• Aucun résultat trouvé

La dichotomie du temps réel et du temps différé

1.3 Glissement sémantique vers la fonction musicale Philippe Manoury rappelait dans un article récent – Considérations (toujours

1.3.2 Le temps réel comme passerelle vers l’instrumental

Seguidamente serão descritos os falsos positivos encontrados através de ferramentas especializadas o através de verificação manual.

 SQL Injection

Foram realizados testes com a ferramenta “Sqlmap” tendo como resultado a verificação de falsos positivos, com exceção da vulnerabilidade encontrada na aplicação inoERP explicada no ponto anterior.

 Cross Site Scripting

Foram realizados testes com a ferramenta “XSSER” tendo como resultado a verificação de falsos positivos.

 Remote File Inclusion

Foram realizados testes com a ferramenta “Fimap” tendo como resultado a verificação de falsos positivos.

69  Remote OS Command Injection

Foram realizados testes com a ferramenta “Commix” tendo como resultado a verificação de falsos positivos.

 Private IP Disclosure

A vulnerabilidade Private IP Disclosure é um falso positivos já que o sistema deteta endereços IP públicos já que os testes foram realizados numa rede interna.

 Possible Social Security Number Detected

Foram realizadas revisões manuais e os dados não correspondem a possíveis números de segurança social.

 Possible Social Insurance Number Detected

Foram realizadas revisões manuais e os dados não correspondem a possíveis números de seguros.

 Possible Credit Card Data Detected

Foram realizadas revisões manuais e os dados não correspondem a possíveis números de cartões de crédito.

 Possible Source Code Disclosure

Foram realizadas revisões manuais e os dados não correspondem a dados sensíveis que posam comprometer a segurança da aplicação.

 Email Addresses Found

Foram realizadas revisões manuais e os dados não correspondem a possíveis endereços de email.

A seguinte lista de vulnerabilidades são falsos positivos já que as configurações indicadas devem ser realizadas no servidor e no navegador web e não na própria aplicação web. É importante que depois de serem ativadas seja avaliado o impacto já que podem dificultar ou interromper o correto funcionamento da aplicação.

70  X-Frame-Options Header Not Set

 Directory Browsing

 Web Browser XSS Protection Not Enabled  Password Autocomplete in browser  X-Content-Type-Options Header Missing  Cookie set without HttpOnly flag

 Cleartext Password over http

 Session Cookie Without Secure Flag  Local Filesystem Paths Found

71

Capitulo 5. Conclusões

O software open-source apresenta-se cada vez mais como uma alternativa viável para as organizações, que tiram partido do mesmo, definindo os seus próprios sistemas de informação e implementando os seus próprios processos de negócio. Um caso muito particular deste caso de sucesso da utilização do open-source nas organizações são as aplicações web, que permitem a implementação de aplicações empresariais, como é o caso de sistemas de gestão e conteúdos (CMS), sistemas de relacionamento com os clientes (CRM), sistemas de gestão de recursos das organizações (ERP) e até mesmo comércio eletrónico.

Ao contrário do software comercial, estas aplicações são normalmente desenvolvidas e mantidas por um conjunto de programadores, que podem ter o suporte de uma empresa, mas cujo desenvolvimento é bastante distribuído. No caso de software comercial, os programadores e as empresas que desenvolvem este tipo de software, normalmente, aderem a boas práticas de qualidade, que levam a que os produtos finais sejam estáveis e seguros. Este é precisamente a questão central de investigação deste trabalho, isto é, perceber até que ponto as aplicações web open-source, são ou não seguras para utilização por parte das organizações.

Assim, e para procurar dar resposta a esta questão, este trabalho recorreu a uma metodologia baseada em testes de intrusão/penetração realizados num ambiente de caixa negra, para determinar a existência ou não de vulnerabilidades de segurança num conjunto de aplicações web open-source, devidamente selecionadas de acordo com a sua tipologia e com a sua relevância no mercado. Estes testes foram realizados em laboratório, através da virtualização das diversas aplicações, devidamente isoladas, recorrendo-se a ferramentas automáticas de deteção de vulnerabilidades de segurança em aplicações web. Foram analisados os resultados dos cerca de 63 testes realizados, 24 dos quais correspondentes a testes realizados com ferramentas de auditoria automática geral e 39 correspondentes a testes realizados com ferramentas especializas em certas vulnerabilidades.

72 Uma das conclusões mais interessantes deste trabalho é de que a maioria das aplicações web que foram selecionadas para teste são efetivamente seguras, o que nos permite responder à nossa questão de investigação de que as aplicações web open-source apresentam um nível de segurança bastante elevado, como comprovam os resultados de quase zero porcento de vulnerabilidades detetadas e confirmadas. Importa salientar que a maioria das aplicações avaliadas contam com o suporte de grandes empresas, patrocinadores e/ou de uma comunidade de colaboradores muito experientes, que tem como por exemplo os seguintes clientes: Citibank, CNN, UPS, Time, Harvard University, Government of Georgia, entre outras.

Uma outra conclusão interessante deste trabalho tem a ver com o facto de que as ferramentas automáticas de auditoria que foram usadas neste trabalho (open-source) geram como resultado uma elevada quantidade de falsos positivos. Isto acaba por ser penoso para o auditor que tem que confirmar manualmente todas as vulnerabilidades que foram identificadas posteriormente, para verificar se as mesmas se confirmam ou não.

Uma contribuição interessante do presente trabalho, prende-se com o facto de que foi possível identificar e corrigir duas vulnerabilidades “zero-day”, uma delas de alto risco (SQL Injection) no software “inoERP”. Ambas as vulnerabilidade foram devidamente comunicadas e confirmadas pelo administrador do software e serão corregidas numa próxima versão da aplicação. No entanto, gostaríamos ainda de realçar, que continua a existir um problema de comunicação entre a comunidade que efetua auditorias de segurança e a comunidade de desenvolvimento de aplicações – durante o trabalho realizado existiu alguma dificuldade em notificar possíveis vulnerabilidades aos administradores das aplicações web, especificamente nos meios de contacto e nos tempos de resposta dos mesmos.

Para finalizar esta conclusão, é igualmente importante reconhecer uma limitação importante do trabalho realizado. O recurso a ferramentas automáticas de auditoria, apesar de facilitar o trabalho do auditor, para além de gerar um conjunto elevado de falsos positivos, não elimina por completo o facto da existência ou não de uma vulnerabilidade. Ou seja, o facto de uma ferramenta automática não detetar nenhuma vulnerabilidade, não significa diretamente que não exista, de facto, nenhuma

73 vulnerabilidade – pode apenas significar que a ferramenta em causa não a consegui detetar. Por isso, e para minimizar este risco, este trabalho recorreu a diversas ferramentas de auditoria, que foram usadas sequencialmente para testar as aplicações web, reduzindo por isso mesmo o risco de vulnerabilidades não serem corretamente identificadas.