Em memória de Giordani Rodrigues
Total Security - infoguerra.com.br
Gerais
Segunda - 13 de Março de 2006 às 15:33
Por: Informante

    Imprimir


A Scan Alert, detentora do selo Hacker Safe presente nos principais sites internacionais de pagamento online, teve sua ferramenta de segurança testada pela Total Security.
Confira o resultado.O selo Hacker Safe, da Scan Alert (www.scanalert.com), é conhecido e respeitado mundialmente e está presente em vários sites de pagamento online e sites com e-commerce. Porém, não se restringe apenas a sites com movimentação financeira, mas também a administradores de servidores e datacenters preocupados com sua segurança. Ao todo, hoje o selo Hacker Safe está presente em mais de 60.000 sites no mundo todo (informação retirada do próprio site www.hackersafe.com).

Com representação no Brasil há apenas 10 meses, o Site Blindado (www.siteblindado.com.br) abriu sua ferramenta para a Total Security efetuar testes comparativos e verificar a autenticidade de seus relatórios.

O selo Hacker Safe - Site Blindado só pode ser exibido no site se o mesmo estiver sem falhas críticas, que possibilitariam a um hacker, mesmo inexperiente, entrar no seu servidor/site e ver as informações internas. A Hacker Safe faz o escaneamento e auxilia, de forma básica, a corrigir os problemas que estiverem no servidor. Quando o site/servidor estiver apto a mostrar o selo, a Hacker Safe libera o código de mostragem.

Porém, se após a demonstração do selo, for encontrada uma falha grave (níveis 3, 4 e 5), o administrador é informado por e-mail e tem até 72 horas para corrigir. Se não for corrigido em 72 horas, o selo é retirado automaticamente do site pelo sistema.

O motivo de o selo só ser retirado após 72 horas é simples e inteligente: ´´Se ele fosse retirado imediatamente do site, no momento da detecção da falha, sem dar tempo pro administrador resolver, qualquer hacker atento ao site iria saber que o site está bugado, e com isso verificar a sua falha e tentar explorá-la. Com as 72 horas, garantimos o tempo necessário ao administrador para corrigir o problema. Além disso, caso seja um e-commerce, o site teria prejuízos por não exibir o selo durante algum tempo. Considerando que o site está protegido por todas as vulnerabilidades conhecidas, menos uma, não é motivo para muito alarde e não há tanto risco em deixar o selo visível por até 72 horas, mesmo sabendo que nem TODAS as vulnerabilidades estão resolvidas.`` - diz Maurício Kigiela, diretor comercial da Hacker Safe no Brasil.

Administração Online
O primeiro contato com o produto é sua administração online. É por essa interface que cadastramos os sites que serão escaneados. O painel de administração, totalmente em português, tem uma aparência simples porém muito bem programada, com as informações nos seus devidos lugares. O processo de cadastramento do site a ser escaneado foi produzido com a idéia de proteger servidores alheios, ou seja, o administrador precisa realmente ter acesso ao servidor para poder escaneá-lo. Um hacker malicioso que assinasse o serviço não conseguiria efetuar testes em vários servidores, pois não teria acesso aos mesmos. É uma ferramenta realmente para administradores.

O painel também permite cadastrar usuários com cinco níveis de acesso: um Administrador, que tem acesso a tudo; um Administrador Técnico, que efetua os testes e vê relatórios; um Usuário Técnico, que apenas vê os relatórios, um Executivo, que vê os relatórios e visualiza/administra as urls, e um Usuário de Conta, que apenas verifica e administra as urls.

Todos os relatórios gerados podem ser gravados como PDF ou HTML. As PDFs ficam guardadas por 7 dias e disponíveis para download. Até 5 relatórios em PDF podem ser marcados como travados, para não serem excluídos pelo sistema.

Como informações extras, o painel ainda ajuda aos usuários, passo a passo, a fazer uma segurança básica padrão no IIS, Windows 2000 e no Java.

O painel de controle ainda faz, online, uma estatística no seu próprio e-commerce, mostrando quantos usuários fecharam a venda com o selo exibido, e quantos fecharam sem o selo exibido, e você pode acompanhar a todo esse processo online, com relatórios estatísticos.

PenTestes Comparativos

Para os que ainda não são familiarizados com o termo, Pentest significa Penetration Test (Teste de Invasão).

Utilizando o painel de administração do Site Blindado, testamos a própria Total Security, em freeBSD 5.4, e o Festas.Com, em Windows 2000. O escaneamento durou pouco mais de uma hora e meia em cada um.

De posse dos relatórios do Site Blindado, testamos os mesmos sites com mais dois Scanners: O Nessus, em sua versão mais atual e com todos os plugins de vulnerabilidades, e o LanGuard, também em sua versão mais atual.

* LanGuard (shareware)

- Falhou ao verificar a Total Security. Acusou poucas falhas no Festas.Com. Seu relatório não tem nenhum parecer técnico explicativo que ajude ao administrador iniciante. Verifica poucas falhas em relação aos outros dois scanners.



