Vous êtes sur la page 1sur 42

PONTIFCIA

UNIVERSIDADE CATLICA DO RIO GRANDE DO SUL


FACULDADE DE INFORMTICA
PROGRAMA DE PS-GRADUAO EM CINCIA DA COMPUTAO











Um Mapeamento Sistemtico sobre Testes de
Penetrao

Daniel Dalalana Bertoglio, Avelino Francisco Zorzo
















Relatrio Tcnico: no 084.
Setembro de 2015.


SUMRIO

Dentro da rea de segurana da informao, as pesquisas envolvendo tcnicas
para testes de segurana de ambientes corporativos, redes e sistemas tem
apresentado grande variedade nas suas contribuies. Dessa forma, a
compreenso de como metodologias e ferramentas de testes de segurana tem
sido modernizadas e evoludas, principalmente no mbito de Testes de
Penetrao (Pentest), torna-se uma tarefa complexa e essencial. O principal
objetivo deste trabalho fornecer um overview sobre a rea de Pentest,
apresentando seus cenrios de aplicao, modelos, metodologias e ferramentas a
partir dos trabalhos que foram publicados. Nesse sentido, este trabalho pode
ajudar pesquisadores acadmicos e interessados na rea de segurana a
entender os aspectos e solues relacionadas a Pentest. Para isso, um
mapeamento sistemtico foi realizado com uma coleta inicial de 1019 artigos,
representados por 964 artigos distintos que foram avaliados e ao final 50
estudos primrios foram selecionados para serem analisados de modo
quantitativo e qualitativo. Como resultado, foram classificadas ferramentas e
metodologias que so utilizadas no contexto de Pentest, alm de relacionar os
principais cenrios nos quais tais metodologias e ferramentas so aplicadas.
Assim, possvel concluir que juntamente a rea de segurana da informao
como um todo, o tema Pentest tem tomado frente em grande parte das
pesquisas, gerando contribuies e trabalhos de maneira significativa.

Palavras-chave: Testes de Penetrao, Mapeamento Sistemtico, Testes de
Segurana


1. INTRODUO

Os riscos de segurana para empresas, organizaes e entidades que trabalham
com dados sensveis, sejam eles pblicos ou no, mais que evidente. Muitas
vezes, tais empresas so incapazes de compreender a extenso das estruturas de
comunicao complexas de hoje e efetuam pouco ou at nenhum controle sobre
elas [1]. Alm disso, esse fator de risco ainda maior quando as aplicaes esto
voltadas para o contexto web. Riscos que no so controlados potencializam
ataques a segurana, que por sua vez implicam em perdas considerveis. O uso
de tcnicas para testes de segurana, ento, tarefa essencial para os cuidados
referentes a esses riscos [2].

Uma das tcnicas conhecidas para isso o Teste de Penetrao (Pentest).
Pentest a tentativa controlada de penetrar um sistema ou rede a fim de
detectar vulnerabilidades. Ela emprega as mesmas tcnicas que so utilizadas
em uma ataque propriamente dito. Essa alternativa permite que sejam tomadas
medidas adequadas para eliminar as vulnerabilidades antes que possam ser
exploradas por terceiros no autorizados [3].

O processo de um Pentest se subdivide, normalmente, em atividades
como: coleta de informao sobre o sistema alvo; escaneamento do sistema alvo
e descoberta dos servios; identificao de sistemas e aplicaes; descoberta de
vulnerabilidades e explorao de vulnerabilidades [4]. Para uma empresa, este
processo aplicado visando objetivos variados, como o natural aumento da
segurana dos sistemas, identificao de vulnerabilidades, teste da equipe de
segurana da empresa alvo e at mesmo o aumento da segurana organizacional
e de pessoas.

Ainda nesse sentido, a aplicao do Pentest pode ser classificada em
critrios como [3]:

Base de informaes: nvel de conhecimento sobre a empresa antes da
execuo do Pentest.
Agressividade: nvel de aprofundamento do tester, variando entre
apenas identificar as vulnerabilidades at a explorao de todas as
vulnerabilidades detectadas.
Escopo: define o escopo do Pentest, se determinado para um ambiente,
abrangente ou limitado.
Abordagem: trata o mtodo de execuo do Pentest quanto a gerao de
rudo no ambiente.
Tcnica: quais as tcnicas e metodologias usadas no Pentest.

A completude de um teste de penetrao, enquanto tcnica para avaliao
de segurana, robusta o suficiente para fornecer um nvel de segurana no
mnimo adequado e em um nvel de detalhe alto em respeito a fraquezas do alvo.
Inerente as atividades e critrios do Pentest, existem ainda as preocupaes
legais da execuo e aplicao de um teste de penetrao dentro de uma empresa
ou ambiente, aspectos que devem ser levados fortemente em considerao.

Este trabalho apresenta um Mapeamento Sistemtico (Systematic
Mapping Study - SMS)[5], conduzido para mapear o campo de Pentest, visando
encontrar evidncias que podem ser usadas para aperfeioar as pesquisas da
rea. Alm disso, visa identificar tendncias de pesquisa, metodologias, cenrios
e ferramentas de uso.

Considera-se SMS um estudo secundrio realizado a fim de encontrar e
agregar evidncias disponveis sobre um tema especfico. Portanto, ele fornece
uma viso geral de uma rea de pesquisa, identifica a quantidade, qualidade, tipo
de pesquisa e os resultados disponveis. A motivao para execuo deste SMS
aprofundar o conhecimento sobre os metodologias, cenrios e ferramentas que
esto no contexto de Pentest. Dessa forma, este estudo pode servir como base
para outros, uma vez que os resultados identificam as respostas relacionadas a
estes modelos e ferramentas disponveis que so utilizados, alm dos cenrios de
execuo em questo. Prov tambm a discusso sobre os desafios da rea,
relacionando as tendncias e identificando lacunas para futuras pesquisas. A
principal contribuio fornecer um overview sobre as pesquisas e trabalhos
desenvolvidos sobre o tema de Testes de Penetrao.


2. PESQUISAS RELACIONADAS

Nos ltimos anos, a rea de Pentest tomou boa representatividade nas pesquisas
aplicadas em Segurana da Informao. Contudo, poucos so os estudos de
mapeamento, survey ou com carter de overview dentro do campo.

Em [6], apresentado um survey voltado a teste de penetrao web,
discutindo metodologias e comparando ferramentas de escaneamento de
vulnerabilidades, alm do levantamento de trabalhos que contm novas
propostas de mtodo ou ferramentas direcionados a Pentest. Este trabalho
apresenta uma seleo de estudos primrios identificados a partir de trs vises:
artigos que comparam mtodos e ferramentas existentes, artigos que propem
um novo mtodo ou ferramenta e estudos que propem ambientes de teste para
o processo. Inicialmente a pesquisa apresenta um comparativo de 13
ferramentas de escaneamento, com licena Open-source, avaliando os critrios
referentes a estrutura (interface grfica, configurao, usabilidade, estabilidade e
performance) e a funcionalidades (spider, manual crawl, anlise de arquivo,
logging e relatrio). Uma comparao em relao aos mesmo critrios efetuada
tambm com 7 ferramentas de escaneamento com licena comercial, avaliando
conceitualmente a aplicao das mesmas. Em geral, os autores nortearam suas
contribuies principais em torno da relao entre o funcionamento das
ferramentas de descoberta de vulnerabilidades e seus cenrios de aplicao,
ambientes alvo, limitaes e completude.

J em [7], de forma mais abrangente, a pesquisa direcionada para a
discusso sobre as tcnicas de teste de segurana existentes. O artigo disserta
sobre Pentest considerando as seguintes outras tcnicas de teste de segurana:
Fuzz Testing, Binary Code Analyses e Vulnerability Scanning. Conceitualmente o
autor trata Pentest como Ethical Hacking e ressalta a diviso dos tipos de Pentest
entre black-box, white-box e gray-box.

Em [8], o artigo trata as mincias em testes de penetrao, discutindo
sobre a interpretao correta dos resultados de um Pentest e reiterando a
necessidade de anlises detalhadas acerca das atividades que o compem. Da
mesma forma de pesquisa terica, [9] apresenta as principais abordagens e
opinies sobre Pentest em um artigo que representa grande parte das citaes
atuais de pesquisas da rea em virtude da sua consolidao.


3. PLANEJAMENTO DO SMS

Em particular, a ideia de realizar um mapeamento sistemtico estruturada com
o intuito de identificar e investigar uma determinada rea de pesquisa, neste
caso, direcionada a Testes de Penetrao. Em contraponto ao mtodo de Reviso
A SYSTEMATIC MAPPING STUDY ON MODEL-BASED TESTING 5
Sistemtica [10], que alm da identificao visa tambm analisar, avaliar e
interpretar todas as pesquisas disponveis para uma questo determinada, o
Software Engineering. Therefore, our process is divided in three phases (see Figure 1): Planning,
Mapeamento Sistemtico fornece uma abordagem mais abrangente e concisa em
Conduction
relao aos and Reporting.
estudos The SMS
primrios planning ispdescribed
existentes in this
ara o tema section, the study conduction is
investigado.
presented in Section 4 and the SMS results are discussed in the Section 5. It is important to notice
that eachPara tal objetivo, este SMS segue o processo proposto por Petersen et al.
phase has two activities and each activity in turn results in an artifact. As shown in Figure 1
[5], conforme ilustrado na Figura 1.
the final artifact of the process is the systematic map.

Planning Conduction Reporting

Definition of the Definition of Keyworking Data Extraction and


Conduct Research Screening of Papers
Protocol Research Question Relevant Topics Mapping

Classification
Protocol Review Scope All Retrieved Relevant Papers Systematic Map
Scheme
Papers

Legend:


Phase Activity Artifact

Figura
Figure1. Processo do mMapping
1. Systematic apeamento sistemtico
Studies Process [5] [5].

O processo demonstrado na Figura 1 dividido em trs grandes fases que
contm
3.1. Scopesubatividades:
and Objective Planejamento (Planning), Conduo (Conduction) e
Apresentao (Reporting). O Planejamento do Mapeamento Sistemtico
In this SMS,
descrito we focus
nesta on enquanto
seo identifying the a main contributions
Conduo to the MBT field
apresentada and to provide
na seo an
4 e os
resultados
overview about so
the discutidos
processes, models na seo
and tools5. from
As several
atividades dentro
works that de cada
were produced fase
from Januarydo
processo resultam em um artefato, totalizando assim dois artefatos por fase.
2006 to December 2013 (inclusive). Therefore, this SMS is intended to provide a broad overview

on MBT works, presenting the main tools used to support MBT, in which domains MBT is applied
3.1. Escopo e Objetivo
and what are the models or notations used. These results can provide a comprehensive overview to
Neste SMS, test
researchers, o engineers
foco est
and em
testidentificar
analysts about as MBT,
principais contribuies
its process, supporting tools, em and
relao
modeling a
Testes de Penetrao e prover um overview sobre modelos, metodologias e
notations.
ferramentas utilizadas neste campo de estudo. Deste modo, esta pesquisa
destina-se em fornecer o embasamento necessrio, de forma abrangente, sobre o
3.2. Question Structure
processo de Pentest e sua estrutura em geral. Os resultados podem permitir uma
We structure our research question based on PICO [13] (Population, Intervention, Comparison,
Outcome) criteria:

Population: Published research papers on Software.


anlise e viso compreensivas para pesquisadores, analistas de segurana e
demais profissionais correlacionados atravs da discusso sobre tais modelos,
metodologias e ferramentas.

