AGORAX

Relatrio de PENTEST no ambiente externo do Tabajara Futebol Clube

Relatrio de PENTEST PENETRATION TEST (teste de intruso) no ambiente externo do TABAJARA FUTEBOL CLUBE

www.agorax.com.br

pg. 1 / 18

Sumrio
1 Resumo Gerencial ......................................................................................................................... 3 1.1 Introduo e Objetivos ..................................................................................................................... 3 1.2 Procedimentos ................................................................................................................................. 3 1.2.1 1.2.2 1.2.3 SGS-Sistema de Gesto de Segurana ............................................................................. 3 Conformidade com as melhores prticas em Segurana da Informao .......................... 4 Nvel de Servio Contratado (SLA-Service Level Agreement) ........................................ 4

1.3 Agendamento ................................................................................................................................... 4 1.4 Escopo ............................................................................................................................................. 4 1.5 Resumo de Vulnerabilidades encontradas e consideraes ........................................................... 4 2 Abordagem e Estratgias Utilizadas ............................................................................................. 5 2.1 Metodologia Aplicada ....................................................................................................................... 5 2.2 Levantamento de Informaes ......................................................................................................... 7 2.2.1 2.2.2 2.2.3 2.2.4 Mapeamento de informaes em bases pblicas (Google hacking, Facebook) ............... 7 Consultas a informaes de DNS e Whois ........................................................................ 7 Varreduras de portas e servios......................................................................................... 7 Atividades desenvolvidas ................................................................................................... 8

3 Vulnerabilidades Identificadas e Processos de Explorao ......................................................... 8 3.1 Roteador de borda utiliza credenciais de acesso frgeis ................................................................ 8 3.2 Obteno de credenciais de e-mails atravs de ataques de fora bruta e dicionrio ..................... 9 3.2.1 Enumerao de informaes sensveis atravs de leituras de e-mails ............................. 9 3.3 Credenciais de acesso frgeis para acesso ao servio de FTP .................................................... 11 3.4 Acesso a servios publicados no Citrix .......................................................................................... 11 3.5 Credenciais de acesso frgeis para acesso a VPN ....................................................................... 12 3.6 Acesso privilegiado aos servidores e sistemas a partir da Internet ............................................... 12 3.7 Vazamento de informaes de dados cadastrais de clientes no Portal Tabajara Futebol Clube . 15 3.8 Portal vulnervel a ataques de Cross Site Scripting Refletido ...................................................... 16 4 Concluses .................................................................................................................................. 17 5 Anexos......................................................................................................................................... 18 5.1 Credenciais obtidas atravs de password cracking. ...................................................................... 18

AGORAX
Relatrio de PENTEST no ambiente externo do Tabajara Futebol Clube 1 Resumo Gerencial
1.1 Introduo e Objetivos

O PENTEST teve como objetivo principal simular de forma controlada e sistemtica ataques direcionados e customizados infraestrutura (escopo) de sistemas e servios publicados na Internet do ambiente de tecnologia da informao do Tabajara Futebol Clube. Para cada vulnerabilidade identificada e explorada com sucesso foram coletadas evidncias que pudessem constatar a presena de tais problemas. Principais premissas: Identificar principais vulnerabilidades para os sistemas publicados na Internet Obter evidncias para cada vulnerabilidade Documentar procedimentos que simulem uma explorao real do ambiente Realizar recomendaes para mitigar cada falha identificada Prevenir continuamente os negcios, dados da empresa e reputao da marca evitando ataques e danos que lha possa trazer prejuzos Contextualizar o real cenrio da segurana para o negcio do Tabajara Futebol Clube

1.2

Procedimentos
1.2.1 SGS-Sistema de Gesto de Segurana

Os dados que subsidiam este relatrio foram coletados pelo monitoramento sistemtico e contnuo dos ativos da infraestrutura de tecnologia da Informao do Tabajara Futebol Clube por especialistas devidamente suportado pelo SGS, sistema com funcionamento ininterrupto na internet que detecta cada incidente (issue) no exato momento em que o mesmo ocorre. Grficos gerados pelo SGS.

www.agorax.com.br

pg. 3 / 18

1.2.2

Conformidade com as melhores prticas em Segurana da Informao

PENTEST e presente relatrio esto conformes s prticas ISO, ABNT, PCI-DSS e outras. 1.2.3 Nvel de Servio Contratado (SLA-Service Level Agreement)

PENTEST e presente relatrio atenderam requisitos de SLA contratados pelo Tabajara Futebol Clube.

1.3

Agendamento

O trabalho foi estimado para ser executado em 40 dias teis de testes de segurana e cinco dias teis para a confeco deste relatrio. As anlises de segurana foram iniciadas em 05 de abril de 2013 e foram dados como concludos no dia 30 de maio de 2013 juntamente com este relatrio. O trabalho foi desenvolvido por dois analistas de segurana seniores.

1.4

Escopo

Conforme descrito no item 3.1, a metodologia empregada foi a Black Box, desta forma a nica informao que nos foram passadas foram os ranges de endereos IPs do Tabajara Futebol Clube. A tabela a seguir define todos os endereos que foram considerados no projeto. Alm destes endereamentos foi considerados testes no portal http://www.tabajarafutebol clube.com.br/

