Acompanhe a jornada de Victor e Manuel pela descoberta do mundo da segurança e dos testes de invasão.

Diego Gonçalves

Não sei bem o dia ou mês, mas era o ano de 2014 para os irmãos da família Não-fiz-teste. A Internet para eles era apenas como um mar de possibilidades, livre dos entraves, problemas e limitações do mundo real. Eles queriam entrar nesse mundo, mas faltava algo.
Naquela data, os irmãos, Victor e Manuel, tinham um negócio de reciclagem artística: eles pegavam material reciclado e o transformavam numa arte. As pessoas ficavam tão impressionadas com todo aquele expressionismo que Victor e Manuel faziam brotar de seus detritos que deram aos dois o título de Van Gogh do Lixo.
Victor era o mais velho, mas ainda era um rapaz novo, porte atlético, cabelos compridos, fascinado por jogos e de um temperamento fleumático. Tinha o dom de detalhar cuidadosamente suas peças, como um ourives que entalha seus metais preciosos na produção das joias. Já Manuel, o mais novo, era um rapazinho claro, cabelos dourados e, ao contrário de Victor, tinha um temperamento sanguíneo, rápido no que fazia; enriquecia o trabalho de seu irmão dando um toque final.
Eles trabalhavam em tal sincronia que suas criações pareciam ter um único autor.
Certo dia os irmãos resolveram aprender a programar, encontrando a peça-chave que precisavam para sua “obra digital”. Na verdade, os dois – visionários e muito espertos – queriam entrar no mercado do mundo virtual para expandir a cartela de clientes com uma loja virtual. Resolveram fazer um website. Aprenderam um pouco de programação Web e de sistemas procurando por manuais, livros e vídeoaulas no Google e no YouTube.
Escreveram todo o conteúdo, montaram um banco de dados, compraram um domínio. Finalmente, arranjaram um servidor próprio para deixar em casa e hospedar as páginas de sua loja. Depois de uns 30 dias estava online o mais novo ponto da Internet:
[Somente membros podem ver os links. ]
Em pouco tempo os irmãos conseguiram atrair a atenção dos internautas e ter uma clientela assídua. De fato, os irmãos também eram excelentes na arte da informação: escreviam como ninguém; os layouts de suas páginas eram atraentes; as imagens dos lixos reciclados ganhavam vida com animações, passando um sentimento de felicidade e recompensa para as pessoas que contribuíam com a preservação da natureza.
Vai-e-Volta tornou-se uma sensação, ganhando espaços em noticiários e em blogs. Com tamanha visibilidade, mal sabiam os irmãos que eles, ou melhor, sua loja virtual, entrara na mira de especialistas em golpes de extorsão: eles chantageavam suas vítimas em troca de dinheiro.
Numa bela manhã, os irmãos Não-fiz-teste resolveram dar uma olhada no site. Eles estavam sem visitá-lo há pelo menos três meses: a quantidade de clientes e eventos por todo o Brasil tinha os deixado sem tempo. Preparados para ver uma página que eles conheciam bem, os dois se assustaram com algo diferente:




Os irmãos ficaram perplexos. Eles não faziam ideia do que tinha acontecido.
Seguiram a mesma receita da época da criação de site: jogaram “hacker” no Google. Viram uns assuntos sobre “segurança”. Para eles, era palavra nova. Nada do que leram antes falava de segurança, sobre defacement, sobre validação de dados de entrada. Nem uma frase sobre invasões.
Porém, depois do que aconteceu com Vai-e-Volta, eles retornaram com a sua busca sobre segurança e ficaram surpresos com tantos artigos, papers e pesquisas sobre uma tal de segurança da informação. Ficaram envergonhados por não ter tomado as devidas providências antes de colocar o site no ar. Tarde demais, o site deles fora transformado em lixo virtual. Mas, nesse caso, eles não sabiam como melhorar a obra.
Os irmãos, prontamente, começaram a estudar sobre segurança da informação, enquanto Manuel, com sua destreza e rapidez reunia informações em suas pesquisas, Victor, com sua calma, lia, entendendo cada parte, até que ambos pararam e sentaram para conversar sobre o que aprenderam.
Segurança da informação estuda o meio de manter os dados de modo como foram criados, ou seja, é um conjunto de procedimentos e regras que visam proteger toda a informação que seja valiosa para alguém. Tem como pilares quatro atributos: confidencialidade, integridade, disponibilidade e autenticidade.
Viram que a confidencialidade seria aquela informação restrita, somente para pessoas autorizadas; já a integridade garante que a informação não seja alterada e/ou modificada por outros – nisso, os irmãos se entreolharam e deram um suspiro de esperança; a disponibilidade garante que a informação esteja disponível para quem quiser acessá-la; por fim, a autenticidade identifica o autor de uma dada informação.
Resumiram o fato: se eles tivessem se prevenido, não deixariam áreas e documentos sensíveis do site expostos; teriam feito uma revisão em todo o seu projeto, protegendo-o para que nada fosse modificado sem prévia autorização; somente dessa forma garantiam que o conteúdo do Vai-e-Volta ficasse sempre disponível e devidamente “assinado” por eles.
Entenderam, claro, que a segurança da informação não serve somente para os meios digitais — ela abrange qualquer outro sistema de informação e comunicação.
Nos estudos, viram também que a segurança da informação está padronizada pela norma ISO/IEC 27002, a qual estabelece procedimentos básicos do gerenciamento seguro da informação, analisando e quantificando os riscos para depois implementar uma política de segurança, controles de acesso e o que mais for necessário, para poder “blindar” o que for importante e dar continuidade ao negócio, diferente do negócio deles que, neste momento, encontrava-se interrompido pelo ataque.
Resolveram então contratar um profissional de segurança para reciclar o código – descobrir o que era útil, reformar o que não estava bom. Por recomendação de um cliente, chegaram no Ricardo.
Ricardo possuía uma modesta, porém eficiente, empresa de segurança da informação. Ele era um cara honesto, de ar pacato e óculos para miopia.
Ricardo não era super-herói, mas sempre enfrentou vilões virtuais, não tinha medo de nada, embora alguns de seus colegas dissessem que ele era aracnofóbico, daí o apelido de Aranha. Ofereceu aos irmãos Não-fiz-teste uma solução versátil e que poderia encontrar problemas no site, sem abandonar tudo ao cemitério dos bits: o “penetration testing” ou, carinhosamente, pentest.
No idioma melhor compreendido por Victor e Manuel, era o “teste de invasão”.
Os irmãos, durante seus estudos, se deparam com esse termo, mas não entenderam muito bem o que seria. Invadir seu site? Expor seu negócio? Não, isto não é legal, é contra a lei! Aranha, vendo tamanha confusão, resolveu explicar o que seria o tal do Pentest.

Esta é a primeira parte de uma história fictícia (ou não) sobre testes de invasão. Clique na tag [Somente membros podem ver os links. ] para conferir todas as partes publicadas.


Conheça o Autor:

Diego Pires de Azevedo Gonçalves é Especialista em Segurança de Redes de Computadores. Formado em Licenciatura em Ciências Exatas - USP campus de São Carlos, é professor de informática, física, matemática, ciências e astronomia. Penetration Tester e analista de remoção de malware no fórum do [Somente membros podem ver os links. ], (desde 2007); no grupo Análise e Resposta a Incidentes de Segurança, [Somente membros podem ver os links. ] (desde 2012). É membro da [Somente membros podem ver os links. ] (Unified Network of Instructors and Trained Eliminators).

Fonte: Linha Defensiva