|
Próxima revisão
|
Revisão anterior
|
start:cases_infraestrutura:notificacao_inci_whats [2022/04/19 13:49]
Iasmin Lima Batista criada |
start:cases_infraestrutura:notificacao_inci_whats [2022/04/25 17:21] (atual)
Iasmin Lima Batista |
| ====== gproject_0020: Notificação de Incidentes via Whatsapp ====== | ====== gproject_0018: Notificação de Incidentes via Whatsapp ====== |
| |
| ^ Numero do projeto ^ Equipe Responsável ^ Data de Inicio ^ Data de Implementação ^ | ^ Numero do projeto ^ Equipe Responsável ^ Data de Inicio ^ Data de Implementação ^ |
| | 0020 | Datacenter | 17/09/2021 | 22/11/2021 | | | 0018 | Datacenter | 24/09/2021 | 24/11/2021 | |
| ^ Origem |^ Observações || | ^ Origem |^ Observações || |
| | A implementação tem como finalidade a detecção e tratamento célere de incidentes de Defacement || || | | Integração entre a plataforma Zabbix e o Whatsapp para replicação de notificação de incidentes || || |
| |
| ==== Objetivo ==== | ==== Objetivo ==== |
| |
| ---- | ---- |
| O projeto tem como finalidade a detecção e tratamento célere de incidentes de Defacement, que se trata de uma técnica que consiste na realização de modificações de conteúdo e estética de uma página da web através da exploração de vulnerabilidades nas páginas e servidores web. | O projeto tem como finalidade a integração entre a plataforma Zabbix e o Whatsapp para replicação de notificação de incidentes possibilitando respostas mais tempestivas por parte da equipe do plantão. |
| |
| |
| |
| ---- | ---- |
| **O que é Defacement?**\\ | |
| O "deface" ou "defacement" é o processo de modificação do conteúdo que é exibido em um site, sendo comum que o invasor não acesse a base de dados e nem inative o servidor, ele simplesmente deixa uma mensagem para os usuários e responsáveis, colocando o recado por cima da estrutura original do site invadido. Muitas comparações para entender o deface citam as pichações: é quase uma assinatura mesmo, com a diferença de que a parede é a página de outra pessoa. Em vez dos menus, dos textos e tal, aparece uma imagem escolhida e subida pelo hacker, além de uma assinatura para o invasor se identificar e marcar território, com uma mensagem que ele escolher.\\ | |
| Fora o aspecto visual, o ataque hacker pode impactar na perda de visitantes do site a curto e a longo prazos. Isso porque o conteúdo fica indisponível até a situação ser resolvida, além da confiança do usuário que pode diminuir devido à sensação de insegurança no site e por não ter como ele saber se além do deface, houve algum outro tipo de vulnerabilidade na página. Outro grande problema está relacionado aos mecanismos de busca, como o Google, que costumam derrubar sites comprometidos nas páginas de resultados de pesquisas, caso o problema não seja resolvido rapidamente. | |
| |
| **Cenário Inicial** \\ | **Cenário Inicial** \\ |
| O fator motivador para estruturação do serviço foi o fato de não existir na estrutura desta Superintendência uma rotina ou mecanismo de verificação nos sites mantidos na estrutura, devido a isto possíveis ataques de Defacement não seriam detectados de forma célere, sendo por vezes os ataques descobertos por meio de terceiros ou notícias da mídia, como exemplo citamos a matéria publicada no site de notícias G1 no exercício de 2019, | |
| [[https://g1.globo.com/ro/rondonia/noticia/2019/06/25/hacker-invade-24-sites-do-governo-de-rondonia.ghtml|Hacker invade 24 sites do governo de Rondônia]]. | |
| |
| **Quais soluções foram propostas?** | **Quais soluções foram propostas?** |
| | Para solucionar a situação enfrentada foi realizada a implementação de uma API, a qual foi armazenada no ambiente desta Superintendência, para tornar possível ao Zabbix a utilização de um script capaz de realizar o envio de notificações para um grupo do mensageiro instantâneo Whatsapp. |
| |
| Foi proposto a implantação de uma ferramenta capaz de checar as modificações de um site a cada 15min e enviar uma notificação via telegram para o grupo responsável para tomar as primeiras medidas. | |
| Também foi implementado uma ferramenta capaz de conectar ao sistema de proxy reverso e realizar a troca da página atacada para uma página de manutenção, diminuindo o tempo de resposta da equipe, permitindo a verificação interna do ocorrido e realizando as correções para deixar o site funcional novamente. | |
| |
| **A Tecnologia** \\ | **A Tecnologia** \\ |
