Nikto: Uma Ferramenta Open Source para Análise de Vulnerabilidades em Servidores Web

Transcrição

1 Nikto: Uma Ferramenta Open Source para Análise de Vulnerabilidades em Servidores Web Jalmacy Rego 1, Vanderley Gondim 2, Almedson Ferreira 3 1 Faculdade de Ciências Aplicadas e Sociais de Petrolina (FACAPE) Petrolina PE Brazil 2 Instituto Federal de Educação, Ciência e Tecnologia do Sertão Pernambucano (IF SERTÃO) Petrolina PE Brazil. 3 Faculdade de Ciências Aplicadas e Sociais de Petrolina (FACAPE) Petrolina PE Brazil jalmacy@gmail.com, gonddim@gmail.com, almedson@gmail.com Abstract. Information security is an area that has currently received significant attention as one of the differential to create a trust between organizations and their customers. Due to increasingly sophisticated attacks and the large number of vulnerabilities in Web servers, several analysis tools are available. The Nikto tool, based on Free Software, was chosen for this study. The aim of this study is to demonstrate the use of this tool in the analysis of vulnerabilities in Web servers. Were performed several tests to check for vulnerabilities in Web servers designated for the study and the results were satisfactory. Resumo. A Segurança da Informação é uma área que atualmente tem recebido significativa atenção por ser um dos diferenciais para criar uma relação de confiança entre as organizações e os seus clientes. Devido aos ataques cada vez mais sofisticados e ao grande número de vulnerabilidades existentes em Servidores Web, várias ferramentas de análise estão disponíveis no mercado. A ferramenta Nikto, baseada em Software Livre, foi a escolhida para o presente estudo. O objetivo principal deste estudo é demonstrar o uso dessa ferramenta na análise de vulnerabilidades em Servidores Web. Foram realizados diversos testes para verificação de existência de vulnerabilidades nos Servidores Web designados para o estudo e os resultados mostraram-se satisfatórios. 1. Introdução Atualmente as empresas estão utilizando cada vez mais a Internet para a realização de seus negócios, como também oferecendo maior praticidade nas transações comerciais através de serviços Web. Os serviços Web estão sendo utilizados para melhorar a interação com o cliente tornando-se o grande diferencial nas relações de comércio em um mercado altamente competitivo. O uso da Tecnologia nas empresas tem feito os investimentos nesse setor aumentarem consideravelmente. Normalmente as empresas utilizam técnicas como firewalls, sistemas IDS (Sistemas de Detecção de Intrusos) e controles de acesso, para reduzir o risco de

2 exposição dos seus recursos internos. No entanto, esses mecanismos de proteção não são suficientes para protegerem adequadamente das vulnerabilidades dos serviços Web e da exposição e ameaça que elas podem permitir. A falta de proteção nas aplicações Web além poder comprometer o Servidor Web, pode também comprometer um Servidor de banco de dados que contenha informações confidenciais para o serviço Web, podendo resultar em graves consequências para a empresa. Devido a preocupação com a segurança dos serviços Web, o presente artigo tem como objetivo demonstrar o uso do Nikto como ferramenta de análise de vulnerabilidades em Servidores Web. Este artigo é composto por cinco seções. A primeira seção mostra a introdução, na segunda a fundamentação teórica; a terceira apresenta materiais e métodos; na quarta seção apresenta a aplicação e testes da ferramenta e por fim, na quinta seção, as considerações finais. 2. Fundamentação Teórica 2.1. Segurança da Informação Segundo Uchôa (2003), com o avanço das redes de computadores o número de invasões aos sistemas de informação tem aumentado consideravelmente. Isso leva a necessidade do administrador da rede estar sempre se atualizando de modo que ele possa combater esta prática. Conforme Nakamura & Geus (2003, p.46) (...) a segurança é inversamente proporcional às funcionalidades. Assim, quanto maior o número de funcionalidades que um sistema disponibilizar, maior será a chance de haver alguma vulnerabilidade que pode ser explorada, e, em consequência, menor será a segurança do ambiente e maior será a responsabilidade dos administradores Software Livre Segundo Hexsel (2002), Software livre (free software) é o software disponível com a permissão para qualquer um usá-lo, copiá-lo e distribuí-lo, seja na sua forma original ou com modificações, seja gratuitamente ou com custo. Em especial, a possibilidade de modificações implica em que o código-fonte esteja disponível. Para que um aplicativo, sistema operacional ou qualquer outro tipo de programa seja considerado Software Livre algumas liberdades devem ser concedidas a quem utilizá-lo. Tais liberdades devem ser dadas em sua totalidade, caso contrário, tal programa não será considerado um Software Livre. Segundo a Free Software Foundation ( 2012), quatro princípios básicos devem acompanhar um software para que ele seja considerado livre, são elas: A liberdade de executar o programa para qualquer propósito; A liberdade de estudar como o programa funciona e adaptá-lo para as suas necessidades. Acesso ao código fonte é um pré requisito para esta liberdade; A liberdade de redistribuir cópias de modo que você possa ajudar ao seu próximo; A liberdade de aperfeiçoar o programa e liberar seus aperfeiçoamentos, de modo que a comunidade se beneficie. Acesso ao código fonte é um pré requisito para esta liberdade.

