testes forem conduzidos por uma equipe, o lder deve ser escolhido baseado na sua experincia e conhecimento tcnico dos procedimentos a serem executados, alm de ter habilidades como fcil comunicao, organizao, planejamento e resoluo de conflitos. No define quantidade mnima ou mxima de pessoas na equipe para a realizao dos testes

realizao dos testes.

spoofing, buffer overflow, strings de formato, injeo de SQL e XSS, XML, SOAP, problemas de canonicalizao11, negao de servio e controles Active X. Testes mais profundos exigem conhecimentos em ferramentas e tcnicas mais especializadas como injeo de cdigo fonte e falha de binrios, anlise de propagao de falhas e cobertura de cdigo, testes Fuzz e engenharia reversa. Os referidos conhecimentos so citados a ttulo de exemplo e no esgotam os conhecimentos necessrios para aplicao dos testes. No define quantidade mnima ou mxima de pessoas para a realizao dos testes.

Pelo estudo realizado nota-se que o NIST tem boa aderncia apesar de pouca preocupao com o fator "humano" dos testes. Como sua ltima atualizao de 2008 no contempla cenrios atuais especficos como a Computao em Nuvem, apesar de alguns de seus testes poderem ser aplicados contra essa tecnologia. No possui uma certificao aplicvel s suas recomendaes e tambm no define prazos mdios para sua execuo. Apesar disso, uma das metodologias que melhor define pr-requisitos para a aplicao dos testes. O ISSAF assim como o NIST, tem uma boa aderncia, mas tambm no contempla as tecnologias mais atuais. O principal problema do ISSAF a sua falta de atualizao desde a verso 0.2.1B que data de 2006. Apesar disso, oferece sete certificaes e comenta brevemente sobre os prazos necessrios para a execuo dos testes. Um dos pontos fortes do ISSAF que os conhecimentos pr-requisitos para a execuo dos testes so especificados em alguns dos diversos testes que a metodologia engloba, sendo um conhecimento especfico para o teste em questo. O OWASP se mostra como uma das metodologias mais
11

Uma especificao que descreve um mtodo para gerar uma representao fsica, a forma cannica, de um documento XML. Geralmente, se dois documentos tm a mesma forma cannica, eles equivalem-se logicamente dentro do contexto de um aplicativo.

13

abrangentes, tendo uma boa aderncia, que infelizmente se aplica apenas as aplicaes web. Por sua ltima verso ser de 2008, tambm no menciona tecnologias novas como a computao em nuvem, apesar de suas especificaes certamente explorarem esse tipo de tecnologia, j que a principal ferramenta para o acesso a nuvem so os navegadores. No possui certificaes nem para usurios nem para empresas apesar de j haverem iniciativas nessa direo. No comenta sobre os prazos necessrios para a execuo dos testes, o que neste comparativo, lhe tirou pontos importantes. Sugere conhecimentos bsicos e avanados nos seus pr-requisitos, e mesmo no esgotando o assunto, sugere uma boa gama de conhecimentos necessrios para a execuo dos testes. O OSSTMM tambm possui grande aderncia, apesar da metodologia para aplicaes web, no ser to completa quanto o OWASP. Ainda assim, o OSSTMM mostrou-se como a metodologia mais abrangente no presente estudo, por ser a mais atualizada e ter oito certificaes que englobam usurios e empresas. O OSSTM no estipula prazos para a execuo dos testes na sua metodologia, apesar de o STAR ter um campo onde a durao dos testes deva ser informada.

4.2 Pesquisa de campo


Como resultado da pesquisa de campo quantitativa realizada com as empresas, diversas questes puderam ser observadas e sero apontadas e discutidas ao longo do presente artigo. Um ponto preocupante a ser notado a amostragem de empresas que aplicam Pentests no Brasil, que a despeito de ser uma prtica relativamente nova, conta com muito poucas instituies no cenrio brasileiro. Apenas 22 empresas em todo o territrio nacional foram encontradas aps buscas exaustivas pela Internet e, dado esse universo limitado de instituies passveis de serem abordadas, considera-se positivo o percentual de participao, conforme pode ser observado na Figura 1. Fator ainda mais surpreendente foi o percentual de empresas que se identificaram, conforme pode ser visto na Figura 2. Geralmente as Polticas de Segurana da Informao das empresas que tm Segurana de TI como prestao de servio, so muito restritivas e contar com esta quantidade de participaes de forma nominal tornou-se grata surpresa para este pesquisador. Conforme informado no questionrio para as empresas que tiveram acesso, nenhuma informao de carter confidencial sobre os participantes constar nesse estudo, mas todos os 14 participantes identificados receberam um retorno da pesquisa efetuada, bem como cpia do presente artigo.

