Relatório de Teste de Segurança

VOTUM
Procuradoria-Geral da República
Relatório de Teste de Segurança do Sistema VOTUM da PGR

Sumário
1. ACORDO DE CONFIDENCIALIDADE............................................................................................3

2. SUMÁRIO EXECUTIVO....................................................................................................................4

3. METODOLOGIA.................................................................................................................................5

4. OBJETIVOS.........................................................................................................................................6

5. VISÃO GERAL....................................................................................................................................6

6. ESCOPO...............................................................................................................................................6

7. ANÁLISE TÉCNICA...........................................................................................................................7

7.1 Coleta de informações em fontes abertas......................................................................................7

7.1.1. Informações obtidas..............................................................................................................7

7.2. Avaliando o sistema......................................................................................................................7

8. VULNERABILIDADES E RECOMENDAÇÕES..............................................................................9

9. CONSIDERAÇÕES FINAIS.............................................................................................................11

SET 20 Página 2 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR

1. ACORDO DE CONFIDENCIALIDADE
Este documento contém informações proprietárias e de acesso restrito e todos os dados
encontrados durante os testes e presentes neste documento foram tratados de forma a garantir a
privacidade e o sigilo dos mesmos. A duplicação, redistribuição ou uso no todo ou em parte de
qualquer forma requer o consentimento da instituição demandante. A equipe envolvida na atividade
se compromete a manter o sigilo e a segurança das informações relatadas.

SET 20 Página 3 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR

2. SUMÁRIO EXECUTIVO
A equipe responsável pelo teste avaliou a postura de segurança do Sistema de votação
VOTUM da Procuradoria Geral da República através de um Teste de Segurança em Aplicação Web
pelo período de 16 a 25 de setembro de 2020. Os resultados da avaliação efetuada no ambiente a
partir da Virtual Private Network demonstraram que o Sistema VOTUM possui 2 (dois) riscos
cibernéticos. A presença de vulnerabilidades pode comprometer a integridade, disponibilidade e a
confidenciabilidade das informações.

O gráfico a seguir é uma representação quantitativa e qualitativa dos problemas encontrados:

1 1

MÉDIA BAIXA
Figura 1 - Gráfico representativo de vulnerabilidades encontradas

As vulnerabilidades identificadas estão evidenciadas na tabela, abaixo:

GRAVIDADE VULNERABILIDADE

MÉDIA Ausência do cabeçalho X-Frame-Options

BAIXA Ausência de tokens Anti-CSRF

Tabela 1 – Vulnerabilidades identificadas

É recomendável que a Instituição resolva as vulnerabilidades com maior brevidade possível, a

fim de minimizar os riscos cibernéticos que possam causar, caso ocorram, impacto negativo para as
atividades, visto a criticidade das vulnerabilidades encontradas e passíveis de serem exploradas.

SET 20 Página 4 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR

3. METODOLOGIA
A fase de Planejamento ou Pré-engajamento, consiste nos primeiros contatos com os integrantes
da Instituição a fim de definir os objetivos e entender os motivos pelos quais o teste será realizado.
Além disso, é nesta fase que se define o escopo, as janelas de teste e prazos a serem cumpridos pela
equipe.
A etapa de Coleta de Dados consiste no levantamento de informações sobre a rede e os serviços
que a compõe. Criando insumos para a fase de Exploração, onde serão pesquisadas e exploradas as
possíveis vulnerabilidades que possam existir dentro do escopo mapeado.
Já a etapa de Pós-Exploração objetiva obter controles administrativos dos sistemas e aplicações
exploradas, além de realizar extração/alteração de informações importantes. Este ciclo é
retroalimentado pelas informações de cada fase e se mantém contínuo até o final do teste de
segurança.
Por fim, é confeccionado este Relatório onde abordam-se todas vulnerabilidades encontradas.
Nesta fase, são registrados todos os fatos ocorridos durante o teste e é elaborado um documento, com
dois focos: uma primeira parte gerencial, onde são abordados os aspectos de forma macro e uma
segunda parte técnica na qual um profissional da área de TI pode validar a mitigação replicando as
ações realizadas.