3 2.3. Servidores Web Os servidores Web fazem parte do nosso dia-a-dia, utilizamos mesmo sem percebermos ao navegarmos pelo mundo da WWW (World Wide Web), ou simplesmente pela Internet, eles estão por trás de toda a estrutura das páginas que visualizamos nos diversos tipos de browsers (Internet Explorer, Firefox, Chrome, etc..). Os servidores Web Apache e IIS (Internet Information Services), são os dois principais fornecedores de conteúdos que encontramos na internet. O site netcraf 1 traz estatísticas dos servidores web existentes, conforme mostrado na figura1. Figura 1. Estatísticas de Servidores Web - Agosto/1995 a Fevereiro/ Vulnerabilidades em Servidores Web Uma plataforma fortalecida contribui para a segurança da aplicação Web tanto quanto um código seguro. Um servidor Web instalado com segurança deve estar fortalecido para proteger a aplicação de várias situações de ataques. Muitas investidas de aplicação que acessam arquivos arbitrários ou executam comandos arbitrários podem ser bloqueadas por uma configuração de servidor rígida que limita o acesso do servidor a áreas suscetíveis de vulnerabilidades no sistema operacional (GARFINKEL and SPAFFORD, 1996, 971 p.). Como o servidor Web é a porta de entrada para qualquer aplicação, uma programação segura pode ser colocada a perder por um servidor mal configurado que divulga código-fonte. Além disso, as configurações do Apache e IIS podem ser acessadas e modificadas com ferramentas de linha de comando, o que aumenta bastante a sua capacidade de criar scripts personalizados e ferramentas de bloqueio automatizado (VEIGA, 2004) e (SHEMA, 2003). O gráfico 1 demostra estatísticas do total dos incidentes de segurança da informação ao Centro de Estudos, Resposta e Tratamentos a Incidentes de Segurança no Brasil - CERT.br. 1

4 Gráfico 1: Estatísticas de Incidentes de Segurança da Informação no Brasil. Dos incidentes de segurança da informação reportados ao Cert.br, 5,30% são de Servidores Web (CERT.br, 2015) como mostrado no gráfico 2. Gráfico 2: Tipos de Ataques 2.5. Ferramenta Nikto Segundo o site Cirt.net, Nikto é um script feito na linguagem pearl licenciado sob a GNU GPL (General Public License). Ele é um scanner de código aberto de servidor web, que realiza testes abrangentes contra servidores web, faz a checagem em mais de arquivos CGI (Common Gateway Interface) potencialmente perigosos, verifica versões desatualizadas de mais de 1000 tipos de servidores, e os problemas específicos de versão em mais de 270 servidores. Além disso, o Nikto inclui plugins que são atualizados frequentemente e pode ser configurado para atualizar automaticamente. O Nikto foi escrito para várias plataformas, incluindo Windows, Linux e UNIX, ao contrário de alguns scanners de segurança, o Nikto não foi projetado para operar em um modo furtivo, ele é projetado para operar no mais curto espaço de tempo possível, o que provavelmente vai ser registrado no sistema alvo ou até mesmo por um IDS (Sistema de Detecção de Intrusão).