1.5

Resumo de Vulnerabilidades encontradas e consideraes

O projeto foi realizado com o objetivo de identificar vulnerabilidades explorveis a partir da Internet e que pudessem representar um risco real ao negcio do Tabajara Futebol Clube. importante ressaltar que este trabalho difere-se de aes maliciosas, basicamente nos aspectos relacionados a tempo e motivao, pois, um atacante na Internet dispe de todo o tempo necessrio para investir e planejar seus ataques e motivaes que vo desde a curiosidade a trabalhos profissionais como espionagem industrial e roubo de informaes. O trabalho semelhante a um ataque real no fato de que tambm utilizamos tcnicas recentes e sofisticadas, alm de ferramentas e expertise prpria. O PENTEST visa mapear falhas e problemas que estejam presentes em configurao de sistemas, verses de softwares desatualizadas, diapositivos e ativos de redes (servidores, roteadores, voip, etc) com configuraes padro, aplicaes Web, diapositivos de proteo (firewall, antivrus, IDS) alm de fatores humanos e de procedimentos. uma caracterstica deste de tipo de trabalho trazer sugestes que se apliquem ao contexto da infraestrutura do cliente sobre como mitigar tais problemas. Aqui apresentamos um breve resumo das principais vulnerabilidades encontradas durante os testes. Para um maior detalhamento e evidncias, necessrio consultar o item 3 Vulnerabilidades Identificadas e Processos de Explorao. A tabela a seguir apresenta o nome das vulnerabilidades encontradas.

AGORAX
Relatrio de PENTEST no ambiente externo do Tabajara Futebol Clube
Vulnerabilidades Identificadas 1. 2. 3. 4. 5. 6. 7. 8. Roteador de borda utiliza credenciais de acesso frgeis Obteno de credenciais de emails atravs de ataques de fora bruta e dicionrio Credenciais de acesso frgeis para acesso ao servio de FTP Acesso a servios publicados no Citrix Credenciais de acesso frgeis para acesso a VPN Acesso privilegiado aos servidores e sistemas a partir da Internet Vazamento de informaes de dados cadastrais de clientes no Portal Portal vulnervel a ataques de Cross Site Scripting refletido Tabela 2. Lista de vulnerabilidades Conforme ser descrito posteriormente neste relatrio, possvel afirmar que atravs das exploraes das vulnerabilidades listadas na tabela 2, um atacante externo consegue obter (at o momento das anlises), acesso total e irrestrito a quaisquer sistemas ou recursos do ambiente tecnolgico do Tabajara Futebol Clube. Sendo alguns deles, acesso a dispositivos tecnolgicos, acesso a e-mails de colaboradores, acesso a aplicaes, documentos internos, informaes financeiras, dados de clientes, entre outros. Com tal nvel de comprometimento possvel afirmar ainda que tais ataques podem impactar diretamente na imagem do Tabajara Futebol Clube, bem como na credibilidade do negcio perante o mercado, clientes e fornecedores.

Abordagem e Estratgias Utilizadas

Este item documenta dados importantes que foram utilizados durante o desenvolvimento do projeto, tais como metodologia aplicada, escopo, abordagens utilizadas e atividades exercidas.

2.1

Metodologia Aplicada

Ataques sofisticados executados por crackers a partir da Internet costumam seguir uma linha organizada de execuo de testes na tentativa de subverter a segurana de sistemas de uma determinada organizao. Entende-se por ataques sofisticados aquele onde o atacante possui habilidades tcnicas avanadas alm de motivao necessria (ex: espionagem industrial). Referindo-se ao termo Testes de Intruso ou do ingls Penetration Test (PENTEST), existem basicamente trs modalidades ou perspectivas que podem ser adotadas: Black Box - Esta modalidade que a mais se assemelha com ataques e ameaas externas, onde nenhuma informao sobre a infraestrutura que ser testada fornecida, desta forma o consultor deve utilizar o que estiver ao seu alcance para localizar, enumerar e estudar as tcnicas que podero ser empregadas de acordo com o perfil do cliente. O objetivo nesta modalidade apresentar um cenrio real de ameaas ao qual a organizao est exposta. Gray Box Neste cenrio algumas informaes so passadas para os consultores. Este tipo de teste muito utilizado em testes de intruses realizados a partir da rede interna do cliente. White Box Neste cenrio diversas informaes so passadas aos consultores, tais como: credenciais para acesso a sistemas, arquivos de configuraes de dispositivos entre outros. Este tipo de teste comumente utilizado indicado para anlises de arquitetura de segurana.

Para este projeto foi aplicada a abordagem Black Box, neste caso apenas nos foram fornecidos informaes referentes ao endereamento IP dos servidores que esto acessveis na Internet conforme destacado previamente no item 1.3 Escopo. Dentro da abordagem de Black Box aplicamos uma sequncia comum a este tipo de testes, a seguir:

www.agorax.com.br

pg. 5 / 18

A seguir descrevemos como funciona cada passo que foi utilizado como abordagem para identificar as vulnerabilidades que sero descritas no posteriormente no item 3 deste documento. Levantamento de Informaes

Trata-se de uma atividade no-intrusiva que consiste em tentar mapear o mximo de informaes possveis sobre o alvo que est sendo testado. Nesta fase tentamos coletar informaes, atravs da minerao de dados, realizando consultas a bases pblicas (Google, Bing, etc.) bem como redes sociais ( Facebook, Twitter, etc.) sendo possvel na maioria dos casos obter informaes como: endereos vlidos de emails corporativos, informaes sobre sistemas em produo, dados de DNS entre outros. Os principais objetivos desta fase so: Determinar a postura de segurana da informao da organizao. Servir como insumo para descobrir vulnerabilidades. Facilitar o processo de explorao de vulnerabilidades existentes.