3.2. Estrutura da Questo

A questo de pesquisa deste SMS estruturada baseada nos critrios PICO [10]
(Population, Intervation, Comparison, Outcome):

Populao (Population): artigos de pesquisa publicados em Segurana da
Informao.
Interveno (Intervention): Testes de Penetrao.
Controle (Comparison): No aplicado.
Resultados (Outcome): Tipo e quantidade de evidncias relativas a
abordagens de Testes de Penetrao, a fim de identificar as ferramentas,
modelos, metodologias, cenrios e principais desafios da rea.

3.3. Questes de Pesquisa

Foram definidas as seguintes questes de pesquisa:

RQ1. Quais so as principais ferramentas utilizadas em Pentest?
RQ2. Quais os cenrios de execuo de Pentest?
RQ3. Quais os modelos para ferramentas de Pentest?
RQ4. Quais os principais desafios em Pentest?

3.4. Processo de Pesquisa

3.4.1. Bases de Dados. Para executar a pesquisa foram selecionadas as bases de
dados que (1) contm uma engine de busca na web; (2) contm um mecanismo
de busca habilitado a usar palavras-chave; e, (3) contm artigos da Cincia da
Computao. A seleo inclui ACM Digital Library, IEEE Xplore, SCOPUS e Springer
Link*.

3.4.2. Termos e Sinnimos. Foram utilizadas as questes estruturadas (ilustrada
na Tabela I) para a construo das strings de busca.






* dl.acm.org;ieeexplore.ieee.org; scopus.com; link.springer.com
Tabela I. Definio das Strings de Busca
Estrutura Termos Sinnimos
Populao Security Information

Interveno Penetration Test Pentest


Penetration Testing

Pentesting

Resultados Tool Tools

Software

Suite

Model Process

Methodology

Standard

Framework

Environment Context

Challenges Open reserch topics

Open problems


3.4.3. String. Foi utilizado o operador booleano "OR" para selecionar
alternadamente palavras e sinnimos, e o operador booleano "AND" para
selecionar os termos para populao, interveno e resultados (descrito na
Figura 2).

(("penetration test" OR "penetration testing" OR
"pentest") AND (tool OR tools OR software OR suite)
AND (model OR process OR framework OR methodology OR
standard) AND (environment OR context) AND ("open
research topics" OR challenges OR "open problems"))
Figura 2. String de busca



3.5. Critrios de Incluso e Excluso

Uma das atividades essenciais durante o planejamento do SMS a definio dos
Critrios de Incluso (IC) e dos Critrios de Excluso (EC). Tais critrios so
responsveis por apoiar a seleo dos artigos apropriados e so empregados
para reduzir o nmero de artigos que retornam das engines de busca. Por
exemplo, se um artigo classificado em apenas um IC, ser includo como um
estudo primrio e se o artigo associado com apenas um EC, ser excludo. Neste
SMS os critrios de incluso e excluso foram definidos como:

IC1. O estudo principal discute sobre uma ou mais ferramentas dentro do
processo de Pentests;
IC2. O estudo principal prope um
modelo/processo/framework/metodologia de Pentest;
EC1. O estudo principal no est relacionado diretamente a Pentests;
EC2. O estudo apresenta algum
modelo/processo/framework/metodologia de Pentest, mas no fornece
informaes suficientes sobre seu uso.
EC3. O estudo no contm algum tipo de avaliao para a demonstrao
de resultados, tais como: estudo de caso, experimentos ou exemplos de
utilizao.

3.6. Critrios de Avaliao de Qualidade

A proposta dos critrios de qualidade (QA) garantir a avaliao adequada dos
estudos, como uma forma de mensurar a relevncia de cada um deles. Os
critrios de qualidades definidos so:

QA1. O estudo apresenta uma contribuio ao tema de Pentests?
QA2. Existe algum tipo de avaliao com anlise/discusso em cima do uso dos
modelos ou ferramentas de Pentest?
QA3. O estudo descreve as ferramentas ou modelos utilizados?

Para cada uma das questes dos critrios de qualidade utilizado o
seguinte score: Y (sim) = 1; P (parcialmente) = 0.5, N (no) = 0. Assim, o score
total (soma das trs questes) pode resultar em: 0 ou 0.5 (limitado), 1 (regular),
1.5 (bom), 2 (muito bom) e 2.5 ou 3 (excelente).

Baseado nisso, a classificao tem como aspectos de avaliao:

QA1. Y: a contribuio est explicitamente definida no estudo; P: a contribuio
est implcita; N: a contribuio no pode ser identificada e no est claramente
estabelecida;

QA2. Y: o estudo tem explicitamente uma avaliao aplicada (por exemplo, um
estudo de caso, um experimento, ou outro); P: a avaliao um pequeno
exemplo; N: nenhuma avaliao foi apresentada;

QA3. Y: as ferramentas ou modelos so claramente especificados; P: as
ferramentas ou modelos so ligeiramente especificados; N: ferramentas ou
modelos no podem ser identificados;

3.7. Processo de Seleo

O processo de seleo dividido em seis etapas, conforme demonstrado na
Figura 3:

Passo 1. Busca nas bases de dados. Inicialmente as strings de busca so geradas
atravs das palavras-chave e seus sinnimos. Nesse sentido, a primeira seleo
se d baseadas nos critrios de incluso e excluso citados na seo 3.5.

Passo 2. Eliminao de redundncias. Como os resultados provm de engines
de buscas diferentes, aqueles estudos que so redundantes so eliminados e
armazenados.

Passo 3. Seleo intermediria. O ttulo e o resumo de cada estudo retornado
so lidos (quando necessrio tambm so lidos introduo e concluso).

Passo 4. Seleo final. Nesta etapa todos os estudos so lidos de forma completa,
e os mesmos critrios da etapa intermediria so aplicados.

Passo 5. Eliminao de divergncias. Em caso de conflitos ou dvidas sobre os
estudos, um terceiro especialista em Pentest l os estudos e discute a incluso do
mesmo na seleo final;

Passo 6. Avaliao da qualidade. Baseado nos critrios de qualidade citados
anteriormente, a qualidade dos estudos lidos na etapa de seleo final avaliada.



Figura 3. Processo de seleo dos estudos.


3.8. Estratgia de Extrao dos Dados

A extrao de dados projetada para coletar todas as informaes necessrias
para abordar as questes de pesquisa e os critrios de qualidade. Tais
informaes envolvem:

Database: ACM, IEEE, Scopus and SpringerLink
Source: full reference conference, book, journal name
Title
Abstract
Authors
Year
Publication Type: Book Chapter, Conference, Journal, Symposium or Other
Document Type: Article, Collection, Proceeding, Periodical, Technical Report
Research Type: Empirical Study, Experimental Study, Industrial Experience, Proof
of Concepts, Opinion Papers or Theoretical
Contribution Type: Approach, Framework, Method, Methodology, Model,
Technique, Strategy or Tool
Tools: tools created or used in Pentest
Scenarios: scenarios that applying the Pentest process.
Models: models used in the Pentest process


3.9 Anlise dos Dados

Os dados foram tabulados da seguinte maneira:

Identificar as ferramentas utilizadas em Pentest e suas caractersticas
(RQ1);

Mapear os principais domnios de aplicao de Pentest (RQ2);

Enumerar os estudos selecionados por modelos ou especificaes (RQ3);

Agregar os estudos primrios selecionados pelo processo de Pentest, tipo
de pesquisa e tipo de contribuio (RQ4).


4. CONDUO

A conduo deste SMS descreve sua realizao no processo de busca baseado na
string previamente definida. Tal conduo foi iniciada em abril de 2015 e
persistiu at maio de 2015, retornando 1019 artigos no total. Nesta seo so
ainda apresentados os detalhes das etapas "Busca nas bases de dados" e
"Avaliao da qualidade".

4.1. Busca nas bases de dados

Os 1019 estudos retornados foram obtidos a partir da submisso da string de
busca para as quatros bases de dados anteriormente citadas. Com a remoo dos
55 artigos duplicados, foram lidos o ttulo e resumo de 964 artigos e
selecionados 65 que tinham qualquer relao com algum critrio de incluso.
Durante a quarta etapa todos os 65 artigos foram lidos e 3 foram descartados por
no representarem correlao direta as contribuies. Dos 62 restantes, 12
foram descartados depois da avaliao de qualidade (passo 6). A Tabela II
apresenta o total de estudos primrios resultantes de cada base de dados, o
nmero de estudos no duplicados, o nmero de estudos selecionados, a taxa de
preciso e o ndice de preciso.

Tabela II. Engines de busca, estudos recuperados, no duplicados e selecionados
Database Recuperados No Duplic. Selecionados Taxa Prec. ndice Prec.
ACM DL 140 137 8 0.0571 0.1600
IEEE Xplore 500 492 32 0.0640 0.6400
SCOPUS 121 83 3 0.0247 0.0600
Springer Link 258 252 7 0.0271 0.1400
Total 1019 964 50



4.2. Avaliao da qualidade

Os critrios de incluso/excluso citados anteriormente fornecem a base para a
discusso sobre os critrios de avaliao de qualidade que so aplicados. Tais
critrios tem como objetivo avaliar a confiabilidade dos estudos primrios. A
Tabela III apresenta a informao sobre os scores de qualidade dos estudos.
Cada estudo identificado por uma coluna ID e sua referncia apresentada na
coluna Referncia, assim como o ano de publicao. na coluna Ano. As colunas
1, 2 e 3 mostram os scores obtidos no Quality Assessment (QA). A coluna Sc
mostra o score final para cada estudo enquanto a coluna Des descreve a
classificao do estudo baseado no score. Como resultado final, possvel
verificar que os estudos selecionados foram aqueles que obtiveram score
mnimo de 1.5 pontos.