5 O Nikto gera muitos pedidos para o servidor web, que em uma análise pode causar ao servidor uma parada no serviço. Antes de usar o usuário deve obter permissão oficial para usar esta ferramenta contra servidores de destino, pois pode ser ilegal utilizar contra alguns sistemas. O programa é projetado para verificar e testar um servidor web com todas as portas abertas, configurações fracas, inseguras e scripts ou versões de softwares antigas. Ele tem a opção de operar no modo de evasão, onde o atacante cria pacotes que serão descartados pelo IDS. Assim, um usuário mal intencionado pode realizar um ataque utilizando pacotes que não serão vistos pelos detectores. Um scanner de vulnerabilidades é um aplicativo que permite gerar relatórios sobre as vulnerabilidades de um computador ou uma rede (GASPAR, et al, 2008). O Nikto utiliza a base de dados OSVDB.org (Open Source Vulnerability DataBase), que é uma base de dados aberta onde são cadastrados as vulnerabilidades de segurança existentes. 3. Materiais e Métodos Este seção descreve a análise prática feita na ferramenta Nikto. Para coleta do dados foi necessário a utilização de computadores com Sistemas Operacionais diferentes e 2 (dois) tipos de servidores Web utilizados na Internet. Tanto no Servidor Web apache como no Servidor Web IIS 7 foram feitas instalações padrões. 3.1 Descrição dos Computadores Utilizados: Foram utilizados três computadores para a realização dos testes devidamente configurados conforme quadro 1. Quadro 1: Descrição dos Computadores NOME DESCRIÇÃO SO SERVIDOR WEB IP Computador 1 Intel i3, 4GB, HD 500Gb Ubuntu Linux Servidor Apache2 + php5 + mysql Servidor 1 DELL T110: Intel Xeon, 4Gb, 2 Hds 500Gb RAID 1 Ubuntu Server Linux Servidor Apache2 + php5 + mysql Servidor 2 IBM X3, Intel Xeon, 8Gb, 2 Hds 500Gb RAID 1 Windows 2008 Server R2 Standart Servidor IIS Computador 1 Intel i3, 4GB, HD 500Gb Máquina Virtual VMware, Servidor Apache2 + php5 + mysql Virtualizado Debian 6 Website WACKOPICKO 3.2 Diagrama do Ambiente: Figura 2: Cenário da estrutura de testes.

6 3.3 Website Wackopicko: WackoPicko é uma aplicação real. É utilizada para se fazer testes de ferramentas de vulnerabilidades em Servidores Web pois eles contém vulnerabilidades críticas (vulnerabilidades XSS, SQL injeções, injeções de linha de comando, vulnerabilidades de sessões, inclusões de arquivos, manipulação de parâmetros). O download é feito no site e instalado em um Servidor Web Apache, php e mysql. 3.4 Coleta e Analise dos dados O Nikto foi instalado na versão no Computador 1 para fazer os testes. O Teste001 e o Teste002 foram feitos no Servidor Teste001 O Teste001 foi feito com o seguinte comando: # Nikto -h C all -o Teste001 (Está fazendo a checagem no host com ip: com parâmetro -C all para procurar todos os arquivos CGI e enviar para o arquivo Teste001) e teve o seguinte resultado na Figura 3. Figura 3: Teste001 A Figura 3 mostra que o Nikto demorou 236 (duzentos e trinta e seis) segundos para executar, encontrou 17 (dezessete) vulnerabilidades e identificou o Sistema Operacional e o Servidor Web Apache e PHP5. As vulnerabilidades encontradas foram as seguintes: Apache está desatualizado. Já está disponível a versão (cinco) vulnerabilidades OSVD-3268, quer dizer que foi encontrado um diretório. Embora ele tenha encontrado estes diretórios, não é necessariamente que eles venham a trazer alguma ameaça ao Servidor Web, é mais um aviso que existe e pode ter dentro deles algum arquivo de administração do próprio servidor que venha a comprometê-lo. A Figura 4 mostra a descrição da vulnerabilidade detalhada na busca feita na base de dados OSVDB (

7 Figura 4: Vulnerabilidade OSVDB-3268 Vulnerabilidade OSVDB Esta vulnerabilidade diz que o Servidor contém um arquivo PHP com uma falha que pode levar à divulgação da versão do PHP instalado ou de uma informação não autorizada. A Figura 5 mostra alguns detalhes sobre esta vulnerabilidade. Figura 5: Vulnerabilidade OSVDB O diretório do phpmyadmin, que serve para administrar o Banco de dados MYSQL via Web, onde se estiver com as configurações se senhas padrões comprometem tanto o Servidor de Web como o Banco de dados, e com está informação podemos deduzir que exista um Banco de dados MYSQL instalado neste mesmo Servidor Teste002 O Teste002 foi feito utilizando o parâmetro de evasion com o seguinte comando: # Nikto -h C all -e 158 -o Teste002 (Está fazendo a checagem no host com ip: com parâmetro -C all para procurar todos os arquivos CGI, o parâmetro -e 158 é para usar o modo de evasion para que não seja detectado pelos sistemas IDS e e enviar o resultado para o arquivo Teste002). As Figuras 6 e 7 são referentes ao resultado do Teste002.