Varreduras

Este passo trata-se de uma atividade tcnica onde atravs do uso de ferramentas ou scripts confeccionados internamente, tentamos identificar portas e servios (TCP e UDP) que porventura venham a estar publicados na rede. Nesta fase todos os endereos que foram definidos no escopo sero analisados. Os dados no final desta atividade serviro para facilitar o processo de enumerao e em alguns casos explorao. Enumerao

Esta atividade consiste em utilizar tcnicas e ferramentas especficas para cada servio descoberto na fase anterior, desta forma informaes mais precisas podem ser coletadas sobre sistemas, aplicaes e infraestrutura. Atravs deste processo possvel identificar verses de softwares em execuo, tecnologias utilizadas entre outras informaes. Tambm so realizadas consultas em bases publicas de exploits na tentativa de descobrir se algum sistema que esteja no escopo possui alguma vulnerabilidade devido ausncia de patches. Explorao

processo de explorao especfico para cada sistema e isso vai depender das informaes coletadas nas fases anteriores. So utilizadas diversas tcnicas e exploits (ferramentas que exploram vulnerabilidades). Esta fase exige maior dedicao e experincia dos consultores que a executam. A depender da vulnerabilidade ser possvel obter algum nvel de acesso aos sistemas da corporao. Escalao de Privilgios

Consiste na aplicao de tcnicas, direcionadas para obteno de acessos mais permissivos dos que foram originalmente conseguidos na fase anterior. comum tentar explorar relaes de confiana entre os sistemas comprometidos, exemplos: teste de reuso de senhas em sistemas, acesso arquivos contendo informaes sensveis, execuo de trojans e exploits locais, monitoramento do trfego de rede (sniffing) entre outros. Documentao

Esta a fase final do projeto, onde todas as vulnerabilidades encontradas so documentadas utilizando

AGORAX
Relatrio de PENTEST no ambiente externo do Tabajara Futebol Clube
evidncias da existncia de tal problema. Nesta documentao so detalhados todos os processos, ferramentas e tcnicas utilizadas durante o projeto e que levaram a explorao com sucesso de determinada vulnerabilidade. Alm disso, so apresentadas possveis solues para mitigao das falhas.

2.2

Levantamento de Informaes

A fase inicial de um PENTEST consiste em iniciar coletando o mximo de informaes possveis sobre o ambiente a ser testado. Tais informaes sero de grande valia que contribuir para o resultado final esperado. Desta forma, foi possvel obter diversas informaes conforme delineado a seguir 2.2.1 Mapeamento de informaes em bases pblicas (Google hacking, Facebook)

Atravs de consultas manuais e automatizadas ao sistema de busca Google, foi possvel obter nomes de endereos de emails vlidos de colaboradores do Tabajara Futebol Clube. As imagens abaixo ilustram este processo de coleta. Figura 1. Consultas no Google em busca de e-mails vlidos Figura 1.1. Busca automatizada no Google com uso da ferramenta theHarverster Atravs destas buscas foi possvel obter inicialmente xxx e-mails vlidos, conforme a tabela a seguir resume. Tabela 3. E-mails enumerados em bases pblicas Tambm foram realizadas buscas manuais em perfis da rede social Facebook, de forma a correlacionar as informaes obtidas no Google, a imagem a seguir ilustra. 2.2.2 Consultas a informaes de DNS e Whois

Foram realizadas consultas automatizadas aos servidores de DNS pra facilitar o entendimento do escopo proposto, bem como identificar alguma vulnerabilidade de m configurao em tais sistemas. As imagens abaixo ilustram a coleta de informaes sobre o domnio do Tabajara Futebol Clube. Figura 1. Busca de informaes do domnio no site https://whois.registro.br/ Figura 2. Consulta aos servidores de DNS As exibies destas informaes no caracterizam uma vulnerabilidade nos servidores de DNS, este tipo de informao comum, mas serve como base para planejamentos de ataques posteriores, desta forma recomendada a implantao de filtragens de forma a controlar os acessos externos ao servio de DNS (TCP 53). Tais acessos devem ser liberados apenas para os servidores DNS secundrios, e estritamente necessrios. 2.2.3 Varreduras de portas e servios

Outra atividade desenvolvida na fase inicial consiste em mapear todas as possveis portas e servios que os servidores do escopo possuem habilitados e acessveis na Internet. Desta forma realizamos uma varredura utilizando a ferramenta Nmap (Network Mapper) com a seguinte sintaxe:
Nmap sS P0 sV p1-65535 oN varredura_full.txt iL escopo.txt

A imagem a seguir ilustra a execuo da ferramenta. Figura 1. Varredura de portas e servios nos hosts do escopo. Com os resultados destas varreduras foi possvel mapear os principais servios publicados na Internet, sendo eles: Servio HTTP e HTTPS (TCP 80 e 443) Servio de FTP (TCP 21)
pg. 7 / 18

www.agorax.com.br

Servio de SMTP (TCP 25) Servio SSH (TCP 22) Servio de VPN PPTP (TCP 1723) Servio Voip H323 (TCP 1720) Servio Telnet (TCP 23) Servio Terminal Service (TCP 3389) Servio ERP (sistemas financeiro, folha de pagamento, compras etc.) - (TCP 4751) 2.2.4 Atividades desenvolvidas

Aqui resumimos a lista contendo as principais atividades que foram executadas durante o projeto e que contriburam direta ou indiretamente com os resultados obtidos e aqui documentados. Minerao de informaes em bases pblicas (Google, Face book, etc.) Varredura e mapeamento de portas e servios em todos os hosts do escopo. Enumerao de informaes nos servios encontrados (FTP, SSH, HTTP, etc.) Ataques de fora bruta e dicionrio nos sistemas de autenticao ( E-mail, FTP, Citrix, VPN, Roteadores, etc.) Ataques na aplicao Web do Portal principal Coleta de informaes sensveis nas caixas postais de e-mails Ataques controlados a dispositivos de redes Acesso rede interna e sistemas e servios Captura dos hashs de passwords e ataques de fora bruta offline. Coleta de evidncias para documentao

Vulnerabilidades Identificadas e Processos de Explorao

Este item documenta com um maior detalhamento tcnico, como as vulnerabilidades foram encontradas, exploradas, quais os riscos envolvidos e recomendaes para mitigao. Este relatrio foi escrito tentando representar o mximo possvel a ordem cronolgica utilizada no processo de identificao de vulnerabilidades.