Figura 1: Percentual de empresas participantes da pesquisa

Figura 2: Percentual de empresas que se identificaram

Uma vez que grande parte das empresas pde ser identificada, optou-se por dividi-las regionalmente para mapear como se encontra distribudo geograficamente o mercado de Testes de Penetrao no Brasil. O resultado observado foi de uma grande participao do Sudeste brasileiro, enquanto no Norte do pas, no foi encontrada nenhuma empresa explorando essa prtica. Empresas do Sul e do Centro-Oeste tambm foram localizadas, alm de uma participao discretssima do Nordeste, conforme podemos observar na Figura 3. J a Figura 4, nos permite mensurar que mais da metade das empresas participantes dessa pesquisa so do Sudeste, incluindo tambm as empresas que no foram identificadas. Seguindo o Sudeste, a regio Sul a segunda maior em representatividade de empresas de Pentest.

14

Figura 3: Percentual de empresas encontradas que aplicam Pentests

Figura 4: Percentual de empresas participantes da pesquisa (por Regio)

Aprofundando um pouco mais a viso anterior, v-se que a grande maioria das empresas que prestam esse tipo de servio situa-se no estado de So Paulo, conforme exibido na Figura 5, e consequentemente, tambm paulista o maior percentual de participao e contribuio para este estudo, o que pode ser identificado na Figura 6.

Figura 5: Percentual de empresas encontradas no Brasil que aplicam Pentests (por Estados)

Figura 6: Percentual de empresas participantes da pesquisa (por Estados)

Este estudo verificou, conforme a Figura 7, que a metodologia utilizada com maior freqncia a Proprietria, ou seja, uma metodologia desenvolvida internamente pelas empresas. Um ponto curioso a ser notado que ningum se declarou usurio do ISSAF. Conforme pode-se verificar na Figura 8, a maior motivao alegada pelas empresas que com a metodologia escolhida, elas obtm os melhores resultados. O fato de termos metade das empresas utilizando mtodos prprios para a realizao dos testes, aliado a um percentual significativo de participantes afirmando que dessa maneira se obtm os melhores resultados, nos leva a imaginar que existem problemas inerentes s metodologias disponveis, que levam as empresas a desenvolverem seus prprios mtodos para a execuo dos testes. Ainda sobre este ponto de vista, nota-se que nenhum dos entrevistados respondeu que utilizava a metodologia escolhida por ser Mais acessvel; significa dizer, que obter e estudar as metodologias no so um problema, mas por algum motivo, boa parte das empresas escreverem seus prprios mtodos para a aplicao dos testes.

Figura 7: Percentual das metodologias utilizadas com maior freqncia

Figura 8: Percentual da motivao de uso da metodologia especificada 15

Prova disso um percentual pequeno de empresas que escolheram uma metodologia por esta ser Mais abrangente, indicando que poucas metodologias aderem suficientemente bem s necessidades das empresas questionadas; fato, que poder ser comprovado nos prximos resultados. Pode-se observar na Figura 9 que mais da metade dos entrevistados considera que metodologia escolhida se mostra eficiente entre 81% e 100% dos casos. Somando-se as duas ltimas opes disponveis no questionrio, obtm-se um resultado de 94% de empresas que consideram a metodologia utilizada eficiente entre 61% e 100% dos casos. Ainda assim, contrapondo esse nvel de satisfao, a maioria dos entrevistados utiliza mais de uma metodologia entre 81% e 100% dos casos, conforme vemos na Figura 10. Esta contradio, de termos a maioria de entrevistados afirmando que a metodologia utilizada muito eficiente, porm a mesma maioria afirmando que usa mais de uma metodologia na maioria dos casos, nos leva a crer que as tecnologias proprietrias tambm possuem suas limitaes, e que provavelmente ela deva ser adaptada, readequada conforme cada caso estudado. Esta contradio tambm corrobora o fato analisado na Figura 8, vista e discutida anteriormente, onde apenas 12% escolheram o mtodo pela sua abrangncia.

