Professional Documents
Culture Documents
Relatório de Auditoria Do Sistema VOTUM
Relatório de Auditoria Do Sistema VOTUM
VOTUM
Procuradoria-Geral da República
Relatório de Teste de Segurança do Sistema VOTUM da PGR
Sumário
1. ACORDO DE CONFIDENCIALIDADE............................................................................................3
2. SUMÁRIO EXECUTIVO....................................................................................................................4
3. METODOLOGIA.................................................................................................................................5
4. OBJETIVOS.........................................................................................................................................6
5. VISÃO GERAL....................................................................................................................................6
6. ESCOPO...............................................................................................................................................6
7. ANÁLISE TÉCNICA...........................................................................................................................7
8. VULNERABILIDADES E RECOMENDAÇÕES..............................................................................9
9. CONSIDERAÇÕES FINAIS.............................................................................................................11
SET 20 Página 2 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR
1. ACORDO DE CONFIDENCIALIDADE
Este documento contém informações proprietárias e de acesso restrito e todos os dados
encontrados durante os testes e presentes neste documento foram tratados de forma a garantir a
privacidade e o sigilo dos mesmos. A duplicação, redistribuição ou uso no todo ou em parte de
qualquer forma requer o consentimento da instituição demandante. A equipe envolvida na atividade
se compromete a manter o sigilo e a segurança das informações relatadas.
SET 20 Página 3 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR
2. SUMÁRIO EXECUTIVO
A equipe responsável pelo teste avaliou a postura de segurança do Sistema de votação
VOTUM da Procuradoria Geral da República através de um Teste de Segurança em Aplicação Web
pelo período de 16 a 25 de setembro de 2020. Os resultados da avaliação efetuada no ambiente a
partir da Virtual Private Network demonstraram que o Sistema VOTUM possui 2 (dois) riscos
cibernéticos. A presença de vulnerabilidades pode comprometer a integridade, disponibilidade e a
confidenciabilidade das informações.
1 1
MÉDIA BAIXA
Figura 1 - Gráfico representativo de vulnerabilidades encontradas
GRAVIDADE VULNERABILIDADE
SET 20 Página 4 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR
3. METODOLOGIA
A fase de Planejamento ou Pré-engajamento, consiste nos primeiros contatos com os integrantes
da Instituição a fim de definir os objetivos e entender os motivos pelos quais o teste será realizado.
Além disso, é nesta fase que se define o escopo, as janelas de teste e prazos a serem cumpridos pela
equipe.
A etapa de Coleta de Dados consiste no levantamento de informações sobre a rede e os serviços
que a compõe. Criando insumos para a fase de Exploração, onde serão pesquisadas e exploradas as
possíveis vulnerabilidades que possam existir dentro do escopo mapeado.
Já a etapa de Pós-Exploração objetiva obter controles administrativos dos sistemas e aplicações
exploradas, além de realizar extração/alteração de informações importantes. Este ciclo é
retroalimentado pelas informações de cada fase e se mantém contínuo até o final do teste de
segurança.
Por fim, é confeccionado este Relatório onde abordam-se todas vulnerabilidades encontradas.
Nesta fase, são registrados todos os fatos ocorridos durante o teste e é elaborado um documento, com
dois focos: uma primeira parte gerencial, onde são abordados os aspectos de forma macro e uma
segunda parte técnica na qual um profissional da área de TI pode validar a mitigação replicando as
ações realizadas.
SET 20 Página 5 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR
4. OBJETIVOS
As atividades realizadas por esta equipe têm como objetivo a identificação de possíveis falhas e
vulnerabilidades em sistemas, computadores e redes por meio de testes de intrusão, a fim de
contribuir com possíveis oportunidades de melhoria na segurança da rede de computadores e de
ativos da Instituição.
5. VISÃO GERAL
A execução do teste de intrusão foi conduzida utilizando a metodologia definida pela equipe
responsável pela execução da atividade. Foram utilizados softwares e técnicas para identificação e
exploração de vulnerabilidades. O intuito do teste foi de simular ataques que se aproximam ao
máximo de uma situação real.
6. ESCOPO
Foi estabelecido o escopo de atuação com a equipe mantenedora do Sistema de Votação
VOTUM da Procuradoria Geral da República (PGR).