3.1

Roteador de borda utiliza credenciais de acesso frgeis

Atravs de varreduras de portas TCP/UDP foi possvel identificar que o roteador de borda da rede Tabajara Futebol Clube (IP xyz. zx.xz.xxx) possui portas de gerenciamento habilitadas para a Internet, sendo elas 22/TCP SSH, 23/TCP Telnet, 80/TCP HTTP, 443/TCP HTTPS. Uma prtica comum entre atacantes na Internet, ao encontram tais servios, executar tcnicas conhecidos como ataques de dicionrio e ataques de fora bruta, ambos os ataques visam tentar obter as credenciais de acesso dos sistemas atravs da automao do processo de tentativa e erro dado uma lista de possveis credenciais (dicionrio). Tal tcnica foi aplicada ao roteador de borda, direcionando os ataques aos protocolos Telnet e SSH, desta forma foi possvel obter a credencial do usurio XYK. Usurio: XYK Senha: XGAJ

Figura 1. Autenticao via Telnet no roteador de borda

AGORAX
Relatrio de PENTEST no ambiente externo do Tabajara Futebol Clube
Figura 2. Resultado da exibio do comando show version Figura 3. Resultado da exibio do comando show ip route. Os privilgios do usurio obtido eram limitados de forma que apenas foi possvel executar aes de visualizaes (read only), porm, conforme ilustram as imagens acima, tais informaes podem servir de insumo para que um ataque mais elaborado seja planejado. Recomendaes Como forma de mitigar tal vulnerabilidade recomenda-se que uma poltica de senhas fortes seja aplicada imediatamente, de forma a torn-las mais resistentes a estes tipos de ataques. muito importante levar em considerao a real necessidade de ter tais servios expostos deliberadamente para a Internet, o recomendvel aplicar filtragens de pacotes de forma a restringir o acesso aos servios de gerenciamento.

3.2

Obteno de credenciais de e-mails atravs de ataques de fora bruta e dicionrio

Utilizando os insumos coletados no processo de levantamento de informaes descrito previamente no item 2.2.1, utilizamos a lista de e-mails para realizar ataques no sistema de autenticao do webmail, acessvel atravs da URL https://mail.tabajarafutebolclube.com.br de forma a tentar verificar se alguns destes usurios possuam senhas de acesso fracas. Desta forma configuramos uma ferramenta com o propsito de automatizar a busca atravs de tentativa e erro de possveis senhas. As imagens abaixo ilustram. Figura 1. Interface principal de autenticao do webmail corporativo. Figura 2. Ataque de dicionrio contra o webmail. Atravs de anlises no resultado da ferramenta acima, foi possvel verificar que nosso ataque ocorreu com sucesso e foi possvel obter credenciais de acesso dos e-mails destacados e resumidos na tabela a seguir. Tabela 5 Senhas dos e-mails De forma a constatar se o resultado da ferramenta realmente refletia o comportamento esperado, realizamos um acesso com as credenciais do usurio michael.jackson. As imagens a seguir detalham o processo. Figura 3. Fornecimento das credenciais do usurio xxx.xxx. Figura 4. Autenticao realizada com sucesso. Conforme apresentado nas figuras 3 e 4 foi possvel obter acesso a caixa postal do usurio destacado e dos demais listados na tabela 5. A partir dos acessos as caixas-postais, coletamos o maior nmero possvel de e-mails vlidos atravs de leituras e consultas a lista de contatos. Com o resultado desta compilao realizamos novamente o ataque automatizado e desta vez conseguimos obter a senha de 50 usurios. A tabela a seguir resume. Tabela 6. Senhas dos e-mails 3.2.1 Enumerao de informaes sensveis atravs de leituras de e-mails

A partir da obteno das senhas de e-mail, realizamos acessos a algumas caixas-postais para identificar informaes potencialmente sensveis, com o objetivo de mostrar o nvel de criticidade uma vez que tais informaes podem cair em mos de criminosos. Desta forma classificamos algumas evidncias de informaes, sendo elas: Dados e informaes financeiras (cheques, folhas de pagamento, contratos). Informaes de credenciais de acesso a sistemas internos
pg. 9 / 18

www.agorax.com.br

Informaes de Infraestrutura de TI (Planilha do AD, configurao do ERP em uso).

Para cada classificao listada, foram coletadas evidncias que sero apresentadas a seguir. Dados e informaes financeiras (cheques, folhas de pagamento, contratos) Figura 1. Ttulo email: Diferenas B.I Figura 2. Ttulo e-mail: Relatrio Cheques Figura 2.1. Anexo do e-mail: Relatrio Cheques Figura 3. Ttulo e-mail: FOHA OUT-2012 Figura 3.1. Anexo do e-mail: FOHA OUT-2012 Figura 4. Titulo do e-mail: Distrato de Contrato Naval Figura 5. Titulo do e-mail: Medio do Calado Informaes de credenciais de acesso a sistemas internos Figura 6. Titulo do documento: Acesso FTP Figura 7. Titulo do e-mail: SADP - cadastramento de usurio (Jake Paterson) Figura 8. Titulo do e-mail: nova senha Figura 9. Titulo do e-mail: PORTAL XXXX Informaes de Infraestrutura de TI Figura 10. Titulo do e-mail: usurios do AD Figura 11. Titulo do e-mail: configurao de acesso ao ERP Conforme verificado, foi possvel obter nveis de informaes extremamente crticas para o negcio do Tabajara Futebol Clube, este tipo de cenrio muito disputado por crackers que fornecem servios de espionagem industrial para empresas concorrentes alm de comercializao deliberada de tais informaes. Recomendaes Um fator preocupante foi a grande quantidade de credenciais frgeis identificadas, pois, ofereciam pouca resistncia a ataques de dicionrio, podendo inclusive, ser deduzidas a partir de simples palpites. Uma boa poltica de senhas como controle de segurana um dos principais mtodos de mitigao de riscos contra acessos indevidos sistemas. comum a corporaes de grande porte, possuir redes estruturadas com solues de autenticao integradas ( Single Sing-On SSO), permitindo desta forma que sistemas distintos possam utilizar uma mesma base de usurios como o Active Directory ou LDAP (Lightweight Directory Access Protocol). Essas solues facilitam o gerenciamento de grupos, usurios e suas devidas permisses para os administradores de sistema, em contra partida com apenas uma credencial frgil um atacante pode acessar diversos servios como E-mails, FTP, Sistemas ERP/CRM, Aplicaes, Banco de dados entre outros. Tais acessos facilitam a escalao de privilgios usurios com permisses administrativas permitindo que um atacante consiga realizar aes, como alterar configuraes em seus sistemas e normalmente obter dados e informaes sensveis/crticas. Com base nessa analise de risco fornecemos algumas alternativas para a utilizao de uma poltica de senhas: Tamanho mnimo de caracteres 10. Possuir (letras maisculas/minsculas, nmeros e caracteres especiais). Trocar periodicamente as senhas (ex: a cada 60 dias).