* Nessus (freeware)

- Fez o relatório completo da Total Security e do Festas.Com. O relatório vem com os dados da falha, links para os sites de referência das mesmas, e noções sobre como corrigir o problema. Faz análise de nível de risco.



* Hacker Safe (serviço pago)

- Fez o relatório completo da Total Security e do Festas.Com. O relatório vem com os dados da falha, links para os sites de referência das mesmas, faz análise de nível de risco e dá noções sobre como corrigir o problema. Teve um ponto a mais que o Nessus quando especificou exatamente quais eram os possíveis scripts bugados, e como eram testados, dando assim uma noção completa de como corrigir os erros de SQL Injection e Cross Site Script.

- Em um segundo teste, após corrigidas algumas falhas, o painel identificou que foi bloqueado pelo servidor, e por isso não conseguiu executar vários testes. A informação era verdadeira, e após desbloquear o site, ele conseguiu efetuar os testes, obviamente não apontando mais a falha que tinha sido corrigida.



Análise de Veracidade

Nem sempre o que um Scanner aponta como falha, realmente é. Os banners (identificadores do programa) podem ter sido mudados, e com isso enganar os Scanners. Além disso, a versão do programa pode apresentar uma determinada falha, mas a falha pode não funcionar com determinada configuração ou em determinado ambiente. Por isso, não acredite em tudo que um Scanner (seja ele qual for) apontar como falha. Sempre faça uma verificação completa, inclusive com PenTest se possível.

O LanGuard reconhece muito poucas falhas, e foi descartado. Já o Nessus, apresentou falhas válidas e reais. O Hacker Safe, além das falhas válidas e reais, apresentou um falso positivo de um script web. A falha poderia existir, e como gerou uma saída, o script entendeu que realmente era uma falha. Porém, executando o PenTest (indicado facilmente pelo próprio Hacker Safe e com a forma de executar), víamos que não era uma saída padrão, ou seja, era um falso-positivo. O script aceitava, mas não executava, e retornava um outro erro que não permitia a execução daquela instrução.

Mas foi um ponto positivo pro Hacker Safe na opinião dos colaboradores, pois o Nessus não indicou essa possibilidade. O arquivo realmente permite uma invasão, mas a configuração interna do php no servidor não permitiu que fosse explorado com sucesso.



Análise Comparativa

Tendo em mãos os relatórios dos três scanners, podemos descartar logo o LanGuard. Ele não é confiável, pois não é atualizado com todos os tipos de testes possíveis e atuais.

Entre Nessus e Hacker Safe, a briga é boa. É de conhecimento público que o Hacker Safe incorpora o Nessus dentre suas ferramentas de verificação, além de ter algumas outras ferramentas a mais integrando as suas verificações. Porém, o Nessus é gratuito e já faz um bom trabalho de aviso ao administrador. Por outro lado, a Hacker Safe dá a tranquilidade ao usuário que o site foi realmente testado e está dentro das normas de vários certificadores, como SANS/FBI e PCI, que são referências mundiais para certificação de uso de cartão de crédito online.

Então, se as duas ferramentas são boas, qual escolher?

A escolha depende do que você tem em mãos para ser protegido. Confira:

Se você tem um servidor local, uma redezinha no seu escritório, um IP dinâmico e está preocupado com possíveis invasões, a melhor escolha é o Nessus, pois é freeware e tem uma ótima base de dados de vulnerabilidades.

Se você possui um servidor web dentro da empresa, ou até mesmo uma intranet com IP real fixo, sugiro o Hacker Safe, no plano básico, que é uma verificação semanal, porém sem exibição do selo. O Nessus também é uma boa opção, caso você esteja com o caixa em baixa. Porém, se você é muito atarefado, e se esquece de verificar relatórios, o Hacker Safe avisa a você por e-mail apenas quando detecta uma falha crítica, que realmente possa prejudicar o seu servidor. Em caso de formatação da sua máquina, caso sua escolha seja o Nessus, lembre-se de instalar e configurar o Nessus novamente. Se foi a Hacker Safe, você não precisa se preocupar.

Se você tem um site com e-commerce, um servidor de hospedagem, um provedor de acesso ou até mesmo um datacenter inteiro a ser controlado, a sugestão é usar o Hacker Safe em seu melhor plano, com verificação diária e colocação do selo no site. O selo dá uma credibilidade maior ao site/servidor, e em caso de e-commerce faz o cliente realmente se sentir mais seguro a passar informações pessoais.

Em qualquer dos casos, manter-se o mais seguro possível é sempre a nossa indicação. Faça sua própria avaliação e decida-se pela melhor ferramenta. Mas independente da ferramenta, a função de segurança e correção de falhas é sua. Mantenha-se atualizado tecnicamente para poder resolver os problemas que aparecerem.

Colaboraram nos testes os seguintes profissionais:
Cristian Moecke, cursando ciências da computação, é um dos administradores da Total Security.
Jones Kahler, atualmente desenvolvedor e analista de sistemas, anteriormente figura de destaque do underground.


Por Marcelo R. Gomes




Fonte: Eu escrevi

Comentários

Deixe seu Comentário

URL Fonte: https://infoguerra.com.br/noticia/1334/visualizar/