Numero do projeto | Equipe Responsável | Data de Inicio | Data de Implementação |
---|---|---|---|
0017 | Datacenter | 17/09/2021 | 22/11/2021 |
Origem | Observações | ||
A implementação tem como finalidade a detecção e tratamento célere de incidentes de Defacement |
O projeto tem como finalidade a detecção e tratamento célere de incidentes de Defacement, que se trata de uma técnica que consiste na realização de modificações de conteúdo e estética de uma página da web através da exploração de vulnerabilidades nas páginas e servidores web.
O que é Defacement?
O “deface” ou “defacement” é o processo de modificação do conteúdo que é exibido em um site, sendo comum que o invasor não acesse a base de dados e nem inative o servidor, ele simplesmente deixa uma mensagem para os usuários e responsáveis, colocando o recado por cima da estrutura original do site invadido. Muitas comparações para entender o deface citam as pichações: é quase uma assinatura mesmo, com a diferença de que a parede é a página de outra pessoa. Em vez dos menus, dos textos e tal, aparece uma imagem escolhida e subida pelo hacker, além de uma assinatura para o invasor se identificar e marcar território, com uma mensagem que ele escolher.
Fora o aspecto visual, o ataque hacker pode impactar na perda de visitantes do site a curto e a longo prazos. Isso porque o conteúdo fica indisponível até a situação ser resolvida, além da confiança do usuário que pode diminuir devido à sensação de insegurança no site e por não ter como ele saber se além do deface, houve algum outro tipo de vulnerabilidade na página. Outro grande problema está relacionado aos mecanismos de busca, como o Google, que costumam derrubar sites comprometidos nas páginas de resultados de pesquisas, caso o problema não seja resolvido rapidamente.
Cenário Inicial
O fator motivador para estruturação do serviço foi o fato de não existir na estrutura desta Superintendência uma rotina ou mecanismo de verificação nos sites mantidos na estrutura, devido a isto possíveis ataques de Defacement não seriam detectados de forma célere, sendo por vezes os ataques descobertos por meio de terceiros ou notícias da mídia, como exemplo citamos a matéria publicada no site de notícias G1 no exercício de 2019,
Hacker invade 24 sites do governo de Rondônia.
Quais soluções foram propostas?
Foi proposto a implantação de uma ferramenta capaz de checar as modificações de um site a cada 15min e enviar uma notificação via telegram para o grupo responsável para tomar as primeiras medidas. Também foi implementado uma ferramenta capaz de conectar ao sistema de proxy reverso e realizar a troca da página atacada para uma página de manutenção, diminuindo o tempo de resposta da equipe, permitindo a verificação interna do ocorrido e realizando as correções para deixar o site funcional novamente.
A Tecnologia
A ferramenta utilizada consiste em um bot que executa um script, o qual baixa uma versão “limpa” do site sendo monitorado, também conhecido como baseline, e a cada intervalo de 15 (quinze) minutos ele baixa uma nova versão do site e realiza uma comparação entre essa versão e a baseline, utilizando-se do método de comparação simples o script “conta” a quantidade de palavras em cada versão e caso haja um percentual superior a 20% de diferença o alerta é disparado para um grupo no Telegram, o qual é composto por servidores da equipe de Datacenter da Superintendência Estadual de Tecnologia da Informação e Comunicação - SETIC.
Para complementar a ferramenta, foi criado um script que utiliza a ferramenta Puppet Bot para se conectar ao proxy reverso da SETIC e caso for identificado o Defacement é procedida a retirada do site do ar, sendo substituído por uma página de manutenção, de igual forma foi desenvolvido um painel do Grafana, o qual recebe os logs do sistema de detecção para registro e acompanhamento do sistema de detecção.
Pensando em futuras modificações foi confeccionado um manual para a equipe de datacenter onde orienta como adicionar novas URLs ao bot e definir o ponto do site a ser monitorado será utilizado como baseline.
A solução não incorreu em gastos para o Estado visto ter sido utilizado soluções de código aberto e/ou já desenvolvidas e mantidas pela equipe de servidores da Gerência de Datacenter.
Etapa/Entrega | Descrição | Chamado Correlacionado |
---|---|---|
1 - Conceito | Análise do cenário atual e possíveis soluções | Chamado GLPI 2021093792 |
2 - Estruturação | Proposta e Estruturação da Solução | Chamado GLPI 2021094495 |
3 - Teste | Realização de testes | Chamado GLPI 2021094501 |
4 - Divulgação | Divulgação da Implementação nas mídias oficiais da SETIC | |
5 - Documentação | Documentação do case na Wiki | Chamado GLPI 2022040986 |