Tendo como maior preocupação da instituição garantir os pilares da segurança da informação, ou
seja, a disponibilidade, a confidencialidade e a integridade das informações no Sistema VOTUM e
tendo como janela de tempo os dias 16 a 25 de setembro de 2020, optou-se pelo teste do tipo WHITE
BOX, sem acesso físico a rede. O teste se limitou ao Sistema VOTUM através de Virtual Private
Network (VPN), certificado digital e credencial de acesso.
Os testes realizados no sistema foram norteados pelo Web Security Testing Guide (WSTG) da
fundação Open Web Application Security Project (OWASP), limitando-se às dez principais
vulnerabilidades em aplicações web (OWASP Top 10). Sendo assim, por se tratar exclusivamente de
uma avaliação em aplicação web, optou-se por buscar as vulnerabilidades descritas no guia.
SET 20 Página 6 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR
7. ANÁLISE TÉCNICA
Esta fase tem por objetivo a obtenção de dados, de forma passiva, que contribuirão para as
fases seguintes, ou seja, sem interagir diretamente com o alvo. Nesta fase destacam-se possíveis
informações sobre a estrutura da organização e seus respectivos funcionários, como por exemplo a
faixa de endereçamento IP, o Sistema Operacional utilizado e as contas de usuários, é possível,
também, encontrar senhas caso tenha ocorrido um possível vazamento de dados.
Esta fase tem por objetivo realizar o reconhecimento detalhado do sistema VOTUM. Neste
momento, por exemplo, é possível realizar uma análise mais profunda dos recursos e plugins
presentes em busca de possíveis falhas que permitam a exploração.
I. INJEÇÃO
SET 20 Página 7 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR
http://apex-homologacao.pgr.mpf.mp.br/apex/f?
URL p=236:102:17153309909194:::102:P102_APPLICATION_ID,P102_PAGE_ID:236,
1&p_dialog_cs=qyNWxf_bZ6ZiTRkqQ4iaP8To5Ys
Method GET
Parameter X-Frame-Options
URL http://apex-homologacao.pgr.mpf.mp.br/apex/f?p=4550:7:17017015844309::NO:::
Method GET
SET 20 Página 8 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR
8. VULNERABILIDADES E RECOMENDAÇÕES
Este capítulo tem por objetivo orientar a equipe responsável pela segurança da rede e sistemas
na correção das vulnerabilidades encontradas.
http://apex-homologacao.pgr.mpf.mp.br/apex/f?p=236:102:171533099
ATIVO 09194:::102:P102_APPLICATION_ID,P102_PAGE_ID:236,1&p_dial
og_cs=qyNWxf_bZ6ZiTRkqQ4iaP8To5Ys
GRAVIDADE MÉDIA
REFERÊNCIA https://www.zaproxy.org/docs/alerts/10020-1/
http://apex-homologacao.pgr.mpf.mp.br/apex/f?p=4550:7:1701701584
ATIVO
4309::NO:::
GRAVIDADE BAIXA
IMPACTO Não foi identificado token de validação contra ataques do tipo Cross-
site request forgery (CSRF) no formulário de login. Um ataque deste
tipo força a vítima a enviar requisições HTTP para um alvo de destino
sem seu conhecimento ou intenção, a fim de executar ações como a
SET 20 Página 9 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR
vitima.
REFERÊNCIA https://www.zaproxy.org/docs/alerts/10202/
SET 20 Página 10 de 11
Relatório de Teste de Segurança do Sistema VOTUM da PGR
9. CONSIDERAÇÕES FINAIS
Durante a execução da avaliação, o sistema se apresentou bem configurado, apresentando altos
níveis de segurança. Os testes manuais não identificaram falhas, porém o teste automatizado
destacou algumas oportunidades de melhorias.
Conclui-se que o teste atingiu o objetivo proposto e que a avaliação de segurança como o teste
de invasão apresentado neste relatório é fundamental para identificar vulnerabilidades, testar e
melhorar os controles e mecanismos de defesa a fim de garantir um bom grau de segurança da
informação em seu ambiente.
SET 20 Página 11 de 11