| A ferramenta utilizada consiste em um bot que executa um script, o qual baixa uma versão "limpa" do site sendo monitorado, também conhecido como baseline, e a cada intervalo de 15 (quinze) minutos ele baixa uma nova versão do site e realiza uma comparação entre essa versão e a baseline, utilizando-se do método de comparação simples o script "conta" a quantidade de palavras em cada versão e caso haja um percentual superior a 20% de diferença o alerta é disparado para um grupo no Telegram, o qual é composto por servidores da equipe de Datacenter da Superintendência Estadual de Tecnologia da Informação e Comunicação - SETIC.\\ | A tecnologia utilizada para realizar a integração das notificações foi uma [[https://github.com/ngekoding/whatsapp-api-tutorial| API]] combinada com o número de telefone da Gerência de Datacenter cadastrado no WhatsApp. A solução pode ser configurada para dar respostas automáticas a certos tipos de perguntas e comandos, como enviar imagens, texto e outros anexos da ferramenta, contudo por hora a solução está configurada exclusivamente para enviar os alertas do Zabbix do Datacenter. |
| | |
| Para complementar a ferramenta, foi criado um script que utiliza a ferramenta Puppet Bot para se conectar ao proxy reverso da SETIC e caso for identificado o Defacement é procedida a retirada do site do ar, sendo substituído por uma página de manutenção, de igual forma foi desenvolvido um painel do Grafana, o qual recebe os logs do sistema de detecção para registro e acompanhamento do sistema de detecção.\\ | |
| |
| Pensando em futuras modificações foi confeccionado um manual para a equipe de datacenter onde orienta como adicionar novas URLs ao bot e definir o ponto do site a ser monitorado será utilizado como baseline. | Para utilização desta API foi criado e cadastrado o ID do grupo do WhatsAPP, dessa forma todos os contatos que estiverem compondo o grupo, o qual obrigatoriamente é formado pelos servidores da equipe de datacenter e os coordenadores de Segurança da Informação e Infraestrutura e Serviços, irão receber os alertas com a lista de incidentes de nível alto, e de igual forma o alerta de quando o problema foi corrigido/solucionado. |
| |
| ==== Custos ==== | ==== Custos ==== |
| |
| ^ Etapa/Entrega ^ Descrição ^ Chamado Correlacionado ^ | ^ Etapa/Entrega ^ Descrição ^ Chamado Correlacionado ^ |
| | <font inherit/inherit;;#2980b9;;inherit>**1 - Conceito**</font> | Análise do cenário atual e possíveis soluções | [[https://atendimento.setic.ro.gov.br/front/ticket.form.php?id=2021093792|Chamado GLPI 2021093792]] | | | <font inherit/inherit;;#2980b9;;inherit>**1 - Conceito**</font> | Análise do cenário atual e possíveis soluções | [[https://atendimento.setic.ro.gov.br/front/ticket.form.php?id=2021093795|Chamado GLPI 2021093795]] | |
| | <font inherit/inherit;;#2980b9;;inherit>**2 - Estruturação**</font> | Proposta e Estruturação da Solução | [[https://atendimento.setic.ro.gov.br/front/ticket.form.php?id=2021094495|Chamado GLPI 2021094495]] | | | <font inherit/inherit;;#2980b9;;inherit>**2 - Estruturação e Testes**</font> | Proposta e Estruturação da Solução | [[https://atendimento.setic.ro.gov.br/front/ticket.form.php?id=2021094463|Chamado GLPI 2021094463]] | |
| | <font inherit/inherit;;#2980b9;;inherit>**3 - Teste**</font> | Realização de testes | [[https://atendimento.setic.ro.gov.br/front/ticket.form.php?id=2021094501|Chamado GLPI 2021094501]] | | | <font inherit/inherit;;#2980b9;;inherit>**3 - Divulgação**</font> | Divulgação da Implementação nas mídias oficiais da SETIC | | |
| | <font inherit/inherit;;#2980b9;;inherit>**4 - Divulgação**</font> | Divulgação da Implementação nas mídias oficiais da SETIC | | | | <font inherit/inherit;;#2980b9;;inherit>**4 - Documentação**</font> | Documentação do case na Wiki | [[https://atendimento.setic.ro.gov.br/front/ticket.form.php?id=2022040986|Chamado GLPI 2022040986]] | |
| | <font inherit/inherit;;#2980b9;;inherit>**5 - Documentação**</font> | Documentação do case na Wiki | [[https://atendimento.setic.ro.gov.br/front/ticket.form.php?id=2022040986|Chamado GLPI 2022040986]] | | |
| |
| ==== Resultados alcançados ==== | ==== Resultados alcançados ==== |
| ---- | ---- |
| |
| * Após testes realizados pela equipe a ferramenta de detecção de defacement funcionou perfeitamente sendo capaz de detectar 100% das tentativas de descaracterização dos sites propostos; | * Centralização de visualização de incidentes e problemas do datacenter; |
| * A implantação tornou possível a automatização de checagem dos sites, gerando assim economia de tempo e recursos dos servidores; | * Maior celeridade na resposta de incidentes graves visto a comunicação tempestiva via celular. |
| * A ferramenta mostra possibilidade de adição de mais sites/sistemas para serem monitorados e de igual forma pode ser integrada a outros comunicadores instantâneos como o Whatsapp. | |
Superintendência Estadual de Tecnologia da Informação e Comunicação