Tabela III. Scores dos estudos selecionados.
Estudos QA Qualidade Estudos QA Qualidade
ID Referncia Ano 1 2 3 Sc Des ID Referncia Ano 1 2 3 Sc Des
01 [11] Austin 2013 Y Y Y 3.0 E 26 [36] Somorvsky 2012 Y Y Y 3.0 E
02 [12] Hsu 2008 P P P 1.5 G 27 [37] Garn 2014 Y Y Y 1.5 G
03 [13] Holm 2011 P Y N 1.5 G 28 [38] Line 2008 Y P P 2.0 V
04 [14] Sklavos 2012 Y P Y 2.5 E 29 [39] Mainka 2012 Y P Y 2.5 E
05 [15] Sarraute 2011 Y Y Y 3.0 E 30 [9] Geer 2002 Y Y Y 3.0 E
06 [16] Khoury 2011 P Y N 1.5 G 31 [40] Traore 2011 Y P N 1.5 G
07 [17] Antunes 2015 Y Y N 2.0 V 32 [41] Benkhelifa 2013 P P P 1.5 G
08 [18] Xu 2012 P P Y 2.0 V 33 [42] Salas 2014 Y Y Y 3.0 E
09 [19] Shen 2011 Y P Y 2.5 E 34 [43] Bchler 2012 Y Y Y 3.0 E
10 [20] Mendes 2011 P Y P 2.0 V 35 [44] Sandouka 2009 Y P P 2.0 V
11 [21] Fong 2008 Y Y P 2.5 E 36 [45] Liu 2012 Y Y Y 3.0 E
12 [22] Williams 2012 Y Y P 2.5 E 37 [46] Masood 2011 Y P Y 2.5 E
13 [23] Bou-harb 2014 P Y Y 2.5 E 38 [47] Igure 2008 Y Y P 2.5 E
14 [24] Kasinathan 2013 P P P 1.5 G 39 [48] Khoury 2011 Y P N 1.5 G
15 [25] Xing 2010 Y P Y 2.5 E 40 [49] Leibolt 2010 P P P 1.5 G
16 [26] Antunes 2009 Y Y P 2.5 E 41 [50] Fonseca 2010 Y P P 2.0 V
17 [27] Holik 2014 Y Y Y 3.0 E 42 [51] Jajodia 2005 P P Y 3.0 E
18 [28] Avramescu 2013 Y Y Y 3.0 E 43 [52] Blackwell 2014 Y Y Y 3.0 E
19 [29] Ridgewell 2013 P P P 1.5 G 44 [53] Prandini 2010 Y Y Y 3.0 E
20 [30] Walden 2008 P Y P 2.0 V 45 [54] Dimkov 2010 Y Y Y 2.0 V
21 [31] Mink 2006 P P P 1.5 G 46 [55] Stepien 2012 Y P Y 2.5 E
22 [32] Tondel 2008 P Y P 2.0 V 47 [56] Badawy 2013 P P P 1.5 G
23 [33] Armando 2010 Y P P 2.0 V 48 [57] Curphey 2006 P P P 1.5 G
24 [34] Dahl 2006 Y Y Y 3.0 E 49 [58] Huang 2005 P P P 1.5 G
25 [35] Mclaughlin 2010 Y Y Y 3.0 E 50 [59] Doup 2010 P Y P 2.0 V
Legenda Y: Sim, N: No, P: Parcialmente, Sc: Score, Des: Descrio, G: Bom, V: Muito Bom, E: Excelente.




5. ANLISE DOS RESULTADOS

5.1 Esquemas de classificao

De acordo com o processo do mapeamento sistemtico, os modelos de
classificao so obtidos atravs da atividade Keywording Relevant Topics. Tal
atividade foi executada em dois passos: primeiramente leitura dos resumos
(introduo e concluso, quando necessrio) e identificao de palavras-chave
(keywords), conceitos e contexto da pesquisa que implica na contribuio dos
artigos, e depois anlise e combinao das palavras-chave para um
entendimento mais detalhado para os diferentes artigos. Este segundo passo
auxilia a definio de determinados aspectos para o processo do mapeamento,
onde a partir desta atividade em questo foi possvel delimitar as seguintes
facetas: I) cenrios de aplicao de Pentest, por exemplo, aplicaes web, rede e
protocolos de comunicao, bases de dados, e outros; II) tipo de pesquisa, por
exemplo, empirical study, experimental study, industrial experience, opinion
papers, proof of concept e theoretical; III) tipo de contribuio, por exemplo,
ferramenta, framework, modelo, metodologia, estratgia, tcnica ou abordagem;
IV) modelos de Pentest e suas variaes, por exemplo, OSSTMM, Owasp Testing
Guide, ISSAF, entre outros. A Tabela IV descreve os tipos de pesquisa e suas
descries detalhadas, os demais itens so auto explicativos.

Tabela IV. Tipos de Pesquisa [5].
Category Description
Experimental Study Techniques investigated are novel and have not yet been implemented
in practice. Techniques used are, for example, experiments, i.e., work
done in the lab.
Empirical Study Techniques are implemented in practice and an evaluation of the
technique is conducted. That means, it is shown how the technique is
implemented in practice (solution implementation) and what are the
consequences of the implementation in terms of benefits and
drawbacks (implementation evaluation). This also includes to identify
problems in industry.
Industrial Experience Experience papers explain on what and how something has been done
in practice. It has to be the personal experience of the author.

Opinion Papers These papers express the personal opinion of somebody whether a
certain technique is good or bad, or how things should been done.
They do not rely on related work and research methodologies.
Proof of Concept A solution for a problem is proposed, the solution can be either novel
or a significant extension of an existing technique. The potential
benefits and the applicability of the solution is shown by a small
example or a good line of argumentation.
Theoretical These papers sketch a new way of looking at existing aspects by
structuring the field in form of a taxonomy or conceptual framework.

5.2 Mapeamento

Nesta seo realizada uma avaliao qualitativa da literatura em relao as
questes de pesquisas apresentadas anteriormente. A Figura 4 apresenta um
grfico de bolha com a distribuio dos cenrios de aplicao em relao ao seu
ano de publicao, onde o tamanho da bolha descreve o nmero de estudos
relacionados em cada interseco dos eixos.


Figura 4. Bubble Plot da Distribuio dos Estudos por Cenrio e por Ano.

Dos artigos analisados, percebe-se que a distribuio por ano ressalta o
quanto o tema de pesquisa relativamente recente, uma vez que no foram
determinados filtros em relao ao ano de publicao no processo de busca.
Apenas um estudo apresenta uma diferena de mais de dez anos em relao a
busca realizada, e o mesmo no foi descartado em virtude de ser caracterizado
como um referencial primordial para este SMS. Alm disso, os estudos com o
contexto de aplicao de Pentests direcionados ao cenrio de sistemas web
podem ser identificados como emergentes e de relevncia exponencial no mbito
da rea.

Dessa forma, igualmente possvel verificar que grande parte dos
cenrios de aplicao de Pentest tem uma distribuio direcionada
principalmente a aplicaes web e a ambientes de rede. A anlise da Figura 4
est relacionada a questo de pesquisa RQ2, onde os domnios de aplicao de
Pentest so alvo da mesma. Ainda neste sentido, tais cenrios discutidos nos
artigos selecionados descrevem e citam uma srie de ferramentas que so
utilizadas diferentemente de acordo com cada contexto. Dessa forma, os
experimentos/discusses que so relatados nos artigos, descrevendo ou no as
ferramentas em questo, so variados principalmente em virtude do cenrio de
aplicao. A Figura 5, por sua vez, apresenta a relao do cenrio com o tipo de
contribuio e o tipo da pesquisa.


Figura 5. Bubble Plot da Distribuio dos Cenrios por Tipo de Pesquisa e Contribuio.

A Figura 5 ilustra a relao dos tipos de pesquisa em contraponto ao tipo
de contribuio para cada cenrio de aplicao de Pentests. Duas anlises so
essenciais baseado em tal ilustrao:

Discusso em torno de metodologias para Pentest: 14 dos estudos
primrios selecionados e analisados detm sua contribuio em torno de
metodologias. Essa reflexo incita as discusses em torno da amplitude
das metodologias existentes para a aplicao dos Pentests,
principalmente a respeito do nvel de profundidade e alvo das mesmas,
uma vez que para determinados cenrios torna-se interessante utilizar
um modelo mais direcionado para cada processo de teste de segurana.

Distribuio dos tipos de pesquisa: 34 estudos (68% do total) analisados
so caracterizados como estudos empricos. Essa caracterstica, em geral,
pode ser justificada em virtude da grande rea na qual se encontra o tema
de Testes de Penetrao. Grande parte das pesquisas em Segurana da
Informao, de um ponto de vista abrangente, tem seu direcionamento a
este tipo de pesquisa.



6. AMEAAS A VALIDADE

As principais ameaas identificadas que podem comprometer a validade do SMS
em Pentest so:

Publication bias: refere-se possibilidade de alguns artigos no serem
selecionados ou publicados porque os resultados da pesquisa ainda no
fornecerem o resultado desejado, resultados de cunho confidencial, ou porque a
pesquisa foi realizada em tpicos que no se encaixam nas conferncias e
revistas da rea.

Primary studies selection bias: em geral no se pode garantir que todos os
estudos primrios relevantes foram retornados durante o processo de pesquisa e
durante a avaliao dos mesmos. Nesse sentido os critrios de qualidade
estabelecidos, bem como a atribuio dos scores, visa mitigar tal ameaa.

Unfamiliarity with other fields: a string de busca foi definida baseada na
experincia e conhecimento dos autores, mas necessrio considerar que pode-
se no ter completamente evitado a possibilidade de que alguns termos
definidos na string de busca tenham sinnimos que no foram identificados.


7. DISCUSSO

Nesta seo so apresentadas e discutidas as respostas das questes de pesquisa.

7.1. RQ1. Quais so as principais ferramentas utilizadas em Pentest?

Depois da anlise dos artigos selecionados, foram identificadas 72 ferramentas
utilizadas em Pentest citadas ao longo dos estudos. Dentre as 72, 12 (doze) so
categorizadas como ferramentas utilizadas para Static Analysis, que uma
tcnica para anlise de segurana tal como Pentest. Estas ferramentas, por sua
vez, so contabilizadas em virtude da sua utilidade quanto a anlise e
identificao de vulnerabilidades em cdigo, tarefa importante dentro do
processo de Pentest.

Das outras 60 ferramentas identificadas, possvel perceber que a
maioria tem seu foco de utilizao para a tarefa de escaneamento de
vulnerabilidades, tratando-se ento de ferramentas utilizadas nas etapas iniciais
de um Pentest. Ainda possvel ressaltar que ferramentas de monitoramento de
trfego e do processo de invaso fazem parte tambm de uma relevante parcela
dos estudos analisados, mesmo que em um proporo menor em relao aquelas
destinadas a descoberta de vulnerabilidades.

Ao longo dos artigos analisados, 13 (treze) ferramentas so amplamente
citadas, e por essa razo so tratadas de uma forma diferencial das demais. A
Tabela V descreve as principais ferramentas utilizadas em Pentest, relacionando
para cada ferramenta seu fabricante e descrio (uso e objetivo).

Tabela V. Principais ferramentas utilizadas em Pentest.
Ferramenta Fabricante Descrio
Acunetix WVS Acunetix Tool that automatically checks web
applications for vulnerabilities such as SQL
Injections, cross site scripting, arbitrary file
creation/deletion, and weak password
strength on authentication pages.

Burp Suite Portswigger An integrated platform for performing
security testing of web applications. Its
various tools work seamlessly together to
support the entire testing process, from
initial mapping and analysis of an
application's attack surface, through to
finding and exploiting security
vulnerabilities.

WebInspect HP An automated and configurable web
application security and penetration testing
tool that mimics real-world hacking
techniques and attacks, enabling your
customers to thoroughly analyse complex
web applications and services for security
vulnerabilities.

AppScan IBM A tool that enhances web application
security and mobile application security,
improves application security program
management and strengthens regulatory
compliance. By scanning your web and
mobile applications prior to deployment,
AppScan enables you to identify security
vulnerabilities and generate reports and fix
recommendations.

