Escopo de uma Análise de Vulnerabilidades: O que incluir?

Antes de mais nada, uma distinção rápida: Análise de Vulnerabilidades é realizada na própria rede da empresa, onde é feita uma varredura à procura de vulnerabilidades no ambiente, sem a interferência de firewalls ou roteadores com ACL's (Access Lists). Muitas vezes também são realizados testes locais no equipamento e algum tipo de ferramenta faz o levantamento da configuração do referido sistema. Isto é diferente de um Teste de Invasão, que normalmente é realizado a partir da Internet (embora em alguns casos seja feito a partir de um determinado segmento de rede interno), e tem por principal característica a realização de testes SEM o conhecimento prévio do ambiente e com o maior número possível de dispositivos de segurança ativos (até para poder testar sua eficácia).

Projetos de análise de vulnerabilidades baseados tanto em ferramentas automatizadas (Internet Scanner, Nessus, etc) quanto em verificações manuais (permissões, configurações em geral, etc) devem abranger a maior quantidade possível de dispositivos, sistemas operacionais, bancos de dados, etc.

Mas afinal de contas o que deve estar incluído no escopo? Muitas vezes a companhia não tem recursos suficientes para executar esta tarefa em casa e acaba optando pela contratação de uma consultoria especializada. E normalmente, estas consultorias cobram de acordo com a quantidade de dispositivos a serem testados. Por este motivo, surge sempre a dúvida em relação ao que incluir nestes testes.

Além dos servidores críticos (sim, acredite, uns são mais críticos que outros) e dos bancos de dados, segue uma breve lista com alguns "targets" interessantes e que normalmente são deixados de fora em um trabalho desta natureza (obviamente a lista não esgota todas as possibilidades, mas já é uma bom começo):

• Desktops. De que adianta proteger os servidores se as máquinas dos usuários, que muitas vezes realizam atividades administrativas na rede estão desprotegidos? Inclua máquinas que representem um padrão específico de configuração (exemplo: caso haja configuração idêntica para todas as máquinas de RH, não é necessário testar todas. O mesmo vale para desktops/laptops de TI, Produção, Vendas, etc).
• Impressoras. É isso mesmo. Não se esqueça que existe um sistema operacional na impressora, muitas vezes com um webserver para configuração do equipamento, além de ter um filesystem que poderia, por exemplo, ser usado para armazenar imagens pornográficas, músicas ou programas piratas, etc.
• Access Points. É impressionante a quantidade de equipamentos DLINK, TPLINK, etc, com configuração "default", com usuário "admin", senha "admin". Configuração aberta ou utilizando o protocolo WEP? My goodness...
• Servidores de FAX. Dá pra pensar inclusive em testes de wardialing. O que tem de servidor HP-UX e outros tipos de Unix com placas de modem ativas... Mas o que um servidor de FAX pode ter de tão arriscado? Não sei, eu é que pergunto. Que tipo de informação trafega por este tipo de equipamento?
• Centrais Telefônicas. Pois é. Há alguns anos atrás (não tantos assim), me deparei com uma central telefônica da Nortel (especificamente uma Alcatel 4400), cujo sistema operacional era um tal de Chorus/Mix, que nada mais era do que uma versão modificada de Unix System V, inclusive com as mesmas falhas de segurança das versões antigas de Unix. Um verdadeiro queijo suiço e em uma central telefônica. A coisa era tão grave que dava para usar o famoso comando: # rm -rf / (não tente isso em casa...).
• Mainframe. Telnet? FTP? Pois é, colocaram IP no mainframe...

A pergunta é: Tem IP? Se tem, são grandes as chances de eventuais explorações de vulnerabilidades. Aliás, imagine quando as cafeteiras estiverem conectadas à internet (com IP), rodando algum tipo de Windows Coffee Mobile e podendo ser configuradas remotamente? E torradeiras? E os carros com seus sistemas operacionais FiatOS, GeneralM_OS, FordOS, Hyundai Operating System? Ou pior, se estiverem rodando algum tipo de Linux ou WCMS - Windows Car Mobile System (se usarem, quero royalties)?

Eu costumava brincar em treinamentos com a seguinte teoria: Tem IP? E pior, está roteando na rede corporativa? Entonces...