Análise de Vulnerabilidade de Sistemas Acadêmicos Web

Transcrição

1 Análise de Vulnerabilidade de Sistemas Acadêmicos Web Eduardo Galaxe de Lima Tavares 1, Jorge Abílio Abinader Neto 2 Instituto Federal de Educação, Ciência e Tecnologia do Amazonas (IFAM) Manaus AM Brasil [email protected], [email protected] Abstract. Web computer systems used for the control and dissemination of scholarly notes in Brazil are employed by way of extensive educational institutions. Demonstrate some vulnerabilities of these systems through the use of less complex computational tools constitutes the purpose of this article. Resumo. Os sistemas computacionais web utilizados para o controle e divulgação de notas acadêmicas no Brasil são empregados de maneira vasta pelas instituições de ensino. Demonstrar algumas vulnerabilidades destes sistemas, através do emprego de ferramentas computacionais pouco complexas constitui-se o objetivo deste artigo. 1. Apresentação A crescente necessidade de maior mobilidade e a expansão da tecnologia de redes sem fio, que permitem maior número de conexões mais rápidas e estáveis, combinadas com preços mais acessíveis de dispositivos móveis, está fazendo com que cada vez mais pessoas utilizem esse meio de acesso (Rufino, 2015). Quando um Sistema Acadêmico Web é desenvolvido, diversos requisitos funcionais ou nao-funcionais são considerados, como por exemplo, estabilidade, design, velocidade, entre outros, porém o requisito de segurança ainda pode ser melhorado pois possui vulnerabilidades que serão detalhadas neste artigo. Entende-se por vulnerabilidades as condições que quando exploradas por pessoas mal intencionadas podem resultar em falhas de segurança (Shirey, 2000). Esses sistemas são mais utilizados por alunos, devido à sua proporção em quantidade maior nas instituições de nível superior do Brasil, e normalmente são acessados utilizando-se um dispositivo móvel, que está cada vez mais presente nas salas de aula e na vida dos alunos. (CETIC, 2015). Muitas vezes esse acesso ocorre em ambientes de rede sem fio aberta em locais públicos, ou dentro da própria instituição de ensino. De acordo com dados oficiais do Centro de Estudos, Resposta e Tratamento de Incidentes (CERT-BR), no ano de 2015 houve um aumento de 128% nas notificações de ataques a servidores Web em relação a 2014 totalizando notificações. Dentre essas notificações a categoria de Scan, que são varreduras em redes de computadores, 1 Cursando 5º período do Curso de Tecnologia em Análise e Desenvolvimento de Sistemas Campus Manaus Centro 2 Mestrado em Banco de Dados, Professor do IFAM Campus Manaus Centro

2 com o intuito de identificar quais computadores ou dispositivos estão ativos e quais serviços estão disponibilizados por eles (CERT, 2016), corresponde a 54.17% do total de incidentes reportados como demonstra o Gráfico 1 abaixo. Gráfico 1 Percentual de Incidentes reportados (CERT-2016) A metodologia empregada neste trabalho foi a coleta de dados em locais públicos de redes wireless com o objetivo de demonstrar que os sistemas acadêmicos web acessados via dispositivos móveis apresentam vulnerabilidades de segurança que podem ser verificadas com ferramentas de computação de baixa complexidade. 2. Ferramentas Utilizadas Para a demonstração foram selecionadas ferramentas computacionais de baixa complexidade e utilizadas de maneira simples, demonstrando assim como é possível para um usuário com conhecimento de nível intermediário em informática executar as operações necessárias: A) Distribuição Linux - Kali Linux 2016 B) Adaptador de rede sem Fio com chipset compatível com o modo de monitoramento C) Software Aircrack - este software livre é empregado para colocar a placa de rede em modo escuta. Neste modo a placa de rede captura todo o tráfego de rede e grava os pacotes em um arquivo texto D) Software Analisador de Pacotes Wireshark - software livre empregado para filtrar, permitir a manipulação e analisar arquivos textos compostos por pacotes capturados a partir de redes de computadores. O Kali Linux é um sistema operacional com base no Kernel Linux desenvolvido pela equipe da Offensive Security para profissionais de Segurança da Informação, pois possui diversas ferramentas integradas ao sistema, tais como o Aircrack e o software Wireshark, ambos utilizados nesse estudo (Kali, 2016). A partir desse sistema, utilizou-se um dispositivo de rede sem fio USB com chipset compatível com a função do modo de monitoramento, modelo TP-Link WN- 722, visto que não são todos os dispositivos que permitem que o sistema operacional o utilize nesse modo, ele é fundamental pois possibilita ser capaz de ouvir todo o trafego que estiver ao alcance. (Giavaroto 2015). Se as ondas de radiofrequência se propagam pelo ar, então nada mais normal que estas sejam passíveis de captura. Caso as informações não estejam devidamente cifradas, não somente o tráfego pode ser copiado, como (e mais grave) seu conteúdo pode ser conhecido (Rufino 2015).