Figura 9: Percentual de eficincia das metodologias

Figura 10: Percentual da freqncia de uso de mltiplas metodologias

Reforando essa opinio, v-se a Figura 11, onde a esmagadora maioria de entrevistados afirma que utiliza mais de uma metodologia quando necessrio.

Figura 11: Percentual de empresas que utilizam mais de uma metodologia quando necessrio Dos resultados apresentados at aqui, nota-se que o objetivo principal da pesquisa, ou seja, conhecer qual a metodologia para aplicao de Pentests mais utilizada no cenrio nacional foi atingido, identificando-se que as metodologias Proprietrias, desenvolvidas pelas prprias empresas, so as mais utilizadas na aplicao dos testes. Pode-se identificar ainda que a grande maioria das empresas participantes desse estudo situa-se no Sudeste, mais especificamente em So Paulo, e utiliza a metodologia especificada devido aos seus melhores resultados, mesmo que utilize diversas metodologias para execuo dos testes com freqncia. Na prxima seo, poder-se- analisar o comparativo dos dados dessa pesquisa com a bibliografia sugerida.

4.3 Comparao com Santos (2010)


Passado exatamente um ano aps a pesquisa de Santos (2010)12, verifica-se que algumas tendncias se confirmam, ainda que com um pblico teoricamente distinto. Mesmo a pesquisa realizada por Santos
12

A pesquisa de Santos (2010), coincidentemente foi realizada entre 01 de abril de 2010 e 31 de maio de 2010, contrastando com a pesquisa do presente artigo realizada entre 01 de abril de 2011 e 31 de maio de 2011.

16

(2010), tendo como pblico alvo as empresas brasileiras que atuam diretamente na rea de TI, interessante o comparativo, pois o estudo atual capta o ponto de vista de empresas que tem a segurana de TI como um servio. Ambas as populaes dos estudos esto fortemente ligadas e ousaria arriscar, a ttulo de exemplo, que futuramente algumas dessas empresas possam vir a estabelecer uma relao de Cliente x Fornecedor entre si. Afinal, boa parte do pblico das empresas que tem interesse nos resultados de um teste de penetrao, so empresas de TI. Das tendncias levantadas no estudo de Santos (2010) e que se confirmam no presente estudo, conforme pode ser observado na Tabela 2 pode-se salientar o fato do ISSAF, mesmo sendo uma metodologia bastante completa, no ter muito espao no mercado futuro. Acredita-se que o fato dessa metodologia no sofrer atualizaes desde 2006, seja uma forte explicao para esse abandono, uma vez que quando se fala em segurana tecnolgica, as atualizaes so fator de suma importncia. Tambm se confirma o fato de as metodologias proprietrias serem de grande interesse por parte das empresas. No estudo atual, elas atingem metade das empresas que aplicam Pentest. Tabela 2 - Metodologias mais utilizadas: Santos (2010) x Presente pesquisa (2011) Santos (2010) Presente Pesquisa (2011) ISSAF 20% 0% NIST 20% 6,30% OSSTMM 40% 25% OWASP 40% 12,50% OUTRAS 75% 6,30% PROPRIETRIA 40% 50% Ainda visualizando a Tabela 2, nota-se que tanto as empresas que atuam na rea de TI, quanto s que aplicam Pentests, tm uma preferncia maior pela utilizao do OSSTMM e do OWASP se comparadas ao NIST e ao ISSAF. Em ambas as pesquisas, as metodologias proprietrias tambm se destacam com grandes percentuais, sendo similares ou superiores as demais metodologias estudadas no presente artigo. Em contrapartida, o item OUTRAS, que so as metodologias no citadas no presente artigo, apresenta-se como preferencial para as empresas de TI, enquanto que, para as especializadas, representam apenas 6,3% da preferncia. Avaliando a Tabela 3, as recomendaes do NIST, e outras metodologias que no esto relacionadas nesse estudo, que nas intenes de uso futuro de Santos (2010) ultrapassam o OWASP e o OSSTMM, no se confirmam pelo presente estudo, que aponta a direo inversa, sendo essas duas as menos utilizadas para realizao dos testes. Tabela 3 - Intenes de uso futuro: Santos (2010) x Presente pesquisa (2011) Santos (2010) Presente Pesquisa (2011) ISSAF 0% 0% NIST 17,64% 6,30% OSSTMM 11,76% 25% OWASP 11,76% 12,50% OUTRAS 17,64% 6,30% PROPRIETRIA 35,29% 50% O OSSTMM, que empatava com o OWASP na pesquisa de Santos (2010), mostrou-se mais utilizado neste estudo, apesar de, novamente as metodologias proprietrias, que se mostravam como uma tendncia, se confirmarem como as mais utilizadas na pesquisa atual atravs de ndices percentuais bem superiores as demais metodologias. O ISSAF, por sua vez, foi outra tendncia que se confirmou, restando absolutamente abandonado, tanto nas intenes de uso, como no uso propriamente dito. Dos resultados apresentados acima, atingiu-se o objetivo da comparao, identificando que realmente as metodologias Proprietrias, que se mostravam maioria como inteno de uso futuro, se confirma pelo presente estudo.

