Sistema automático para realização de testes de penetração

Abstract

As Tecnologias de Informação são um campo complexo da actual sociedade em que vivemos, ainda a coabitar com tecnologia semimorta do passado a que se juntam cada vez mais novos Sistemas, Softwares e Protocolos. A segurança dos Sistemas Informáticos de hoje, envolve mais do que o controlo de actualizações de Software, instalação e manutenção de Firewalls, e sensibilização dos utilizadores para a segurança.

Os Hackers aperceberam-se ao longo dos tempos que podiam tirar proveito das falhas de segurança dos sistemas e das redes informáticas das organizações, bem como das vulnerabilidades que existem nas aplicações instaladas nos computadores pessoais. Com o passar dos tempos, vários ataques informáticos foram realizados e permaneceram na historia para casos de estudo. Para perceber e descobrir como um Hacker consegue entrar num sistema, há que pensar e actuar como ele. Um Teste de Penetração a um Sistema Informático e a forma de simular as metodologias usadas pelos Hackers, de modo a encontrar os pontos mais fracos do alvo e estudar de que forma se consegue contornar os controlos de segurança, tendo acesso aos sistemas da organização alvo. Os dados obtidos através de um teste de penetração revelam questões que nenhuma revisão de arquitectura da rede ou avaliação de vulnerabilidades seriam capazes de identificar. Nos testes de penetração são detectados todos os pormenores que identificam o que a organização precisa fazer para se defender de uma invasão real. Importante ainda salientar que os Testes de Penetração dividem-se em ataques realizados do exterior e do interior da rede, mas também passando por técnicas de Engenharia Social, entre outras. Existem inúmeras metodologias e ferramentas para realizar testes de penetração, sejam de forma automática ou manual. A forma manual torna este processo muito complexo visto ser um processo que requer que os técnicos estejam muito bem qualificados para todo o processo de teste, o que torna esta opção muito cara. Estes testes requerem que todas as tarefas sejam controladas manualmente. A outra opção é optar por ferramentas ou sistemas que automatizam o teste de penetração, ou alguns procedimentos do mesmo. Estas ferramentas destinam-se a simplificar o teste de penetração, ou parte dele, e pelo facto das tarefas serem automáticas, o processo é mais rápido que o teste manual. Será sobre Sistemas Automáticos de Testes de Penetração realizados do exterior que esta Dissertação se irá debruçar.