3 Através do Aircrack foi possível iniciar o modo de monitoramento com os seguintes comandos emitidos no terminal: 1- airmon-ng (verifica se a interface de rede compatível com o modo monitor) 2- airmon-ng start wlan0 (após verificação da compatibilidade com a interface de rede sem fio wlan0, o comando cria a interface de monitoramento). Figura 01 Demonstração dos comandos 1 e 2 3- airodump-ng wlan0mon (exibe todas as redes sem fio ao alcance da interface de rede criada em modo monitor) 4- airodump-ng -w captura bssid 58:97:1E:91:E1:30 -c 11 wlan0mon (cria o arquivo com a captura dos pacotes da rede selecionada pelo SSID e Canal de transmissão) Figura 02 Captura de pacotes sendo executada

4 Após capturados, os conjuntos de pacotes foram salvos em arquivos com uma extensão.pcap para serem analisados posteriormente com outro software específico para isso, o Wireshark. Utilizando o Wireshark, o arquivo com a captura dos pacotes foi visualizado e aplicado um filtro para visualizar apenas as informações que os usuários enviaram, explorando o protocolo HTTP com o método POST (Orebaugh et al.2006). Percebe-se na figura 3 mais de um endereço IP ( e ) tentando acessar algum tipo de sistema web com autenticação via HTTP, e a figura 4 mostra como os pacotes trafegam de forma cleartext (texto limpo) pelo ar. Figura 03 - Utilizando o Wireshark com o filtro HTTP Post Figura 04 - Detalhamento do pacote mostrando usuário e senha trafegando de forma desprotegida

5 3. Resultados Obtidos Foram analisados os sistemas acadêmicos de faculdades do Estado do Amazonas, utilizando ambientes de rede sem fio abertas (redes que podem ser acessadas livremente por qualquer dispositivo que esteja em seu raio de alcance) em diversos horários e em diversas localidades, simulando o acesso de um usuário comum ao sistema. Os resultados aqui divulgados constituem-se resultados agregados com a finalidade de preservar a identidade e a integridade das instituições que tiveram seus dados de acesso público utilizados para esta pesquisa. No total foram analisados 22 sistemas acadêmicos de universidades da cidade de Manaus-AM, desses apenas 5 apresentaram algum tipo de segurança no acesso do usuário, seja através da utilização de um protocolo de autenticação mais seguro ou através da criptografia das informações de usuário e senha necessárias para acesso ao sistema. Em um universo restrito somente a sistemas acadêmicos web, não considerando outras aplicações como ou serviços bancários, 77,2% apresentaram falhas graves na segurança ou não apresentaram proteção nenhuma aos usuários no momento em que o acesso foi solicitado. Em termos quantitativos alunos, professores e servidores fazem uso desses sistemas diariamente. Desse modo, temos milhares de pessoas correndo risco de terem suas senhas descobertas ao utilizar essas aplicações. 4. Considerações Finais Podemos concluir que na questão da segurança, os sistemas acadêmicos em instituições de nível superior na cidade de Manaus-AM ainda tem muito a evoluir, já que a grande maioria ainda utiliza o protocolo HTTP como forma de autenticação dos usuários e esse protocolo, como foi demonstrado em ambiente de rede sem fio aberta possui muitas vulnerabilidades e baixa segurança. Os resultados demonstram que apenas uma minoria de sistemas utiliza a versão mais segura do HTTP, o HTTPS, que possui uma camada adicional de segurança empregando o protocolo SSL/TLS (Kurose, 2010). Essa camada adicional permite que os dados sejam transmitidos por meio de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente por meio de certificados digitais dificultando assim a obtenção dos dados de navegação dos usuários. Referências Cert. Incidentes Reportados ao CERT.br Janeiro a Dezembro de Disponível em: Acesso em 29 abril Cetic. CGI.br divulga pesquisa mostrando que 82% do público jovem faz uso da Internet pelo telefone celular. Disponível em: Acesso em 03 junho Giavaroto, Sílvio César Roxo e SANTOS, Gerson Raimundo dos. Kali Linux Introdução ao Penetration Testing 1ª Ed., Editora Ciência Moderna, Kali. About Kali Linux Disponível em: < Acesso em 22 mar

6 Kurose, J. F. e ROSS, K. - Redes de Computadores e a Internet - 5ª Ed., Pearson, Orebaugh, A., Ramirez, G., Burke, J., and Pesce, L. (2006). Wireshark & Ethereal Network Protocol Analyzer Toolkit (Jay Beale s Open Source Security). Syngress Publishing. Rufino, Nelson Murilo de O. Segurança em Redes sem Fio 4ª Ed., Editora Novatec, Shirey, R. (2000). Internet Security Glossary. RFC 2828 (Informational). Obsoleted by RFC 4949.