17

5. CONCLUSO
Em resumo as metodologias OSSTMM e OWASP so as duas metodologias mais abrangentes apresentadas nesse estudo. O OSSTMM leva uma breve vantagem por ser mais atualizada e possuir certificaes para profissionais e empresas, apesar do OWASP ser uma metodologia com vasta gama de testes para as aplicaes e servidores web, que tm aparecido na mdia atual como o grande foco dos crackers. No que se refere aos testes de penetrao no cenrio nacional, observa-se que poucas empresas exploram esse nicho do mercado de segurana da informao. Ataques de crackers, com repercusses cada vez maiores na mdia, em tese, deveriam fomentar a busca por segurana pelas corporaes, mas apenas 22 empresas que aplicam Pentest foram encontradas no perodo da pesquisa para atender esse mercado. A maioria das empresas encontradas do Sudeste, e mesmo no sendo necessria a presena fsica para a execuo dos testes, v-se que esse mercado muito pouco explorado pelas demais regies. Uma hiptese para esse cenrio de que as empresas no Sudeste, por ser um importante plo de tecnologia no pas, esto mais preocupadas com a mudana cultural no que tange a segurana de suas informaes, visto que os Pentests so prticas relativamente novas. Conforme a pesquisa apresentada, a eficincia das metodologias de Pentest, entre 81% e 100% dos casos, de 56%. Mas a maioria das empresas, numa representatividade de 31%, utiliza mltiplas metodologias nos mesmos percentuais de casos (entre 81% e 100%). Se levarmos em conta os demais percentuais de uso de mltiplas metodologias, veremos que apenas 6% das empresas usam uma nica metodologia para a execuo dos testes. Como a metodologia mais utilizada justamente a Proprietria, isso indica que mesmo elas sendo desenvolvidas em casa, no resolvem 100% do problema, pois no total 94% das empresas utilizam mais de uma metodologia quando necessrio. Ao que parece, existe a carncia de uma metodologia para empresas que seja completa o suficiente para ser utilizada como base para os testes. Se apenas 6% das empresas entrevistadas (o que dentro desse universo de 22 empresas, significa uma nica instituio), afirma no utilizar mais de uma metodologia nos testes, conclui-se que as metodologias existentes no estejam satisfazendo as empresas de Pentest, nem mesmo as suas metodologias proprietrias. Levando-se em considerao a pesquisa feita por Santos (2010), a metodologia proprietria, a que mais tinha intenes de uso, se confirma realmente como a mais utilizada, corroborando a hiptese de que talvez as metodologias disponveis no estejam satisfazendo plenamente as empresas que aplicam testes. No mbito das metodologias, a teoria que conclui o presente artigo a de que por metodologia proprietria, entende-se uma metodologia hbrida, que aproveita os melhores aspectos das metodologias apresentadas, entre outras13 no citadas no presente artigo. Fica de certa forma subentendido que as empresas que aplicam Pentest tm profundo conhecimento das metodologias disponveis e que consequentemente a definio da sua prpria metodologia tenha levado em considerao as recomendaes desses padres, formando um novo mtodo alinhado as necessidades do seu negcio. Acredita-se que a metodologia proprietria possa ser um diferencial no negcio dessas empresas, um segredo de negcio que possa oferecer-lhes melhores resultados. Por outro lado, as metodologias proprietrias podem vir a se tornar um problema para essas empresas futuramente, caso no haja rgos reguladores que possam valid-la ou certific-la, fazendo com que a reputao da empresa seja construda apenas pelo seu desempenho no mercado de segurana da informao. Sugere-se como trabalho futuro, a criao de novas metodologias ou mesmo a sugesto de complemento as metodologias disponveis que possam agregar as melhores caractersticas das opes estudadas. Isso possibilitaria o surgimento de uma metodologia que tenha maior aderncia pelas empresas, em detrimento das metodologias proprietrias. Seguindo esta linha, seria necessria uma pesquisa bem mais ampla, junto s empresas de Pentest, no intuito de traar o que elas entendem por metodologia proprietria, traando procedimentos e mtricas que renam as melhores prticas dessas empresas e comparando-as com as metodologias disponveis. Seria interessante tambm interpelar estas empresas para saber em quais estados brasileiros elas mais atuam, traando um mapa regional das empresas mais preocupadas com os testes de penetrao na sua estrutura, por regio. Outra sugesto de trabalho futuro, uma vez que todas as empresas puderam ser contatadas pela Internet, seria ampliar a rea de cobertura da pesquisa, visando abranger tambm empresas internacionais, para identificar as metodologias mais utilizadas numa escala global.