Metasploit Rapid7 A tool for developing and executing
exploit code against a remote target
machine. Other important sub-projects
include the Opcode Database,
shellcode archive and related research.

Nessus Tenable Nessus is a remote security scanning tool,
which scans a computer and raises an alert
if it discovers any vulnerabilities that
malicious hackers could use to gain access
to any computer you have connected to a
network.

NeXpose Rapid7 A vulnerability scanner which aims to
support the entire vulnerability
management lifecycle, including discovery,
detection, verification, risk classification,
impact analysis, reporting and mitigation.

Nikto CIRT An Open Source (GPL) web server scanner
which performs comprehensive tests
against web servers for multiple items,
including over 6400 potentially dangerous
files/CGIs, checks for outdated versions of
over 1200 servers, and version specific
problems on over 270 servers.

Nmap - A security scanner used to discover hosts
and services on a computer network, thus
creating a "map" of the network. To
accomplish its goal, Nmap sends specially
crafted packets to the target host and then
analyzes the responses.

Paros - A Java-based web proxy for assessing web
application vulnerability. It supports
editing/viewing HTTP/HTTPS messages on-
the-fly to change items such as cookies and
form fields.

QualysGuard Qualys A popular SaaS (software as a service)
vulnerability management offering. It's
web-based UI offers network discovery and
mapping, asset prioritization, vulnerability
assessment reporting and remediation
tracking according to business risk.

WebScarab OWASP A web security application testing tool. It
serves as a proxy that intercepts and allows
people to alter web browser web requests
(both HTTP and HTTPS) and web server
replies. WebScarab also may record traffic
for further review.

Wireshark Wireshark A open source multi-platform network
protocol analyzer. It allows you to examine
data from a live network or from a capture
file on disk. You can interactively browse
the capture data, delving down into just the
level of packet detail you need.


necessrio indicar que as informaes detalhadas sobre as ferramentas
identificadas no esto presentes na maioria dos artigos. Os estudos avaliados
basicamente apresentam as contribuies relevantes e avaliaes do uso de cada
ferramenta dentro de contextos especficos juntamente ao processo de Pentest.
Dessa forma, ns tivemos que procurar as caractersticas e documentao das
ferramentas diretamente nos websites ou repositrios referentes, com o intuito
de listar as caractersticas principais.

7.2. RQ2. Quais os cenrios de execuo de Pentest?

Os resultados SMS mostram que o processo de Pentest aplicado em diversos
cenrios especficos, que por sua vez podem ser brevemente generalizados para
determinados contextos. Tais cenrios, presentes nos estudos analisados,
correspondem a: web-based applications and systems
[11][16][18][21][28][30][33][37][42][45][46][49][53][56][57][58][59], web
services [17][20][26][39][41], network protocols and devices
[12][14][15][19][23][24][25][35][9][48][51], software and desktop applications
[13][27][32][44], network game devices[29], SAML frameworks[36], physical
penetration[54], operating system[55] and process control system[38]. A Figura 4
mostra que os diferentes cenrios de execuo de pentest apresentam certa
diversidade em relao ao nmero de estudos referentes, uma vez que web-
based applications e systems e network protocols and devices detm a maior parte
do direcionamento das pesquisas.

7.3. RQ3. Quais os modelos para ferramentas de Pentest?

Assim como os cenrios de execuo de Pentest, os modelos apresentam certa
diversidade nos estudos analisados. No que se refere a modelos de teste de
segurana, os resultados obtidos permitem uma anlise dividida em
metodologias e categorias dos modelos de testes de segurana.
As categorias descrevem, com base na taxonomia do processo de teste,
como a base de informaes possuda para a execuo do mesmo. O modelo
dos testes categorizado ento em white-box, gray-box e black-box. White-box
descreve o modelo de teste no qual o tester detm o completo conhecimento
sobre a infraestrutura a ser testada, como discutido em [34] e [45]. Black-box, em
contraponto, assume que no h nenhum conhecimento a priori sobre o
ambiente o qual se quer aplicar o teste. Nota-se que a maioria dos trabalhos,
principalmente em torno de ferramentas de descoberta de vulnerabilidade,
executam testes do tipo black-box, como em [17], [48] e [59], por exemplo. J os
testes que so do tipo gray-box representam o meio termo entre os
categorizados anteriormente, onde a quantidade de informaes a respeito do
alvo no so totais mas tambm no so inexistentes. Entre os artigos analisados,
[28] traz um exemplo de aplicao de teste gray-box.

Essa categorizao implica diretamente no processo de Pentest,
independente da metodologia a qual ser utilizada. Nas pesquisas analisadas
detalhadamente, foi possvel identificar claramente as indicaes e citaes as
seguintes metodologias, frameworks e modelos de teste de segurana: OSSTMM
(Open Source Security Testing Methodology Manual) [22][27][45][53][54], ISSAF
(Information Systems Security Assessment Framework) [53], PTES (Penetration
Testing Execution Standard) [45], NIST (National Institute of Standards and
Technology) Guidelines [53] e OWASP Testing Guide [22][27][45]. No que diz
respeito a classificao mais abrangente dos modelos, [1] define trs abordagens
para pentesting: Exploratory Manual Pentest, Automated Pentest e Systematic
Manual Pentest.

7.3.1. OSSTMM

OSSTMM [60] a metodologia que detm um padro internacional para
testes de segurana, mantida pela ISECOM (Institute for Security and Open
Methodologies). Suas definies so consitudas a partir do escopo, que
representa todo o ambiente de segurana operacional possvel para qualquer
interao com qualquer ativo. Este escopo composto por trs classes: COMSEC
(Communications Security Channel), PHYSSEC (Physical Security Channel) e
SPECSEC (Spectrum Security Channel). Essas classes so divididas em cinco
canais antes de serem usados pelo tester:

Humano. Trata todos os elementos humanos de comunicao onde a
interao pode ser tanto fsica como psicolgica.
Fsico. Lida com todos elementos tangveis de segurana de natureza
fsica ou no-eletrnica. Trata os elementos onde a interao requer
esforos fsicos ou uma energia de transmisso para manipular.
Wireless. Trata todas as comunicaes eletrnicas, sinais e frequncias
que tem um espectro eletromagntico conhecido.
Telecomunicaes. Compreende todas as redes de telecomunicaes,
digitais ou analgicas, onde as interaes ocorrem atravs das linhas de
rede telefnicas.
Redes de dados. Representa todos sistemas eletrnicos e redes de dados
onde as interaes ocorrem atravs de cabos estabelecidos e linhas de
rede com fio.

Dentro desses canais so descritos dezessete mdulos para suas anlises.
Esses mdulos, por sua vez, so divididos em quatro fases: fase Regulatria, fase
de Definies, fase de Informaes e fase de Teste de Controles Interativos. A
fase Regulatria envolve os mdulos de Reviso de Estado, Logstica e
Verificao de Deteco Ativa e representa a direo a ser tomada, o
background que o tester deve ter antes de realizar a auditoria, os requisitos de
auditoria, o escopo e suas restries. J a fase de Definio a principal em todo
o processo, pois responsvel pela definio do escopo do teste. Na maioria das
vezes, definir o escopo uma tarefa complexa j que no evidente o que o
tester precisa procurar, quais as consequncias em encontrar erros e que tipo de
testes ele deve executar (quais so obrigatrios e quais so opcionais). A
composio desta fase constituda pelos mdulos Visibilidade de Auditoria,
Verificao de Acesso, Verificao de Confiana e Verificao de Controles.
A fase de Informao a fase responsvel por organizar o processo de coleta de
informaes, sendo composta pelos mdulos de Verificao do Processo,
Verificao de Configurao, Validao de Propriedade, Reviso da
Segregao, Verificao da Exposio e Inteligncia Competitiva. Por fim, a
fase de Teste de Controles Interativos descreve os testes prticos reais
realizados sobre as informaes coletadas. Essa fase composta pelos mdulos
Verificao de Quarentena, Auditoria de Privilgios, Validao de
Sobrevivncia, Alerta e Reviso de Logs.

Existem diferentes formas que um teste de segurana pode ser
classificado considerando a metodologia OSSTMM, divididas em seis padres de
tipos (conforme ilustrado na Figura 6):

2.3 Common Test Types
These six types differ based on the amount of information the tester knows about the targets, what the
target knows about the tester or expects from the test, and the legitimacy of the test. Some tests will test
the testers skill more than actually testing the security of a target.


Figura 6. Tipos de teste de segurana [60].
Do note when reporting the audit, there is often a requirement to identify exactly the type of audit
performed. Too often, audits based on different test types are compared to track the delta (deviations)
Blind: o teste feito sem nenhum conhecimento prvio do alvo sobre
from an established baseline of the scope. If the precise test type is not available to a third-party reviewer
suas defesas,
or regulator, the ativos
audit itself ou canais.
should O alvo
be considered a preparado para
Blind test, which is onea
with auditoria, cujo
the least merit towards a
thorough security test.
objetivo principal pode ser considerado como o teste das habilidades do
analista. Por esta razo, em um teste do tipo Blind, a amplitude e a
profundidade esto relacionadas ao conhecimento do analista. Nas classes
COMSEC e SPECSEC, este teste pode ser chamado de Ethical Hacking,
enquanto na classe PHYSSEC, esse comportamento categorizado como
War Gaming.
Double blind: similar ao teste Blind, o Double Blind descreve um teste
onde alm do tester no ter nenhum conhecimento prvio sobre o alvo, o
alvo tambm no notificado sobre a auditoria, os canais a serem
testados ou os vetores de teste. Double Blind um teste mais conhecido
Creative Commons 3.0 Attribution-Non-Commercial-NoDerivs 2010, ISECOM, www.isecom.org, www.osstmm.org
como Penetration Certifications:
36 Official OSSTMM Test ou T este Black
www.opsa.org, Box. www.opse.org, www.owse.org, www.trustanalyst.org
www.opst.org,

Gray box: o teste realizado com conhecimento limitado das defesas do


alvo e seus ativos, porm com completo conhecimento de seus canais. O
alvo preparado para a auditoria, sabendo todo o processo que ser
auditado. Em geral a natureza deste teste preza pela eficincia e mais
frequente que seja iniciado pelo alvo para um processo de auto-avaliao.
O teste do tipo Gray Box tambm conhecido como Teste de
Vulnerabilidade.
Double gray box: seguindo a linha do teste Gray Box, o Double Gray Box
detm a sua diferena no fato de que o alvo notificado com antecedncia
apenas sobre o escopo e o tempo de durao da auditoria, mas no detm
conhecimento sobre os canais testados ou vetores de teste. Neste tipo de
teste, so verificados a percia do tester e tambm a preparao do alvo
para as aes desconhecidas no processo de teste. Este teste tambm
conhecido como Teste White Box.
Tandem: neste tipo de teste, tanto o tester como o alvo so preparados
para a auditoria e detm completo conhecimento sobre os detalhes da
mesma, desconsiderando a avaliao do quanto o alvo est preparado
para aes de teste e comportamentos desconhecidos do ponto de vista
de segurana. Tambm definido por Teste Cristal Box ou Auditoria In-
House.
Reversal: de posse do pleno conhecimento do tester em relao ao alvo, e
o alvo sem nenhum conhecimento sobre o que, como e quando ser o
teste, o teste Reversal objetiva avaliar a preparao do alvo para as aes
e comportamentos desconhecidos em relao a sua segurana. Esse teste
mais conhecido como Exerccio Red Team.