AGORAX
Relatrio de PENTEST no ambiente externo do Tabajara Futebol Clube
No fazer uso de senhas previamente utilizadas. Bloqueio de contas a cada 5 tentativas no mnimo. Instruir os usurios a no compartilharem suas senhas. Instruir os usurios a no anotar as senhas.

Alm disso, conforme foi constatado e evidenciado, o setor de TI do Tabajara Futebol Clube no possui uma poltica adequada que possibilite garantir a confidencialidade das informaes trafegadas e armazenadas nos e-mails dos colaboradores. Neste caso o recomendado seria elaborar uma poltica de transferncia e armazenamento de informaes potencialmente sensveis atravs do uso de tecnologias de cifragem. Atualmente existem diversas tecnologias que pode servir como facilitadores para alcanar este objetivo, um bom exemplo seria a adoo da tecnologia PGP (Pretty Good Privacy) largamente utilizada e com timos conceitos de criptografia avanada implementados. Boa parte dos clientes de e-mails (Microsoft Outlook, Thunderbird, etc), possui integrao com o PGP, de forma que facilita bastante a implementao para usurios que no esto habituados com tais procedimentos. To importante quanto adoo de uma boa tecnologia a disseminao da cultura do uso entre os colaboradores, desta forma, recomenda-se ainda que seja criados internamente materiais de divulgao (panfletos, folders, etc), treinamentos para equipes de suportes, palestras e outros artifcios de marketing visando divulgar dicas e procedimentos de segurana.

3.3

Credenciais de acesso frgeis para acesso ao servio de FTP

Alm das credenciais obtidas atravs de consultas e pesquisas aos e-mails, realizamos um ataque de dicionrio contra o servio de FTP, sendo possvel identificar quais usurios teriam efetivamente acesso ao servio. A imagem a seguir ilustra a execuo do ataque contra o IP xxx.xxx.xxx.xxx na porta 21 (FTP), utilizamos a lista de usurios do AD que foi encontrada em um dos anexos de e-mail (conforme figura 10 do item 3.2.1) e especificamos a senha 87654321. Figura 1. Ataque dicionrio no FTP. Com este ataque apenas confirmamos que os mesmos usurios encontrados no e-mail, tem permisso de acesso e escrita no servidor de FTP, ficando caracterizado a integrao dos sistemas. Figura 2. Autenticao com o usurio bart\ftp e listagem dos arquivos Este tipo de acesso representa um alto risco para a organizao, pois, pode ocorrer vazamento de informaes, de procedimentos, de dados de projetos entre outros. Um atacante pode ainda utilizar da possibilidade de enviar arquivos e submeter arquivos maliciosos (trojans, keyloggers, etc) de forma a comprometer a segurana dos funcionrios que tem acesso ao sistema. Recomendaes Como forma de mitigar tal vulnerabilidade recomenda-se que uma poltica de senhas fortes seja aplicada imediatamente, dicas para tal procedimento esto descritas no item 3.2. muito importante levar em considerao a real necessidade de ter o servio de FTP exposto deliberadamente para a Internet, tambm verificar exatamente quais usurios pode ter acesso ao servio, bem como quais destes podem fazer envio de arquivos. Considera-se ainda a importncia de monitorar ativamente o servio.

3.4

Acesso a servios publicados no Citrix

Durante a fase de levantamentos de informaes e varreduras, identificamos o uso da ferramenta Citrix Metaframe para publicao de aplicaes. Imaginou-se que as senhas obtidas at o momento pudessem tambm ser utilizadas neste sistema pela possibilidade de estarem integradas com a base do AD (Active Directory).
www.agorax.com.br pg. 11 / 18

Tambm foram utilizadas outras credenciais obtidas a partir das caixas-postais. Figura 3. Autenticao com o usurio bart.simpson obtido via leitura de e-mail. Figura 4. Acesso as aplicaes publicadas. Figura 5. Acesso a aplicao Duff Conforme apresentado, algumas aplicaes estavam publicadas, incluso o ERP Financeiro (no momento das anlises no estava no ar) e a aplicao de acompanhamentos de chamados tcnicos a Duff. Tal acesso de grande valia para um eventual atacante, pois, atravs da ferramenta, possvel obter diversas informaes sensveis, como procedimentos tcnicos, dados de sistemas e dispositivos, credenciais, alm da possibilidade de inserir, editar/falsificar e apagar informaes existentes. Recomendaes Como forma de mitigar tal vulnerabilidade recomenda-se que uma poltica de senhas fortes seja aplicada imediatamente, dicas para tal procedimento esto descritas no item 3.2. Deve-se levar em considerao ainda a importncia de monitorar ativamente o servio e estar atento ao surgimento de pacotes de atualizao.