13

No decorrer dessa pesquisa, foi citada tambm a metodologia Core Impact da Core Security.

18

6. REFERNCIAS
BANKS, Taylor; CARRIC. The Pentest is dead, long live the Pentest! DEF CON 16 Hacking Conference, 2008. 77 f. Disponvel em: < http://ebookbrowse.com/defcon-16-banks-carric-pdf-d44177452>. Acesso em: 22 mar. 2011. FULLERTON, Charles W. The need for security testing. An introduction to the OSSTMM 3.0. 2004. 6f. Disponvel em: < http://www.infosecwriters.com/text_resources/pdf/need_for_security_testing.pdf>. Acesso em: 03 mar.2011. JACKSON, Chris. Network Security Auditing Tools and Technique. Cisco Press, 2010. 528 f. Disponvel em: <http://www.ciscopress.com/articles/article.asp?p=1606900&seqNum=4>. Acesso em: 22 mar. 2011. KANG, Byeong-Ho. About Effective Penetration Testing Methodology. Journal of Security Engineering, 2008. 8f. Disponvel em: < http://www.sersc.org/journals/JSE/vol5_no5_2008/8.pdf>. Acesso em: 12 mar. 2011. NATIONAL INSTITUTE OF STANDARDS AND TECHNLOGY (NIST). Technical Guide to Information Security Testing and Assessment, 2008. 80 f. Disponvel em: < http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf>. Acesso em: 03 mar. 2011. (Special Publication 800-115). INSTITUTE FOR SECURITY AND OPEN METHODOLOGIES (ISECOM). Open Source Security Testing Methodology Manual OSSTMM v3.0. 2011. 213 f. Disponvel em: < http://www.isecom.org/mirror/OSSTMM.3.pdf>. Acesso em: 03 mar. 2011. OATES, Briony J. Researching Information Systems and Computing. Ed. SAGE: London, 2005. 360 p. OPEN INFORMATION SYSTEMS SECURITY GROUP (OISSG). Information System Security Assessment Framework Draft ISSAF 0.2.1.B. 2006. 845 f. Disponvel em: <http://www.oissg.org/downloads/issaf-0.2/index.php>. Acesso em: 03 mar. 2011. OPEN WEB APPLICATION SECURITY PROJECT (OWASP). OWASP Testing Guide v3.0. 2008. 349 f. Disponvel em: < https://www.owasp.org/images/5/56/OWASP_Testing_Guide_v3.pdf>. Acesso em: 03 mar. 2011. RODRIGUES, Cludia M. Cruz; PAULA, Istefani Carsio de; RIBEIRO, Jos Lus Duarte. Atividades complementares em Engenharia de Produo. 2004. 39 f. Disponvel em: http://www.producao.ufrgs.br/arquivos/disciplinas/392_planejamento_da_pesquisa.ppt. Acesso em: 15 mar. 2011. SANTOS, Eduardo dos. Avaliando a importncia das metodologias para aplicao de Testes de Segurana em sistemas de informao. Instituto Federal de Santa Catarina, 2010. 72 f. Disponvel em: < http://www.inf.ufsc.br/~esantos/files/TCC_EduardoDosSantos.pdf>. Acesso em: 12 mar. 2011. VENERSSON, Susanne. Penetration Testing in a Web Application Environment. Projeto de Graduao. Linnaeus University, 2010. 74f. Disponvel em: < http://lnu.divaportal.org/smash/get/diva2:356502/FULLTEXT01 />. Acesso em 28 mar. 2011.

19

You might also like