A metodologia tambm direciona suas preocupaes em relao aos tipos
de erros que podem ser encontrados, considerando que um teste de segurana
no avalia a soma desses erros, mas sim a sua contabilizao. Os erros so
divididos em doze tipos: false positive, false negative, gray positive, gray negative,
specter, indiscretion, entropy error, falsification, sampling error, constraint,
propagation e human error.

Para mensurar os resultados dos testes de segurana a metodologia
OSSTMM utiliza a ideia de RAV (Risk Assessment Values). A funo bsica do RAV
analisar os resultados do teste e computar o valor atual da segurana baseado
em trs fatores: segurana operacional, controle de perda e limitaes. O valor
final de segurana conhecido como RAV score. Usando o RAV score, um auditor
pode facilmente extrair e definir marcos baseado no estado atual da segurana
para realizar uma melhor proteo. De uma perspectiva de negcio, RAV pode
otimizar a quantia de investimento requerido na segurana e pode ajudar a
justificativa de investimentos em solues mais efetivas.

Com base em tantos detalhes no que diz respeito s especificaes do
modelo, a metodologia OSSTMM tornou-se uma das mais completas e robustas.
Um dos diferencias da mesma a incluso de fatores humanos como parte dos
testes, respeitando a mxima de que o ser humano representa um potencial
perigo para a segurana das informaes. Por outro lado, cabe a ressalva de que
tais fatores representam uma mnima parte da metodologia e tem pouca
documentao e descrio a respeito. Mesmo com a sua completude, a
metodologia OSSTMM desconsidera vagamente itens como hipteses induzidas e
diagramas claros e intuitivos [61]. Tais itens impactam, respectivamente, em
uma diminuio de descobertas alternativas de vulnerabilidades e em um maior
trabalho de interpretao dos inmeros mdulos que constituem o modelo. Da
mesma forma, no so especificadas explicitamente as ferramentas a serem
usadas durante os testes, porm a metodologia detalha os mtodos utilizados
para avaliar de modo consistente superfcie de ataque em relao ao contexto
que est sendo analisado. Aliado a isso, no mbito de testes de penetrao, uma
boa prtica o registro no relatrio das atividades, aes e resultados ao fim de
cada etapa, em virtude do processo de teste ser representativamente longo. Na
presente metodologia so oferecidos templates para o preenchimento dos
relatrios, porm esses templates seguem um processo de leitura linear [62].
Assim, para ter o conhecimento sobre a segurana do sistema e realizar as
devidas anlises preciso passar por todo o relatrio.

7.3.2. ISSAF

A representao da metodologia ISSAF [63] se d como um framework
capaz de modelar os requisitos de controle internos para a segurana da
informao, direcionado para avaliar a segurana de redes, sistemas e aplicaes.
Integrando o framework com um regular ciclo de vida de negcio, possvel
fornecer acurcia, completude e eficcia requeridos para completar os requisitos
de teste de segurana em uma organizao. Com isso, subentende-se os focos da
metodologia ISSAF: a rea tcnica, que estabelece o conjunto de regras e
procedimentos para seguir e criar um processo adequado de avaliao de
segurana, e a rea gerencial, que realiza os compromissos com o gerenciamento
e melhores prticas que devem ser seguidas ao longo do processo de teste.

Sua concepo estruturada em trs grandes reas de execuo: planejamento e
preparao, avaliao e relatrio, limpeza e destruio de artefatos. A fase de
Planejamento e Preparao trata os passos necessrios para definir o
ambiente de teste, seja no planejamento e preparao das ferramentas de teste,
contratos e aspectos legais, definio da equipe de trabalho, prazos, requisitos e
estrutura dos relatrios finais. J a fase de Avaliao representa o centro da
metodologia, onde o teste de penetrao realmente executado. A mesma
composta das seguintes atividades:

1. Coleta de informaes: Consiste em coletar toda a informao possvel
sobre o alvo em questo a ser avaliado, auxiliando o avaliador a realizar a
tarefa da maneira mais completa possvel. Na maioria dos casos a
principal e talvez nica fonte de informao inicial a Internet. Esta etapa
muito importante para o incio do Pentest, no qual o processo de coleta
interfere diretamente na completude do mesmo. Em geral, o objetivo
desta atividade explorar todas as vias possveis de ataque dando uma
viso completa do alvo.
2. Mapeamento da rede: Informaes especficas da rede, baseado tambm
na atividade de coleta, so mapeadas para produzir a topologia de rede do
alvo. Existem diversas ferramentas que podem ser utilizadas para auxiliar
a descoberta e o mapeamento da rede e dos hosts envolvidos no teste.
Essa atividade, resumidamente, foca seus esforos nos aspectos tcnicos
de descoberta de informaes. Durante a enumerao e o mapeamento de
rede o tester busca identificar todos os hosts vivos, sistemas operacionais
envolvidos, firewalls, sistemas de deteco de intruso, servidores e
servios, dispositivos de permetro, roteamento e topologia geral rede
(layout fsico).
3. Identificao de vulnerabilidades: Esta atividade, de posse dos dados
enumerados e da topologia de rede, busca encontrar falhas dentro da
rede, servidores, servios e outros recursos. A partir da enumerao e
mapeamento de rede o tester busca verificar fatores como a preciso na
identificao de servios e sistemas operacionais. Com essa informao, o
tester est habilitado a listar hosts e servidores vulnerveis. O objetivo
desta etapa usar as informaes coletadas para fazer uma avaliao
tcnica atualizada sobre a existncia de vulnerabilidades. Esta atividade
realizada combinando verses de servios vulnerveis com exploits
conhecidos e tericos, percorrendo a rede em diversas direes, testando
webservices, localizando senhas fracas e contas e escalando privilgios.
4. Penetrao: Prova as vulnerabilidades e exploits que o tester identificou
anteriormente.
5. Acesso e Escalada de Privilgio: Esta atividade um advento de quando
o tester ganhou algum acesso no alvo atravs da execuo das atividades
anteriores e assim pode realizar a escalada de privilgio. Este privilgio
categorizado como compromise, final compromise, least privilege ou
intermediate privileges.
6. Enumerao: Uma vez que o tester ganhou o acesso e os privilgios, so
executados, por exemplo: ataques a senhas, monitoramento e anlise de
trfego, coleta de cookies, coleta de endereos de e-mail, identificao de
rotas na rede e mapeamento de redes internas.
7. Comprometer usurios remotos: O tester deve tentar comprometer os
usurios remotos, tele-comutadores e sites remotos.
8. Manuteno de acesso: O tester precisa reter os links de comunicao
com a rede alvo. Essa comunicao, por sua vez, interessante que seja
atravs de um canal secreto (covert channel) para diminuir as chances de
deteco.
9. Cobrindo rastros: O principal objetivo desta atividade esconder
ferramentas/exploits usados durante o comprometimento do alvo.

Por fim, a fase de Relatrio, Limpeza e Destruio de Artefatos
responsvel pelo processo de ps-invaso do teste. O tester escreve um relatrio
completo e destri os artefatos construdos durante a fase de Avaliao.

A metodologia ISSAF possui ampla documentao sobre a sua estrutura, e
apresenta como uma das principais vantagens a criao de uma conexo clara
entre as tarefas do Pentest e as ferramentas utilizadas. Da mesma forma, a
ordem na qual a metodologia descreve o processo do Pentest otimizada para
ajudar o tester na execuo completa e correta do teste, evitando erros
comumente associados com estratgias de ataques selecionados aleatoriamente
[61]. Pelo vis de limitaes, ressalta-se a falta de melhores orientaes na
elaborao de relatrios, que no bem definida e possui pontos que deveriam
ser atualizados. Juntamente a isso, o fato do fluxo de controle ser one-way
desconsidera hipteses que podem melhorar o procedimento do teste uma vez
que o tester j descobriu algumas vulnerabilidades, assim como o que acontece
na metodologia OSSTMM.

7.3.3. PTES

Com foco em aspectos tcnicos, a metodologia PTES [64] detalha
instrues de como executar as tarefas que so requeridas para testar
precisamente o estado da segurana em um ambiente. A inteno do modelo
no estabelecer padres engessados para um teste de penetrao, e a
comunidade de analistas e profissionais de segurana responsvel por sua
criao trata a ideia de que as diretrizes para o processo de avaliao da
segurana de um ambiente devem ser de fcil compreenso para as
organizaes. Por essa razo, as diretrizes tcnicas ajudam a definir
procedimentos a serem seguidos durante um Pentest, fazendo com que a
metodologia fornea um estrutura base para iniciar e conduzir um teste de
segurana, alm de possuir grficos bem organizados e uma srie de mtodos
includos. A estrutura da metodologia composta por sete fases:

Pre-engagement interactions: apresenta o planejamento de ferramentas
e tcnicas que sero utilizadas no Pentest.
Intelligence gathering: fornece um padro destinado ao processo de
reconhecimento do alvo em questo.
Threat modeling: define a modelagem de ameaas para que o Pentest
tenha seu direcionamento realizado de maneira correta.
Vulnerability analysis: trata o processo de descoberta de falhas e
vulnerabilidades de um sistema ou ambiente.
Exploitation: foca em estabelecer o acesso a um sistema ou recurso
passando pelas restries de segurana.
Post-exploitation: determina o valor de uma mquina compromissada e
mantm o controle da mesma para uma futura utilizao.
Reporting: define os critrios basilares para o relatrio do teste.

Em resumo, PTES um framework projetado para fornecer s empresas e
os prestadores de servios de segurana uma linguagem e escopo comuns para a
realizao de Pentest. Tal tarefa est relacionada principalmente a realizao de
padres concisos para medir testes de penetrao e oferecer orientaes de
como o teste precisa ser realizado aos clientes. A forma como so fornecidas as
diretrizes de execuo do processo representa a principal vantagem do modelo
em relao aos demais, aliado ao fato de que o mesmo considera o conhecimento
do tester como aspecto primordial ao longo das fases. Dessa forma, a construo
da metodologia por parte da comunidade de experts na rea de segurana
fornece uma abordagem diferenciada e diretamente ligada aos critrios tcnicos
de um teste de segurana [65]. Em contraponto, isso impacta vagamente nos
aspectos de negcio, tornando-se uma fator limitante para a completude de um
Pentest. Em relao a documentao da metodologia, a citao do uso de
ferramentas e tcnicas para cada uma das fases descrita de maneira
extremamente robusta, ao passo que orientaes em relao medidas de
eficincia, elaborao dos relatrios e tratamento de caminhos alternativos na
descoberta de vulnerabilidades, por exemplo, poderiam ser melhor definidas.