SET 20 Página 5 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR

4. OBJETIVOS
As atividades realizadas por esta equipe têm como objetivo a identificação de possíveis falhas e
vulnerabilidades em sistemas, computadores e redes por meio de testes de intrusão, a fim de
contribuir com possíveis oportunidades de melhoria na segurança da rede de computadores e de
ativos da Instituição.

5. VISÃO GERAL
A execução do teste de intrusão foi conduzida utilizando a metodologia definida pela equipe
responsável pela execução da atividade. Foram utilizados softwares e técnicas para identificação e
exploração de vulnerabilidades. O intuito do teste foi de simular ataques que se aproximam ao
máximo de uma situação real.

6. ESCOPO
Foi estabelecido o escopo de atuação com a equipe mantenedora do Sistema de Votação
VOTUM da Procuradoria Geral da República (PGR).
Tendo como maior preocupação da instituição garantir os pilares da segurança da informação, ou
seja, a disponibilidade, a confidencialidade e a integridade das informações no Sistema VOTUM e
tendo como janela de tempo os dias 16 a 25 de setembro de 2020, optou-se pelo teste do tipo WHITE
BOX, sem acesso físico a rede. O teste se limitou ao Sistema VOTUM através de Virtual Private
Network (VPN), certificado digital e credencial de acesso.
Os testes realizados no sistema foram norteados pelo Web Security Testing Guide (WSTG) da
fundação Open Web Application Security Project (OWASP), limitando-se às dez principais
vulnerabilidades em aplicações web (OWASP Top 10). Sendo assim, por se tratar exclusivamente de
uma avaliação em aplicação web, optou-se por buscar as vulnerabilidades descritas no guia.

SET 20 Página 6 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR

7. ANÁLISE TÉCNICA

7.1 Coleta de informações em fontes abertas

Esta fase tem por objetivo a obtenção de dados, de forma passiva, que contribuirão para as
fases seguintes, ou seja, sem interagir diretamente com o alvo. Nesta fase destacam-se possíveis
informações sobre a estrutura da organização e seus respectivos funcionários, como por exemplo a
faixa de endereçamento IP, o Sistema Operacional utilizado e as contas de usuários, é possível,
também, encontrar senhas caso tenha ocorrido um possível vazamento de dados.

7.1.1. Informações obtidas

Não foram identificadas informações relevantes.

7.2. Avaliando o sistema

Esta fase tem por objetivo realizar o reconhecimento detalhado do sistema VOTUM. Neste
momento, por exemplo, é possível realizar uma análise mais profunda dos recursos e plugins
presentes em busca de possíveis falhas que permitam a exploração.

Os testes foram realizados de forma manual e automatizada em busca das seguintes

vulnerabilidades, conforme o OWASP TOP TEN WEB APPLICATION SECURITY RISKS:

I. INJEÇÃO

II. AUTENTICAÇÃO QUEBRADA

III. EXPLORAÇÃO DE DADOS CONFIDENCIAIS

IV. ENTIDADES EXTERNAS XML (XXE)

V. CONTROLE DE ACESSO QUEBRADO

VI. CONFIGURAÇÃO INCORRETA DE SEGURANÇA

VII. CROSS-SITE SCRIPTING (XSS)

VIII. DESSERIALIZAÇÃO INSEGURA

IX. USANDO COMPONENTES COM VULNERABILIDADES CONHECIDAS

X. REGISTRO E MONITORAMENTO INSUFICIENTES

Os testes automatizados identificaram duas possíveis fragilidades no sistema VOTUM. As

fragilidades estão evidenciadas nos extratos, conforme as tabelas abaixo:

SET 20 Página 7 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR

Medium X-Frame-Options Header Not Set

X-Frame-Options header is not included in the HTTP response to protect agains

Description
‘ClickJacking’ attacks.

http://apex-homologacao.pgr.mpf.mp.br/apex/f?
URL p=236:102:17153309909194:::102:P102_APPLICATION_ID,P102_PAGE_ID:236,
1&p_dialog_cs=qyNWxf_bZ6ZiTRkqQ4iaP8To5Ys

Method GET

Parameter X-Frame-Options

Tabela 2 – Vulnerabilidade X-Frame-Options Header Not Set

Low Absence of Anti-CSRF Tokens

Description No Anti-CSRF tokens were found in a HTML submission form.

