Antes de continuar a falar sobre o assunto, gostaria de elucidar alguns pontos que o Paulo levantou em seu comentário para o meu post anterior. Quando falei sobre Generalista x Especialistas, eu estava complementando o que ele havia dito na entrevista ao falar sobre profissionais de “Network/Computer Security”. Eu só abro uma ressalva, que eu entendo que havendo recursos para tanto, pode haver segregação mesmo nesta função. A pessoa com grandes conhecimentos de redes, roteadores, etc, não é necessariamente um especialista na plataforma Microsoft, ou Unix, ou AS/400 ou Mainframe. O mesmo vale para qualquer caso similar (ex.: o especialista de Microsoft pode ter parcos conhecimentos de Unix ou redes).

Isso é principalmente válido quando começamos a falar sobre segurança em aplicações, e sobre linguagens e tecnologias específicas, existe um limite para a capacidade de prover segurança por um profissional genérico. Um profissional de segurança de redes pode ajudar a previnir casos de XSS, SQL Injection e outros mais óbvios quando vistos do lado de fora, mas pode deixar passar muitos outros casos, como um Covert Channel.

Quanto a análise do resultado das ferramentas de varredura, concordo em gênero, número e grau com o Paulo. Ele apontou um ponto que eu esqueci de mensionar: Ferramentas ajudam na produtividade, mas é preciso avaliar o que elas produzem antes de iniciar uma ação corretiva.

Uma coisa que sempre gostei de fazer é correlacionar o resultado das falhas encontradas e repriorizar as vulnerabilidades com base neste correlacionamento. Algumas vezes a ferramenta indica N falhas críticas, para as quais já existem contra-medidas aplicadas, como um firewall que não deixa aquele serviço específico disponível, mas sem esta análise seria dispendido tempo no tratamento urgente de falhas com baixa probabilidade de efetivação. Outras vezes, as ferramentas mostram brechas que são classificadas como de baixa ou média criticidade, mas que em conjunto podem significar um grande risco para o sistema. Certa vez uma ferramenta me mostrou que havia uma falha, classificada como média, que possibilitava a obtenção de um shell remoto desde que o atacante tivesse acesso a uma série de informações. No entanto, haviam outras no sistema, que tornavam quase todas aquelas informações disponíveis, exceto a listagem de usuários, para usar uma identificação no ataque. Mas havia um outro sistema que permitia listar seus usuários, como os userids eram identicos todas as informações disponíveis estavam acessíveis e assim, uma falha média e algumas baixas, como classificado pela ferramenta, na verdade representavam um alto risco para a organização.

Outra razão para isso, é que muitas ferramentas, talvez tentando mostrar trabalho, são extremamente prolixas, porém fornecendo informações de pouco qualidade ou relevância, como avisos de presença de banners, que as vezes sequer verifica se é um banner padrão ou algo personalizado.

PS.: Paulo, meu post não foi resposta a sua entrevista ou as sua opniões, apenas entrei no embalo e apresentei as minhas visão do assunto, coisa que a muito tempo eu queria fazer.