7.3.4. NIST Guidelines

A metodologia proposta pela NIST [66] foi inicialmente introduzida como
GNST (Guideline on Network Security Testing), reproduzida na publicao
especial 800-42, e a sua ltima verso continuada apresentada na publicao
especial 800-15 como Technical Guide to Information Security Testing and
Assessment. A elaborao deste modelo considerada como a primeira que
introduz um processo detalhado e formal para a escrita de relatrios, e da
mesma forma em relao a trabalho e processo que lida com hipteses induzidas.
Basicamente, sua estrutura segue quatro etapas principais: Planejamento, onde
o sistema analisado para encontrar os alvos de teste mais interessantes;
Descoberta, onde o tester procura as vulnerabilidades no sistema; Ataque, onde
o tester verifica se as vulnerabilidades encontradas podem ser exploradas; e
Relatrio, onde cada resultado proveniente das aes realizadas na etapa
anterior reportado.

Adicionalmente, cada passo executado possui um vetor de entrada, que
representa o conjunto de dados a serem analisados, e um vetor de sada, que
representa o conjunto completo de resultados derivados das aes executadas.
Em seu fluxo, a seta orientada entre ataque e descoberta a primeira tentativa
de representao de hipteses induzidas. A ideia principal de hipteses
induzidas se baseia nos artefatos: Vetor Alvo (TV), Vetor de Vulnerabilidade (VV)
e Vetor de Ataque (AV), que representam respectivamente: o conjunto de alvo
com investigao em andamento, conjunto de vulnerabilidade conhecidas e o
conjunto de ataque relevantes.

Alm do fato de considerar hipteses induzidas, outra caracterstica
positiva da metodologia a forma como a mesma orienta o tester na elaborao
dos relatrios. De acordo com as melhores prticas, a metodologia sugere
escrever um relatrio passo-a-passo, onde o tester relata suas descobertas
depois da fase de planejamento e depois de cada ataque (realizado com sucesso
ou no), descrevendo as vulnerabilidades que puderam ou no ser exploradas.
Em compensao a isso, a metodologia no prov templates e orientaes para a
escrita dos relatrios finais [61]. Da mesma forma, cabe ressaltar a maneira
como construdo o vetor de vulnerabilidade, onde apenas uma parte dos
problemas encontrados durante a primeira fase originam vulnerabilidades em
potencial. Em paralelo a isso, no fazem parte do relatrio aqueles problemas
que no listam falhas, e tal prtica deve ser reconsiderada: todos os problemas
encontrados devem ser levados em conta como descobertas interessantes e
ento, devem ser documentados pois posteriormente podem vir a serem riscos
relevantes. Por fim, a forma utilizada pela norma para explicitar as suas
definies e conceitos pode ser considerada uma limitao no que diz respeito ao
entendimento da mesma, uma vez que sua compreenso sobre o que, onde,
porque e como o processo de teste ser realizado no completamente claro
[66].

7.3.5. OWASP Testing Guide

A metodologia proposta no OWASP Testing Guide um advento
consolidado de todos os estudos que a comunidade OWASP realiza. Sua
concepo guiada pela ideia norteadora de tornar softwares seguros uma
realidade, e por essa razo percebe-se que suas diretrizes so direcionadas a
testes de segurana em softwares e aplicaes web. Na grande maioria das
organizaes voltadas a desenvolvimento de software, as preocupaes com
segurana no fazem parte do processo de desenvolvimento padro e, por
muitas vezes, tambm no detm importncia para as mesmas. A metodologia,
ento, idealiza o uso de testes de segurana como forma de conscientizao e
estrutura-se com base em outros projetos providos pela prpria OWASP como o
Code Review Guide e Development Guide. As orientaes da metodologia disposta
no OWASP Testing Guide so organizadas em trs grandes blocos: a etapa
introdutria que trata os pr-requisitos para testar as aplicaes web e tambm
o escopo do teste, a etapa intermediria que apresenta o OWASP Testing
Framework e suas tarefas e tcnicas relacionadas as diversas fases do ciclo de
vida de desenvolvimento de software, e a etapa conclusiva que descreve como as
vulnerabilidades so testadas atravs da inspeo de cdigo e dos testes de
penetrao.

No contexto de aplicaes web, a metodologia considera Pentest a tcnica
para testar uma aplicao em execuo, de maneira remota, para encontrar
vulnerabilidades de segurana sem ter o conhecimento sobre os aspectos
inerente ao funcionamento da aplicao. Nesse sentido, ferramentas
automatizadas de Pentest tem baixa eficcia no mbito de aplicaes web, uma
vez que tais aplicaes so constitudas de maneira um tanto quanto individual,
fazendo com que a automatizao no seja interessante. Por outro lado,
comparando com as atividades de reviso de cdigo, os testes de penetrao no
exigem tanto conhecimento do tester e tambm so mais rpidos.

A representatividade dos testes de segurana no workflow da
metodologia relativamente pequena, ao passo que bem detalhada. Dessa
forma, os principais conceitos e atividades relacionados aos testes so
concisamente bem escritos no documento, fornecendo uma excelente
compreenso. Mesmo assim, a ocupao propriamente dita do teste de
penetrao neste workflow destinada somente na etapa de deployment, sendo
apenas um item entre os dezoito que o constituem.

Em geral, a metodologia apresenta-se como a melhor alternativa para
testes de penetrao em aplicaes web. Isso justifica-se pela forma como so
apresentadas as ferramentas, solues, tcnicas a atividades para toda a
cobertura do processo de teste. Alm disso, so apresentados possveis
resultados esperados e as solues a serem tratadas, devidamente divididos e
bem descritos graficamente. Portanto, quando considerado meio de validao de
segurana de uma estrutura web, a metodologia OWASP Testing Guide fornece
uma avaliao detalhada de tecnologias especficas, onde suas orientaes
possibilitam uma viso mais ampla e colaborativa auxiliando o tester na escolha
do melhor procedimento a ser tomado.


7.3.5. Avaliao das metodologias

A avaliao das metodologias para testes pode ser construda de diversas
maneiras, mas necessita de critrios base para tal. Esta pesquisa voltada
especificamente para modelos de Pentest, e entre as metodologias avaliadas,
somente a PTES diretamente direcionada para testes de penetrao, enquanto
as demais englobam testes de segurana em geral. Contudo, as outras
metodologias citadas possibilitam que o foco da atividade seja conforme um
teste de penetrao, mas no so delineadas para isto. A Figura 7 exemplifica
essa afirmao ilustrando a comparao de atuao da metodologia OSSTMM em
relao a outros tipos de teste de segurana.
2.1


Figura 7. Comparativo entre OSSTMM e outros tipos de teste de segurana [60].

A Figure
relao 2.1.:
do comparativo
OSSTMM comparison citado pela Figura 7 direcionada
with common securityaos
tests fatores
(from [8])
acurcia e completude. Dessa forma, subentende-se por exemplo que Pentest
um tipo de teste voltado a uma avaliao precisa de um determinado ponto em
that OSSTMM
is well2.1.in- The line
Openwith our findings
Source Security fromManual
Testing Methodology the previous chapter as it will also apply to
um sistema ou rede, e por sua vez no tem objetivo de avaliar toda a segurana
23 August 2003
CI.
do alvo. De acordo com a documentao apresentada em [60], os tipos de teste
An important aspect of the OSSTMM is the compliance with general security policies.
tambm podem
For clarity, ser discutidos
ISECOM em considerao
applies the following aos aspectos
terms to types of system custo
and network securitye testing
tempo,
as based on time
The and methodology
cost for Internet isSecurity
developed
Testing: taking into account major legislation and regulations.
conforme ilustrado na Figura 8.
Furthermore, OSSTMM defines three dierent types of compliance and a set of rules to

deal with all of them. The three types of compliance defined in the methodology are:
Security Auditing 5

Legislation: enforces the security test to Posture


be compliant
Assessmentwith region/country legis-
& Security Testing 7
lation. The lack of this requirement 4 lead to criminal charges.
Risk Assessmentcould
Ethical Hacking 6
Regulation: enforces the security test to be performed accordingly to standard
Penetration Testing 3
regulation within industry sector. A failure in this task could lead to a dismissal
of the company from the group.
2
Policy: enforces the security test to be doneSecurity
according to business and organization
Scanning
1 a dismissal of the responsible from the company.
policies. Violation could cause
Vulnerability Scanning
cost
OSSTMM provides a list of national and international regulations already proved to
be compliant to the proposed methodology.
time
Figura 8. Tipos de teste considerando custo x tempo [60].
1. Vulnerability Scanning refers generally to automated checks for known vulnerabilities against a system or 13
FP7-SEC-285477-CRISALIS
systemsdos
A atuao in a network.
tipos de teste de acordo com custo e tempo delimita as
definies
2. dSecurity
e cada Scanning
um dos refers
mesmos da stoeguinte
generally maneira:
vulnerability scans which include manual false positive verification,
network weakness identification, and customized, professional analysis.

3. Penetration Testing refers generally to a goal-oriented project of which the goal is the trophy and includes
gaining privileged access by pre-conditional means.

4. Risk Assessment refers generally to security analysis through interview and mid-level research which
includes business justification, legal justifications, and industry specific justifications.

1. Vulnerability Scanning (Escaneamento de Vulnerabilidade): refere-se
geralmente a verificaes automticos para vulnerabilidades conhecidas
contra um sistema de uma rede.
2. Security Scanning (Escaneamento de Segurana): refere-se geralmente a
varreduras de vulnerabilidades que incluem verificao manual de falsos
positivos, identificao de fraqueza da rede e anlise customizada.
3. Penetration Testing (Teste de Invaso): refere-se geralmente a um
projeto orientada a um objetivo no qual este objetivo o direcionamento
do teste.
4. Risk Assessment (Avaliao de Risco): refere-se geralmente a anlise de
segurana por meio de entrevista e de pesquisa que inclui justificativa de
negcios, as justificaes legais e justificativas especficas da indstria.
5. Security Auditing (Auditoria de Segurana): refere-se geralmente a uma
inspeo hands-on de segurana do sistema operacional e aplicativos de
um ou mais sistemas dentro de uma rede.
6. Ethical Hacking: refere-se geralmente a um teste de penetrao de que o
objetivo atingir os objetivos dentro do prazo pr-determinado projeto.
7. Security Testing (Teste de Segurana): uma avaliao de riscos dos
sistemas e redes atravs da aplicao de anlise profissional em uma
verificao de segurana onde a penetrao muitas vezes usada para
confirmar falsos positivos e falsos negativos de acordo com o tempo de
projeto permite.

Com base nessas informaes, a avaliao das metodologias baseada
em algumas caractersticas descritas a seguir. A Figura 9 apresenta visualmente
o quadro comparativo entre as metodologias discutidas neste SMS.


Figura 9. Comparativo entre modelos para Pentest.

De incio, um dos critrios considerado importante para um teste de
segurana a abrangncia, que neste trabalho diz respeito ao alcance do teste
em relao aos possveis cenrios. As metodologias OSSTMM, ISSAF, PTES e NIST
so facilmente integradas e podem ser adequadas ao contexto de aplicaes e
sistemas operacionais, banco de dados, avaliaes de segurana fsica e
aplicaes web. Contudo, o modelo OWASP Testing Guide tem seu foco
precisamente definido: servios e aplicaes web. Dessa forma, considera-se que,
para um modelo robusto de teste de penetrao, isso representa uma limitao.