3.5

Credenciais de acesso frgeis para acesso a VPN

Durante o processo de varredura de portas e mapeamento de servios, foi possvel identificar que alguns servidores possuem o protocolo de VPN PPTP (Point to Point Procol) habilitado. Tal tipo de protocolo costuma despertar grande interesse por atacantes, devido ao fato de que uma vez conseguido acesso, torna-se possvel obter acesso a sistemas que so disponibilizados apenas no contexto de rede interna. Realizamos ataques de fora bruta utilizando scripts especficos para o protocolo PPTP, a imagem abaixo ilustra. Figura 1. Ataque de dicionrio na VPN PPTP Atravs do ataque ainda foi possvel obter duas credenciais de acesso a VPN, sendo elas: Tabela 7. Senhas de VPN Para verificarmos a validade deste resultado configuramos uma conexo Dial-VPN em uma mquina virtual do Windows-XP. As imagens a seguir ilustram. Figura 2. Configurao de conexo dial para acesso a VPN. Figura 3.Autenticao realizada com sucesso Figura 4. Endereamento da VPN obtido. Tendo conseguido tal acesso tentamos alcanar outros servidores na rede, atravs de varreduras de portas, porm, verificamos que a poltica de firewall que estava aplicada para os range da VPN no momento estava bastante restritiva impedindo qualquer ao maliciosa, o que caracteriza um fator positivo. Recomendaes Como forma de mitigar tal vulnerabilidade recomenda-se que uma poltica de senhas fortes seja aplicada imediatamente, dicas para tal procedimento esto descritas no item 3.2. Fazer uma validao dos perfis no AD de forma a garantir um maior controle de quais usurios podem efetivamente ter acesso ao recurso. Deve-se levar em considerao ainda a importncia de monitorar ativamente o servio.

3.6

Acesso privilegiado aos servidores e sistemas a partir da Internet

De posse dos resultados das varreduras, verificamos que um dos servidores possua o servio de

AGORAX
Relatrio de PENTEST no ambiente externo do Tabajara Futebol Clube
acesso remoto (Terminal Service) habilitado para a Internet, tal servio funciona na porta 3386 do protocolo TCP. O Terminal Service fornece a possibilidade de acesso remoto e interativo ao sistema onde estiver habilitado. Neste caso o mesmo encontrava-se habilitado no servidor com o IP externo xxx.xxx.xxx.xxx O passo seguinte consistiu em verificar se alguns dos usurios que tnhamos acesso possuam privilgios suficientes para autenticar no servidor. Como havamos achado um usurio que tinha permisses para acesso a VPN, imaginamos que este mesmo usurio poderia ter acesso ao servio de acesso remoto. Este fato concretizou-se atravs do uso da seguinte credencial: usurio derek-ho e senha 87654321. As imagens abaixo ilustram o acesso. Figura 1. Fornecimento das credenciais do usurio derek-ho Figura 2. Autenticao realizada com sucesso. Desta forma ficou constatado que o usurio derek-ho possua algum nvel de permisso administrativa, conforme ser apresentado a seguir.
A partir desta constatao foi possvel obter acesso a diversos sistemas e arquivos internos. A seguir

apresentamos alguns destes acessos bem como a descrio de um ataque para obteno dos hashs de passwords de todos os usurios do AD. Listagem das aplicaes hospedadas no IIS do servidor. Figura 3. Listagem do IIS Com acesso a este painel, um atacante tem a possibilidade de obter todos os cdigos-fontes das aplicaes disponveis (ex: AppSky, AppEarth, etc.), alm de poder inserir, modificar e apagar informaes. Acesso ao servidor 10.0.0.1.

Utilizando as mesmas credenciais a partir do servidor comprometido disparamos conexes para outros servidores na mesma rede, as imagens a seguir ilustram acesso obtido ao servidor com IP 10.0.0.1. Figura 4. Processo de autenticao no servidor 10.0.0.1 Figura 5. Listagem de arquivos disponvel na unidade C do servidor Tendo conseguido o acesso, possvel realizar diversas aes, uma delas conforme imagem ilustra obter acesso irrestrito a quaisquer arquivos e diretrios disponveis. Ainda no mesmo servidor realizamos consultas a no Acitve Directory, sendo possvel acessar, alterar ou apagar informaes como usurios existentes, grupos, etc. Figura 6. Configurao do snap-in para gerenciamento do AD Figura 7. Listagem dos usurios do AD Figura 8. Exibies de dados do perfil do usurio derek-ho Atravs destas evidncias ficou comprado que o usurio que utilizamos para autenticar nos servidores faz parte do grupo Admins do domnio, alm claro de diversos outros grupos. Acesso a diretrios contendo informaes sensveis (financeiras, projetos,relatrios)

Navegando em alguns servidores foi possvel localizar diversas informaes sensveis relacionadas a projetos, rea financeira entre outros.

Figura 9. Listagem no diretrio Financeiro/rea Financeira Figura 10. Exibio de dados financeiros
www.agorax.com.br pg. 13 / 18

Figura 11. Busca no servidor por contratos Obteno de acesso ao roteador principal (gateway) da rede

Consultando o gateway da rede interna que estava configurado nos servidores, verificamos que o mesmo tratava-se do IP 10.0.0.230 (Cisco Router). Sendo assim, realizamos acesso via Telnet e atravs de palpite encontramos a credencial de acesso administrativo (privilege 15): Username: laryhoo Password: laryhoo Enable password: laryhoo Figura 10. Autenticao no roteador principal. Figura 11. Exibio do retorno do comando show running-config Com este nvel de acesso a um dispositivo to importante, as possibilidades de ataques so inmeras, desde a reconfigurao do equipamento, redirecionamento de trfego para captura de senhas, ataques de negao de servio, insero de backdoors de IOS, etc.. Obteno de acesso administrativo ao Firewall CheckPoint