URL http://apex-homologacao.pgr.mpf.mp.br/apex/f?p=4550:7:17017015844309::NO:::

Method GET

<form action=”www_flow.accept” method=”post” name=”www_flow”

Evidence
id=”wwwFlowForm” novalidate>

Tabela 3 – Vulnerabilidade Absence of Anti-CSRF Tokens

SET 20 Página 8 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR

8. VULNERABILIDADES E RECOMENDAÇÕES
Este capítulo tem por objetivo orientar a equipe responsável pela segurança da rede e sistemas
na correção das vulnerabilidades encontradas.

As tabelas abaixo destacam as vulnerabilidades encontradas e as respectivas recomendações

para corrigi-las.

http://apex-homologacao.pgr.mpf.mp.br/apex/f?p=236:102:171533099
ATIVO 09194:::102:P102_APPLICATION_ID,P102_PAGE_ID:236,1&p_dial
og_cs=qyNWxf_bZ6ZiTRkqQ4iaP8To5Ys

VULNERABILIDADE Ausência do cabeçalho X-Frame-Options

GRAVIDADE MÉDIA

O cabeçalho X-Frame-Options não está incluído nas respostas HTTP

para proteção contra ataques do tipo ‘ClickJacking’. Este tipo de
IMPACTO ataque permite induzir um usuário a clicar em algo diferente do que o
mesmo enxerga, potencialmente revelando informações confidenciais
ou assumindo o controle do computador alvo.

A maioria dos navegadores da Web modernos oferece suporte ao

RECOMENDAÇÃO cabeçalho HTTP X-Frame-Options. Certifique-se de que esteja
definido em todas as páginas da web retornadas pelo site.

REFERÊNCIA https://www.zaproxy.org/docs/alerts/10020-1/

Tabela 4 – Vulnerabilidade X-Frame-Options Header Not Set

http://apex-homologacao.pgr.mpf.mp.br/apex/f?p=4550:7:1701701584
ATIVO
4309::NO:::

VULNERABILIDADE Ausência de tokens Anti-CSRF

GRAVIDADE BAIXA

IMPACTO Não foi identificado token de validação contra ataques do tipo Cross-
site request forgery (CSRF) no formulário de login. Um ataque deste
tipo força a vítima a enviar requisições HTTP para um alvo de destino
sem seu conhecimento ou intenção, a fim de executar ações como a

SET 20 Página 9 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR

vitima.

Use o controle ESAPI Session Management. Este controle inclui um

componente para CSRF. Não use o método GET para qualquer
solicitação que acione uma mudança de estado. Verifique o cabeçalho
RECOMENDAÇÃO HTTP Referer para ver se a solicitação originou de uma página
esperada. Isso pode interromper a funcionalidade legítima, porque os
usuários ou proxies podem ter desativado o envio do Referer por
motivos de privacidade.

REFERÊNCIA https://www.zaproxy.org/docs/alerts/10202/

Tabela 5 – Vulnerabilidade Absence of Anti-CSRF Tokens

SET 20 Página 10 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR

9. CONSIDERAÇÕES FINAIS
Durante a execução da avaliação, o sistema se apresentou bem configurado, apresentando altos
níveis de segurança. Os testes manuais não identificaram falhas, porém o teste automatizado
destacou algumas oportunidades de melhorias.

É altamente recomendável que se mantenha os sistemas atualizados, bem como as tecnologias

empregadas na aplicação e o servidor que hospeda o sistema VOTUM.

Conclui-se que o teste atingiu o objetivo proposto e que a avaliação de segurança como o teste
de invasão apresentado neste relatório é fundamental para identificar vulnerabilidades, testar e
melhorar os controles e mecanismos de defesa a fim de garantir um bom grau de segurança da
informação em seu ambiente.

SET 20 Página 11 de 11