A possibilidade de integrar meios, itens e direes adicionais ao teste de
segurana a partir dos resultados obtidos em cada etapa ou fase da metodologia,
uma caracterstica importante no contexto atual de verificaes de segurana.
Nesse sentido, mesmo que uma definio esttica dos planos e passos a serem
seguidos seja um requisito primordial, essa flexibilidade de novos recursos torna
os modelos mais interessantes. Para essa caracterstica, o modelo fornecido pela
NIST apresenta uma conjuntura interessante ao permitir que o tester tenha
maior dinamicidade ao longo do teste, podendo considerar e reavaliar suas aes
de posse dos artefatos obtidos a cada atividade. Em contraponto, pode-se
considerar que as metodologias OSSTMM ISSAF e OWASP Testing Guide, ao
mesmo tempo que so extremamente consolidadas e robustas, limitam tal
flexibilidade por tratarem os cenrios de execuo dos testes de maneira concisa
e detalhada. Assim, alinha-se esse raciocnio com a ideia de que a escolha por
mais mincias em cada etapa do teste inversamente proporcional a
flexibilidade do modelo.

Ao definir detalhadamente os aspectos e conceitos norteadores para o
processo de teste, o modelo pode at limitar a flexibilidade, mas incrementa sua
qualidade no quesito modelagem. Esses conceitos-chave facilitam o tester na sua
atividade de modelar todo o fluxo de aes do teste, alm de modelar o sistema e
ambiente alvo. Isso ratifica um ponto crucial em testes de segurana, que a
eliminao de possveis ambiguidades no que diz respeito a cada passo
subsequente a ser realizado. Para tal caracterstica, os modelos OSSTMM, OWASP
Testing Guide e PTES cumprem precisamente essa completude, principalmente
pela forma com que abordam a etapa de planejamento do seu processo de teste.
A metodologia ISSAF trata rigorosamente esse quesito, sendo a parte principal
das atividades iniciais do teste responsvel pelo sucesso na identificao de
vulnerabilidades.

Evitar as possveis ambiguidades atravs de conceitos bem definidos no
deve impactar no fator adaptao. A possibilidade de adaptar o modelo e suas
aes mediante as variaes dos sistemas e ambientes a serem testados fornece
uma ampla gama de pontos positivos ao fluxo do teste. Dentre esses pontos, a
escolha dos tipos de teste, juntamente com o plano e definio de escopo
(mediante anlise do alvo), so atividades que podem sofrer alterao e
adequao. No critrio adaptao a metodologia OSSTMM detm, em seu
processo de delimitao de atividades, maior possibilidade em relao a
possveis variaes do alvo. De forma adversa, a metodologia PTES apresenta
certa limitao por no detalhar concisamente tais adaptaes como alternativa.

Todo o conjunto de aspectos definidos em um teste de segurana deve ser
devidamente planejado de maneira prvia. Assim, o planejamento a
caracterstica que trata o suporte fornecido ao tester para a definio das fases,
execuo das atividades, pr-requisitos para continuao e andamento do teste,
escolha das ferramentas a serem utilizadas e tambm o retorno esperado para
cada subatividade dentro do teste. Uma excelente referncia nessa caracterstica
a metodologia PTES, que descreve atentamente todo o planejamento que deve
ser realizado, alm de instituir nessa descrio todo o conjunto de ferramentas
para cada etapa, contendo inclusive as formas de execuo das mesmas. Apenas
os modelos OSSTMM e NIST contrariam levemente essa construo, j que optam
por maior amplitude e flexibilidade.

Por fim, possvel considerar tambm a documentao como parte das
caractersticas principais da constituio de um modelo de teste. Todos os
modelos possuem documentos detalhados e fortemente delimitados, com
divises e sequncia facilmente entendveis. Somente o modelo PTES no prima
por uma construo textual to completa e com explicaes verdadeiramente
detalhadas sobre cada processo e atividade. Por este razo, o nico dos
modelos que no atende completamente tal caracterstica.

7.4. RQ4. Quais os principais desafios em Pentest?

A relao entre os cenrios de execuo, ferramentas e modelos fornece um nvel
de abstrao interessante para a ideia em torno dos desafios em Pentest. Um dos
principais problemas discutidos em alguns dos estudos analisados voltado a
eficincia no processo de descoberta de vulnerabilidades, independente do
contexto de aplicao do Pentest. Aliado a isso, pode-se delimitar tambm que
outro grande desafio da rea de pesquisa fornecer modelos e ferramentas
adequadas para assegurar nveis de segurana cada vez mais elevados para os
cenrios alvo. Ambos desafios esto relacionados as problemas como:
complexidade de ataques, surgimento frequente de novas vulnerabilidades e
variao da aplicabilidade do Pentest para cada contexto alvo.

A ideia de ferramentas e modelos automatizados corrobora com essa
afirmao, uma vez que os estudos selecionados discutem amplamente sobre o
processo de automatizao tanto para evitar problemas de vis do tester quanto
para acelerar a descoberta de vulnerabilidades e gerao de avaliaes sobre as
mesmas.

A formalizao de metodologias/modelos disseminados na comunidade
de segurana prov cada vez mais a robustez necessria para as melhores
prticas em Pentest. Contudo, outro desafio est relacionado justamente a isso: a
carncia de modelos especficos que lidem com ampla abrangncia com o
processo de Pentest, envolvendo os distintos cenrios analisados neste
mapeamento sistemtico. Dessa forma, discute-se como desafio a avaliao,
desenvolvimento e aplicao de metodologias e recomendaes para a execuo
de Testes de Penetrao de qualidade.





8. CONCLUSO

A relevncia e notoriedade dos estudos sobre Testes de Penetrao so
evidentes do ponto de vista de pesquisa. Tal tema, posicionado dentro da grande
rea de Segurana da Informao, tem sido amplamente alvo dos trabalhos
atuais relacionados a testes e verificaes de segurana, uma vez que o
crescimento e evoluo de falhas e vulnerabilidades tem sido to exponencial
quanto. Este SMS tem seu foco em mapear o campo de Pentest, identificando os
cenrios de aplicao, ferramentas utilizadas, metodologias empregadas em
diferentes contextos e as principais contribuies e desafios relacionados.
Detalhadamente, foi possvel indicar e analisar as descries de uso das
ferramentas identificadas e a diferenciao das metodologias, fornecendo um
overview sobre as principais aplicaes de descoberta de vulnerabilidades,
escaneamento de rede, pr-invaso e ps-invaso, e anlise web. A partir destas
informaes, os resultados podem ajudar um tester a definir dentro do seu
escopo do teste quais as ferramentas indicadas de acordo com a etapa do
processo, auxiliando tambm a tomada de deciso quanto as metodologias mais
adequadas. Em geral os resultados deste SMS representam no apenas a
identificao de aspectos pr-determinados pelas questes de pesquisa, mas sim
uma abordagem concisa e relacionada com possveis trabalhos futuros e
desenvolvimento e adequao de novos modelos para Pentest. Os resultados em
si fornecem o apoio necessrio para tal construo dentro deste mbito de
pesquisa de testes de segurana, seja pela prpria indicao das ferramentas
consolidadas para o processo de Pentest ou at mesmo pela percepo em torno
de vantagens e desvantagens da relao de metodologias em determinados
cenrios. Aliado a essa percepo, a avaliao realizada sobre as metodologias
discutidas na subseo 7.3 direciona a possibilidade da criao de um conjunto
de recomendaes que vise aperfeioar e/ou complementar o processo de
Pentest baseado nas principais metodologias existentes. Assim, compreende-se
que a proposta de um conjunto de recomendaes trataria os problemas de
pesquisa e limitaes dos modelos, ao passo que forneceria uma forma flexvel,
dinmica e completa de escolha das atividades, etapas e demais aspectos
inerentes a um teste de penetrao.


REFERNCIAS

[1] LAM, Kevin; LEBLANC, David; SMITH, Ben. Assessing network security.
Microsoft Press, 2004.

[2] ZHAO, Jensen J.; ZHAO, Sherry Y. Opportunities and threats: A security
assessment of state e-government websites. Government Information
Quarterly, v. 27, n. 1, p. 49-56, 2010.

[3] WHITAKER, Andrew; NEWMAN, Daniel P. Penetration testing and network
defense. Cisco Press, 2005.

[4] HENRY, Kevin. Penetration Testing: Protecting Networks and Systems. IT
Governance Publishing, 2012.

[5] PETERSEN, K; FELDT, R.; MUJTABA, S.; MATTSSON, M. Systematic mapping
studies in software engineering. EASE08: Proceedings of the 12th
International Conference on Evaluation and Assessment in Software
Engineering, University of Bari, Italy (2008).

[6] MIRJALILI, Mahin; NOWROOZI, Alireza; ALIDOOSTI, Mitra. A survey on web
penetration test. 2014.

[7] AL-GHAMDI, Abdullah Saad AL-Malaise. A Survey on Software Security
Testing Techniques. International Journal of Computer Science and
Telecommunications, v. 4, 2013.

[8] BISHOP, Matt. About penetration testing. Security & Privacy, IEEE, v. 5, n. 6, p.
84-87, 2007.

[9] GEER, Daniel; HARTHORNE, John. Penetration testing: A duet. In: Computer
Security Applications Conference, 2002. Proceedings. 18th Annual. IEEE, 2002. p.
185-195.

[10] KITCHENHAM, B.; CHARTERS, S. Guidelines for performing Systematic
Literature Reviews in Software Engineering, Technical Report EBSE 2007-001,
Keele University and Durham University Joint Report, 2007.

[11] AUSTIN, Andrew; HOLMGREEN, Casper; WILLIAMS, Laurie. A comparison of
the efficiency and effectiveness of vulnerability discovery
techniques.Information and Software Technology, v. 55, n. 7, p. 1279-1288,
2013.

[12] HSU, Yating; SHU, Guoqiang; LEE, David. A model-based approach to
security flaw detection of network protocol implementations. In: Network
Protocols, 2008. ICNP 2008. IEEE International Conference on. IEEE, 2008. p.
114-123.

[13] HOLM, Hannes et al. A quantitative evaluation of vulnerability
scanning.Information Management & Computer Security, v. 19, n. 4, p. 231-
247, 2011.

[14] SKLAVOS, Nicolas; BECHTSOUDIS, Anestis. Aiming at higher network
security through extensive penetration tests. Latin America Transactions, IEEE
(Revista IEEE America Latina), v. 10, n. 3, p. 1752-1756, 2012.

[15] SARRAUTE, Carlos; RICHARTE, Gerardo; LUCNGELI OBES, Jorge. An
algorithm to find optimal attack paths in nondeterministic scenarios.
In:Proceedings of the 4th ACM workshop on Security and artificial
intelligence. ACM, 2011. p. 71-80.

[16] KHOURY, Nidal et al. An analysis of black-box web application security
scanners against stored SQL injection. In: Privacy, Security, Risk and Trust
(PASSAT) and 2011 IEEE Third Inernational Conference on Social
Computing (SocialCom), 2011 IEEE Third International Conference on.
IEEE, 2011. p. 1095-1101.