Dentro de uma rede um dos dispositivos que com certeza ser mais desejado o firewall, devido ao seu alto nvel de importncia para toda infraestrutura. Como o perfil do usurio derek-ho era de administrador do domnio, foi possvel obter acesso total e irrestrito ao firewall. O servidor em questo trata-se do IP 10.0.0.4. As imagens a seguir ilustram o acesso ao servidor e ao gerenciamento de regras. Figura 12. Exibio das informaes de interfaces de rede. Atravs de consultas as configuraes obtidas previamente no roteador, verificamos que o firewall tambm o gateway do roteador principal, ou seja, todo o trfego interno e de outras redes passam atravs deste host, inclusive trfego destinados a internet. Um atacante poderia instalar nesse host ferramentas de sniffing para capturar todo o trfego da rede (acesso a aplicaes, senhas, etc.). Alm de poder configurar regras para liberar seu acesso aos sistemas internos. O firewall sendo comprometido compromete a segurana de toda a infraestrutura. As imagens a seguir ilustram o acesso a console de administrao do CheckPoint. Figura 13. Exibio do editor de regras no firewall Figura 14. Exibio da regra que libera o acesso ao terminal services no horrio comercial Obs: A existncia desta regra foi a que nos permitiu utilizar o terminal service para entrar na rede interna. Figura 15. Exibio da funcionalidade de configurao dos acessos VPN Obteno dehashsdos passwords dos usurios do AD

Atravs do acesso privilegiado utilizamos uma tcnica para capturar os hashs das senhas de todos os usurios que ficam armazenados no Active Directory. Para realizar esta tarefa utilizamos uma ferramenta chamada fgdump que coleta remotamente os dados. Foi utilizada a seguinte sintaxe: fgdump.exe s r v v k l logs.log T 3 h 10.0.0.10 u homer\tabajara p 87654321 As imagens a seguir ilustram a captura dos hashs: Figura 16. Captura dos hashs no servidor 10.0.0.10 Figura 17. Hashs dos usurios cadastrados no AD

AGORAX
Relatrio de PENTEST no ambiente externo do Tabajara Futebol Clube
Com este procedimento foi possvel obter os hashs de 7981 usurios que no momento dos testes estavam cadastrados no AD. De posse destes dados, o prximo passo tentar obter os valores das senhas, desta forma utilizamos dois tipos de ataques. O primeiro ataque foi baseado em fora bruta, onde atravs deste conseguimos obter os valores reais de centenas de senhas. As imagens a seguir ilustram o ataque. Figura 18. Ataques de fora bruta O segundo ataque tambm foi baseado em fora bruta, porm utilizamos o conceito de Rainbow Tables, que se trata de um mtodo que funciona pr-computando um dicionrio com senhas comuns ou com todas as possibilidades de senhas at um nmero determinado de caracteres, desta forma este tipo de ataque costuma ser bem mais rpido e eficiente que os ataques baseados em tentativas e erro. Utilizamos uma ferramenta chamada Ophcrack com uma Rainbow Tables alfanumrico de 32 GB, onde juntando os resultados dos ataques conseguimos obter no total o valor de 705 senhas. As imagens a seguir ilustram o ataque. Figura 19. Ataques de fora bruta utilizando Rainbow Tables Com os resultados destes ataques conseguimos quebrar tambm senhas de alguns usurios com perfil de administrador do domnio e administrador de esquema, que tratam-se dos grupos mais poderosos em termos de privilgios no sistema, a tabela a seguir ilustram alguns deles: Tabela 8. Senhas de alguns administradores da rede Obs: Todas as senhas obtidas atravs deste procedimento encontram-se disponveis nos anexos deste documento. Os procedimentos aqui apresentados representam de forma real o que um atacante hoje a partir da Internet conseguiria obter de informaes e de nvel de privilgio caso o mesmo tivesse a motivao necessria. Recomendaes Apesar dos ataques exibidos acima, todos eles encontram-se na categoria de uso e reuso de credenciais frgeis, desta forma a melhor forma de mitigar tal vulnerabilidade seria atravs da implantao de uma poltica de senhas fortes conforme foi detalhando um procedimento no item 3.2. Destaca -se ainda o uso de credenciais padro no ativo de rede ( Cisco Router), existem tecnologias de controle de acesso como o Cisco ACS e Radius/TACACS+ que aumentam consideravelmente o nvel de segurana do processo de autenticao destes equipamentos. Tambm se recomenda utilizar o protocolo SSH ao invs do Telnet, uma vez que este ultimo realiza doas as transaes em texto limpo (clear text). Fazer uma validao dos perfis no AD de forma a garantir um maior controle de quais usurios que podem efetivamente ter acesso ao recurso. Deve-se levar em considerao ainda a importncia de monitorar ativamente o servio.

3.7

Vazamento de informaes de dados cadastrais de clientes no Portal Tabajara Futebol Clube

Durante os testes de intruso na aplicao do portal (http://www.tabajarafutebolclube.com.br), foi possvel encontrar uma falha no sistema de controle de acesso, que quando explorada permite a um atacante obter dados pessoais de cadastros dos clientes que utilizam o portal. Ao acessar a URL http://www.tabajarafutebolclube.com.br/cms/index.php?i=263&pesquisar=true&pagina=2, a aplicao redireciona o navegador do usurio para uma interface de autenticao, e no exibe os dados de tal pgina. Este o comportamento esperado, uma vez que tal requisio no est autenticada. Figura 1. Pgina de autenticao do CMS
www.agorax.com.br pg. 15 / 18