8 Figura 6: Teste002 Figura 7: LOG do Servidor Web Apache A Figura 7 mostra que o Nikto demorou 236 (duzentos e trinta e seis) segundos para executar e encontrou as mesmas vulnerabilidades encontradas no Teste001, mas a finalidade do Teste002 era usar o parâmetro evasion, onde a checagem não fosse percebida pelos dispositivos de detecção de intrusão. Mas o que se observa na Figura 4, o LOG do Servidor Web, o registro do Computador 1 fazendo uma checagem no Servidor Web Apache utilizando o Nikto. A Figura 8 traz um teste feito diretamente no website Wackopicko, na opção Guestbook, para verificar e confirmar a vulnerabilidade Cross Site Scripting que o Nikto encontrou. Foi digitado o código: <script>alert('teste de Confirmação XSS');</script>, em JavaScript onde a aplicação geraria uma caixa de alerta no Browser do cliente se aplicação estivesse com a vulnerabilidade XSS. Figura 8:Teste de XSS

9 Como se pode observar, a Figura 9 traz uma caixa de alerta confirmando a existência da vulnerabilidade XSS. Figura 9:Resultado XSS 4. Considerações Finais e Trabalhos Futuros Pessoas mal intencionadas estão cada dia mais buscando novas ferramentas e vulnerabilidades que possam ser usadas e exploradas contra qualquer sistema computacional. Essas vulnerabilidades podem causar desde prejuízos financeiros até a divulgação imprópria de informações sigilosas. Portanto, é imprescindível tomar medidas de segurança afim de se evitar maiores prejuízos. Neste trabalho foram realizados testes experimentais com a ferramenta Nikto, famosa por fazer checagens abrangentes das vulnerabilidades às quais estão sujeitos os Servidores Web. É uma forma de o administrador verificar se os Servidores estão desatualizados ou possuem códigos mal estruturados. Nos testes realizados foram utilizados comandos básicos da ferramenta. Um estudo mais aprofundado necessitaria de um cenário mais complexo, mais tempo e investimentos financeiros e de pessoas envolvidas. A estrutura de teste montada para ocasião supriu as necessidades dos testes propostos. Na checagem realizada no Website Wackopicko foi revelada somente uma das vulnerabilidades críticas existentes. É importante salientar que a ferramenta Nikto é uma opção complementar a ser adotada juntamente com os firewalls e ferramentas IDS para que possa se chegar a um nível esperado de Segurança da Informação. A pesquisa foi importante pois apresenta um assunto que é ainda pouco explorado e que abre possibilidades de outras pesquisas à partir dos resultados ou análises obtidos. Como trabalhos futuros, propomos um estudo comparativo entre as ferramentas de vulnerabilidades de Servidores Web open sources e as de licenças proprietárias. Referências CARUSO, Carlos A. A., STEFFEN, Flavio Deny. Segurança em Informática e de Informações. São Paulo: Senac/SP, p. CERT.BR. Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil. Disponível em Acessado em 25 de ago de CIRT. Suspion Breads Confidence. Disponível em Acessado em 25 de ago de 2013.

10 COAR, Ken; BOWEN, Rich. Apache Guia Prático. Rio de Janeiro: Altas Books, p. FERREIRA, Fernando Nicolau Freitas. Segurança da informação. Rio de Janeiro: Ciência Moderna, FREE SOFTWARE FOUNDATION. O que é Software Livre. Disponível em Acessado em 27 de jul de GASPAR, Antonio E. de O.; JESUS, Karla L. S; SILVA, Milene C. Um Estudo Sobre Sistemas De Detecção De Intrusão, 2008, Universidade Federal do Pará. GEUS, Paulo Lício de; NAKAMURA, Emílio Tissato. Segurança de Redes em Ambientes Cooperativos. São Paulo: Futura, p. HEXSEL, Roberto André. Propostas de Ações de Governo para Incentivar o Uso do Software Livre. Curitiba, UFPR Relatório Técnico RTDINF 004/2002. Disponível em acessado em 24 de ago de NBR ISO/IEC 27002:2005 Tecnologia da informação Técnicas de segurança Código de Pratica para a Gestão da Segurança da informação, Rio de Janeiro: ABNT, NBSO. Nic BR Security Office Práticas de Segurança para Administradores de Redes Internet. Disponível em: redes.pdf. Acessado em 27 de jul de NETCRAFT. Internet services company. Disponível em Acessado em 13 de Janeiro de NVD. National Vulnerability Database. Disponível em Acessado em 27 de julho de SHEMA, Mike. Hack notes: Segurança na Web: referência rápida. Rio de janeiro: Campus, p. UCHÔA, Joaquim Quinteiro. Segurança em Redes e Criptografia. Lavras: UFLA/FAEPE, (Curso de Pós-Graduação Latu Sensu (Especialização) a Distância: Administração em Redes Linux). 59p. VEIGA, R. G. A. IIS V.5. São Paulo: Novatec, p. WACKOPICKO. Disponível em Acessado em 03 de set de WADLOW, Thomas A; tradução Fabio de Freitas da Silva. Segurança de Redes: projeto e gerenciamento de redes seguras. Rio de Janeiro: Campus, p.