[17] ANTUNES, Nuno; VIEIRA, Marco. Assessing and Comparing Vulnerability
Detection Tools for Web Services: Benchmarking Approach and
Examples.Services Computing, IEEE Transactions on, v. 8, n. 2, p. 269-283,
2015.

[18] XU, Dianxiang et al. Automated security test generation with formal threat
models. Dependable and Secure Computing, IEEE Transactions on, v. 9, n. 4,
p. 526-540, 2012.

[19] SHEN, Lu et al. Automatic Generation for Penetration Testing Scheme
Analysis Model for Network. In: Computational and Information Sciences
(ICCIS), 2011 International Conference on. IEEE, 2011. p. 821-826.

[20] MENDES, Naaliel; DURAES, Joao; MADEIRA, Henrique. Benchmarking the
Security of Web Serving Systems Based on Known Vulnerabilities.
In:Dependable Computing (LADC), 2011 5th Latin-American Symposium
on. IEEE, 2011. p. 55-64.

[21] FONG, Erin et al. Building a test suite for web application scanners.
In:Hawaii International Conference on System Sciences, Proceedings of the
41st Annual. IEEE, 2008. p. 478-478.

[22] WILLIAMS, Gustavious P. Cost effective assessment of the infrastructure
security posture. In: System Safety, incorporating the Cyber Security
Conference 2012, 7th IET International Conference on. IET, 2012. p. 1-6.

[23] BOU-HARB, Elias; DEBBABI, Mourad; ASSI, Chadi. Cyber scanning: a
comprehensive survey. Communications Surveys & Tutorials, IEEE, v. 16, n. 3,
p. 1496-1519, 2013.

[24] KASINATHAN, Pounraj et al. Denial-of-Service detection in 6LoWPAN based
Internet of Things. In: Wireless and Mobile Computing, Networking and
Communications (WiMob), 2013 IEEE 9th International Conference on.
IEEE, 2013. p. 600-607.

[25] XING, Bin et al. Design and implementation of an XML-based penetration
testing system. In: Intelligence Information Processing and Trusted
Computing (IPTC), 2010 International Symposium on. IEEE, 2010. p. 224-
229.

[26] ANTUNES, Nuno et al. Effective detection of SQL/XPath injection
vulnerabilities in web services. In: Services Computing, 2009. SCC'09. IEEE
International Conference on. IEEE, 2009. p. 260-267.

[27] HOLIK, Filip et al. Effective penetration testing with Metasploit framework
and methodologies. In: Computational Intelligence and Informatics (CINTI),
2014 IEEE 15th International Symposium on. IEEE, 2014. p. 237-242.

[28] AVRAMESCU, Gabriel et al. Guidelines for discovering and improving
application security. In: Control Systems and Computer Science (CSCS), 2013
19th International Conference on. IEEE, 2013. p. 560-565.

[29] RIDGEWELL, Walter W. et al. Immersive and Authentic Learning
Environments to Mitigate Security Vulnerabilities in Networked Game Devices.
In: Signal-Image Technology & Internet-Based Systems (SITIS), 2013
International Conference on. IEEE, 2013. p. 1042-1048.

[30] WALDEN, James. Integrating web application security into the IT
curriculum. In: Proceedings of the 9th ACM SIGITE conference on
Information technology education. ACM, 2008. p. 187-192.

[31] MINK, Martin; FREILING, Felix C. Is attack better than defense?: teaching
information security the right way. In: Proceedings of the 3rd annual
conference on Information security curriculum development. ACM, 2006. p.
44-48.

[32] TONDEL, Inger Anne; JAATUN, Martin Gilje; JENSEN, Jostein. Learning from
software security testing. In: Software Testing Verification and Validation
Workshop, 2008. ICSTW'08. IEEE International Conference on. IEEE, 2008. p.
286-294.

[33] ARMANDO, Alessandro et al. Model-checking driven security testing of web-
based applications. In: Third International Conference on Software Testing,
Verification, and Validation Workshops. IEEE, 2010. p. 361-370.

[34] DAHL, Ole Martin; WOLTHUSEN, Stephen D. Modeling and execution of
complex attack scenarios using interval timed colored Petri nets. In:Information
Assurance, 2006. IWIA 2006. Fourth IEEE International Workshop on. IEEE,
2006. p. 12 pp.-168.

[35] MCLAUGHLIN, Stephen et al. Multi-vendor penetration testing in the
advanced metering infrastructure. In: Proceedings of the 26th Annual
Computer Security Applications Conference. ACM, 2010. p. 107-116.

[36] SOMOROVSKY, Juraj et al. On Breaking SAML: Be Whoever You Want to Be.
In: USENIX Security Symposium. 2012. p. 397-412.

[37] GARN, Bernhard et al. On the applicability of combinatorial testing to web
application security testing: a case study. In: Proceedings of the 2014
Workshop on Joining AcadeMiA and Industry Contributions to Test
Automation and Model-Based Testing. ACM, 2014. p. 16-21.

[38] LINE, Maria B. et al. Penetration testing of opc as part of process control
systems. In: Ubiquitous Intelligence and Computing. Springer Berlin
Heidelberg, 2008. p. 271-283.

[39] MAINKA, Christian; SOMOROVSKY, Juraj; SCHWENK, Jrg. Penetration
testing tool for web services security. In: Services (SERVICES), 2012 IEEE
Eighth World Congress on. IEEE, 2012. p. 163-170.

[40] TRAORE, Moussa Djiriba et al. RAPn: Network Attack Prediction Using
Ranking Access Petri Net. In: Chinagrid Conference (ChinaGrid), 2011 Sixth
Annual. IEEE, 2011. p. 108-115.

[41] BENKHELIFA, Elhadj; WELSH, Thomas. Security testing in the cloud by
means of ethical worm. In: Globecom Workshops (GC Wkshps), 2013 IEEE.
IEEE, 2013. p. 500-505.

[42] SALAS, M. I. P.; MARTINS, E. Security testing methodology for vulnerabilities
detection of xss in web services and ws-security. Electronic Notes in
Theoretical Computer Science, v. 302, p. 133-154, 2014.

[43] BCHLER, Matthias; OUDINET, Johan; PRETSCHNER, Alexander. Semi-
automatic security testing of web applications from a secure model. In:Software
Security and Reliability (SERE), 2012 IEEE Sixth International Conference
on. IEEE, 2012. p. 253-262.

[44] SANDOUKA, Hanan; CULLEN, Andrea; MANN, Ian. Social Engineering
Detection using Neural Networks. In: CyberWorlds, 2009. CW'09.
International Conference on. IEEE, 2009. p. 273-278.

[45] LIU, Bingchang et al. Software vulnerability discovery techniques: A survey.
In: Multimedia Information Networking and Security (MINES), 2012 Fourth
International Conference on. IEEE, 2012. p. 152-156.

[46] MASOOD, Rahat et al. SWAM: Stuxnet Worm Analysis in Metasploit.
In:Frontiers of Information Technology (FIT), 2011. IEEE, 2011. p. 142-147.

[47] IGURE, Vinay M.; WILLIAMS, Ronald D. Taxonomies of attacks and
vulnerabilities in computer systems. Communications Surveys & Tutorials,
IEEE, v. 10, n. 1, p. 6-19, 2008.

[48] KHOURY, Nidal et al. Testing and assessing web vulnerability scanners for
persistent SQL injection attacks. In: Proceedings of the First International
Workshop on Security and Privacy Preserving in e-Societies. ACM, 2011. p.
12-18.

[49] LEIBOLT, Gregory. The Complex World of Corporate CyberForensics
Investigations. In: CyberForensics. Humana Press, 2010. p. 7-27.

[50] FONSECA, Jose; VIEIRA, Marco; MADEIRA, Henrique. The web attacker
perspective-a field study. In: Software Reliability Engineering (ISSRE), 2010
IEEE 21st International Symposium on. IEEE, 2010. p. 299-308.

[51] JAJODIA, Sushil; NOEL, Steven; OBERRY, Brian. Topological analysis of
network attack vulnerability. In: Managing Cyber Threats. Springer US, 2005. p.
247-266.

[52] BLACKWELL, Clive. Towards a Penetration Testing Framework Using Attack
Patterns. In: Cyberpatterns. Springer International Publishing, 2014. p. 135-
148.

[53] PRANDINI, Marco; RAMILLI, Marco. Towards a practical and effective
security testing methodology. In: Computers and Communications (ISCC),
2010 IEEE Symposium on. IEEE, 2010. p. 320-325.

[54] DIMKOV, Trajce et al. Two methodologies for physical penetration testing
using social engineering. In: Proceedings of the 26th annual computer
security applications conference. ACM, 2010. p. 399-408.

[55] STEPIEN, Bernard; PEYTON, Liam; XIONG, Pulei. Using TTCN-3 as a
modeling language for web penetration testing. In: Industrial Technology
(ICIT), 2012 IEEE International Conference on. IEEE, 2012. p. 674-681.

[56] BADAWY, Mohamed Alfateh; EL-FISHAWY, Nawal; ELSHAKANKIRY, Osama.
Vulnerability Scanners Capabilities for Detecting Windows Missed Patches:
Comparative Study. In: Advances in Security of Information and
Communication Networks. Springer Berlin Heidelberg, 2013. p. 185-195.

[57] CURPHEY, Mark; ARAWO, Rudolph. Web application security assessment
tools. Security & Privacy, IEEE, v. 4, n. 4, p. 32-41, 2006.

[58] HUANG, Yao-Wen; LEE, D. T. Web Application SecurityPast, Present, and
Future. In: Computer Security in the 21st Century. Springer US, 2005. p. 183-
227.

[59] DOUP, Adam; COVA, Marco; VIGNA, Giovanni. Why Johnny cant pentest:
An analysis of black-box web vulnerability scanners. In: Detection of Intrusions
and Malware, and Vulnerability Assessment. Springer Berlin Heidelberg,
2010. p. 111-131.

[60] HERTZOG, P. OSSTMM - Open Source Security Testing Methodology
Manual. Institute for Security and Open Methodologies, ISECOM. Disponvel
em: http://www. isecom. org/osstmm.

[61] ALLEN, Lee; HERIYANTO, Tedi; ALI, Shakeel. Kali LinuxAssuring Security
by Penetration Testing. Packt Publishing Ltd, 2014.

[62] PAULI, Josh. The basics of web hacking: tools and techniques to attack
the Web. Elsevier, 2013.

[63] Open Information Systems Security Group. Information Systems Security
Assessment Framework, 2006.

[64] Penetration Testing Execution Standard. Technical Guidelines. Disponvel
em: http://www.pentest-standard.org

[65] O'GORMAN, Jim; KEARNS, Devon; AHARONI, Mati. Metasploit: the
penetration tester's guide. No Starch Press, 2011.

[66] STOUFFER, Keith; FALCO, Joe; SCARFONE, Karen. NIST SP 800-115:
Technical Guide to Information Security Testing and Assessment. National
Institute of Standards and Technology (September, 2008), 2008.