Apesar da pgina requisitada originalmente no ter sido exibida, descobrimos que os dados so carregados no navegador (em background), porm, no so exibidos. Sendo assim com o uso de um ferramenta de proxy de aplicao (application proxy), possvel extrair estas informaes. A imagem a seguir ilustra. Figura 2. Extrao de dados com o uso de um application proxy Manipulando os parmetros da URL exibida, possvel obter dados de centenas de usurios. Exemplo de informao coletada. Nome completo: XXXX Email: xxxx@hotmail.com Telefone: (11) xxxxx-xxxxx Endereo: R. Xxxxx CEP: xxxxxxxxx-000 Mensagem: Gostaria de saber quando ser o lanamento e ser avisada, e se possvel ter uma idia do preo da soluo, estou muita interessada, e j mandei outras mensagens anteriormente. Desde j grata! Com este tipo de informao, atacantes podem utiliz-las para vender a empresas concorrentes, utilizar para disseminao de falsas propagandas e contedo malicioso. Recomendaes Recomenda- se que sejam realizados ajustes no cdigo da aplicao visando realizar validaes mais rigorosas no sistema de gerenciamento de sesso e controle de acesso, de forma a evitar com que usurios sem privilgios obtenham acesso a este tipo de informaes.

3.8

Portal vulnervel a ataques de Cross Site Scripting Refletido

Assim como grande parte dos ataques clssicos contra aplicaes Web, o Cross Site Scripting ou simplesmente XSS acontece devido ausncia de validao da entrada de dados e parmetros oriundos dos usurios do sistema. A explorao da vulnerabilidade, consiste em injetar cdigos HTML/Java Script na aplicao de forma que estes cdigos sejam posteriormente executados sobre o contexto do browser do usurio. O fato do mesmo ser refletido significa apenas que a aplicao no armazena os cdigos inseridos pelo atacante, sendo necessrio que o mesmo envie uma URL maliciosa para o usurio atravs de tcnicas de engenharia social (phishing, instant message, etc). Durante anlises na aplicao do portal, foi verificado que algumas pginas esto vulnerveis a Cross SiteScripting refletido. A seguir destacamos as evidncias. URLs vulnerveis: http://www.tabajarafutebolclube.com.br/imovel/54 http://www.tabajarafutebolclube.com.br/skyfalls/publicos/mar_aberto_skyfall.php? heigh t=300&width=770&cod=3948a6f&codigo=35 Exemplo de explorao Para entender como funciona o ataque, foi injetado na URL um cdigo javascript e HTML para exibir um alerta para o usurio e inserir uma informao falsa na pgina. As imagens abaixo ilustram. Cdigo injetado: http://www.tabajarafutebolclube.com.br/imovel/54</title></head><script>alert('Vulneravel')</scrip t><c enter><br><h1><font color=red>Pgina Falsa</font></h1></center> Figura 1. Execuo do script na pgina Figura 1.2. Insero de contudo falso na pgina. O ataque descrito acima pode ser utilizado em ataques de phishing onde o atacante se aproveita da vulnerabilidade que existe na aplicao para obrigar o usurio a lhe passar informaes como senhas, cartes de crditos, entre outros. Como o ataque seria utilizando a infraestrutura da aplicao, os usurios seriam mais facilmente enganados a fornecer os dados. Tambm possvel utilizar desta

AGORAX
Relatrio de PENTEST no ambiente externo do Tabajara Futebol Clube
falha para executar scripts maliciosos no navegador do usurio. Recomendaes Uma boa prtica no desenvolvimento de aplicaes web garantir que todos os dados sob controle de usurio passem - antes de serem processados - por um obrigatrio e rigoroso processo de validao. Esse processo deve garantir que caracteres perigosos sejam removidos ou substitudos antes de serem inseridos em consultas SQL ou em exibies de contedos dinmicos. No caso especfico de Cross Site Scripting, deve -se evitar a insero de tags HTML, impedindo principalmente a insero dos caracteres < e > e suas variaes de encoding. Vale reforar que, na exibio, devem-se substituir os seguintes caracteres pelos seus HTML entities correspondentes: HTML Caracter Entities Caractere "por &quot; Caractere ' por &apos; Caractere & por &amp; Caractere < por &lt; Caractere > por &gt;

Concluses

A realizao deste PENTEST possui diversas caractersticas importantes, uma delas trazer a possibilidade da organizao entender e validar sua segurana perante o mundo externo e quais so os riscos iminentes que seu negcio corre uma vez que brechas ou falhas sejam identificadas e exploradas por terceiros. Durante este trabalho, acreditamos que uma das principais mudanas a ser considerada est relacionada com a disseminao do valor e a responsabilidade que cada colaborador possui com a informao (credenciais, documentos, metodologias, etc.) quando utiliza os sistemas da organizao. Em contra partida, papel da organizao prover e promover os meios e recursos necessrios para que os colaboradores faam uso de conceitos importantes de segurana (criptografia de dados, sistemas atualizados, politicas de segurana, etc.). Alm do fator humano, obviamente o fator tecnolgico de grande valia na luta para trazer e manter a segurana das informaes que em ltima anlise so o principal ativo das organizaes. Deste modo, trazemos algumas sugestes de melhoria que podem ser adotadas como prximos passos visando aumentar o nvel de segurana para o Tabajara Futebol Clube. Realizar gesto de vulnerabilidades constantemente na infraestrutura de TI (servidores, dispositivos de redes e principais sistemas) Realizar anlises de segurana periodicamente nas aplicaes Web. Realizar auditorias na poltica de senhas. Monitorar sistemas crticos de forma a detectar aes maliciosas diferente de vrus, worms, etc. Realizar anlises e correlao de logs e eventos. Adotar uma ferramenta de deteco de intrusos. Realizar periodicamente anlises de perfis de usurios no AD. Implementar o uso de criptografia para transaes na rede. Adotar procedimentos de cifragem de arquivos, e-mails e documentos que contenham informaes sensveis. Realizar pelo menos trs testes de intruso durante o ano.
pg. 17 / 18

www.agorax.com.br

Anexos
5.1 Credenciais obtidas atravs de password cracking.