Anais do Encontro Regional de Computação e Sistemas de Informação
Pentest em ambientes de Computação em Nuvem: proposta de
um checklist para Planejamento e Preparação
Kelvin Dias Lopes1, Rita C. C. de Castro1
1
Instituto Federal de Educação, Ciência e Tecnologia do Ceará (IFCE)– Campus
Canindé – Curso de Tecnologia em Redes de Computadores – Grupo de Pesquisa em
Informática Aplicada
[email protected], [email protected]
Abstract. Cloud Computing has been presented as like a technology of sharing
resources and virtualized services offered and accessed by Internet. This new
paradigm leads researchers to think of new concepts and methodologies for
security implementation inside of this new model to ensure a proper and
eficiente form for the application of the pillars of information of security. Since
everything is “in the clouds”, it is of total importance to realize and analyze
vulnerabilities, as well as security tests in this environment. This article
presentes one proposal of a “checklist” for the initial skills for a “pentest” in
the Cloud Computer environment.
Resumo. A Computação em Nuvem tem sido apresentada como uma
tecnologia de partilha de recursos e serviços virtualizados, oferecidos e
prestados pela Internet. Este novo paradigma leva estudiosos a pensarem em
novos conceitos e metodologias para a implementação de segurança dentro
desse novo modelo, visando garantir de forma eficiente a garantia da
aplicação dos pilares da Segurança da Informação. Visto que tudo se está
“nas nuvens”', é primordial a realização de uma análise das vulnerabilidades,
bem como os testes de segurança nesses ambientes. Este artigo propõe a
realização de um checklist para ser utilizado na fase inicial de um pentest em
ambientes de computação em nuvem.
1. Introdução
Comumente observa-se, nas organizações, que os requisitos de segurança são ignorados
em ambientes convencionais da computação, o que leva a ter ambientes extremamente
vulneráveis à ataques externos. Nos modelos de trabalho propostos pela Computação
em Nuvem a grande preocupação relaciona-se com a privacidade e a segurança das
informações processadas nesses ambientes.
Fruto da evolução e da junção de várias tecnologias computacionais como, time
sharing, virtualização, grid computing, data centers, entre outras, a Computação em
Nuvem, em inglês Cloud Computing, surge como um modelo que possibilita o uso de
um conjunto de recursos que são compartilhados, baseando-se na disponibilidade, e que
podem ser alocados de forma rápida e gerenciados pelo provedor do(s) serviço(s), tendo
assim pouca necessidade de interação entre cliente e provedor [Castro e Sousa 2010].
De maneira geral Computação em Nuvem nada mais é do que a terceirização de
serviços computacionais que se encontram virtualizados em servidores espalhados pelo
Manaus, 08 a 10 de maio de 2014
ISSN 2238-5096 (CDR)
Anais do Encontro Regional de Computação e Sistemas de Informação
mundo [Felipe, Oliveira, et. al., 2012].
Diante das características inerentes do provimento de serviços pela Computação
em Nuvem, onde o ambiente computacional é totalmente desconhecido pelo usuário,
notando-se apenas, com mais clareza, seu começo e fim. Toda a infraestrutura e outros
recursos computacionais ficam “escondidos” e o usuário apenas acessa seus recursos
através de uma interface pela Internet. Essa abstração acerca da infraestrutura da Nuvem
pode gerar desconfiança por parte de quem contrata esses serviços, principalmente
quando se pensa em segurança da informação.
A Computação em Nuvem oferece diversas vantagens importantes para as
organizações, dentre elas a redução de custos, automação, independência de hardware,
alta disponibilidade, maior flexibilidade e a inovação tecnológica. Vulnerabilidades e
benefícios globais serão diferentemente tratados, dependendo do modelo de serviço e
tipo de implantação que atenderá as necessidades da empresa contratante [Castro e
Sousa 2010]. É importante notar que, ao se considerar os diferentes tipos de serviços e
modelos de implantação, listado adiante, as empresas devem considerar as
vulnerabilidades que possam os acompanhar, reforçando mais uma vez as questões que
englobam a segurança das informações na Nuvem.
Para definir e dimensionar os diferentes métodos e responsabilidades dos
serviços providos pela Computação em Nuvem, as empresas, de uma forma geral,
precisam encarar o desafio de implementar corretamente mecanismos e serviços em
seus ambientes de Nuvem. Dentre esses desafios destaca-se a necessidade de avaliar as
vulnerabilidades existentes no ambiente provido e seu impacto, caso uma ameaça se
concretize. Usualmente, vulnerabilidades são identificadas mediante a aplicação de um
teste de penetração (Pentest) nos ativos críticos da organização, a fim de determinar se
existem pontos fracos que poderão vir a ser explorados por alguma ameaça.
O objetivo principal desse artigo é analisar a gestão de vulnerabilidades nos
ambientes de Computação em Nuvem, além de propor medidas, na forma de um
checklist, para auxiliar profissionais de segurança em T.I (Tecnologia da Informação)
durante a fase de planejamento de um teste de penetração, expressão que será
substituída nas próximas seções por pentest.
Este artigo está estruturado da seguinte forma: nesta Introdução são
apresentadas breves considerações sobre a adoção dos serviços da Computação em
Nuvem e segurança da informação; na seção 2, são apresentados os trabalhos relevantes,
que contribuíram para a construção do checklist; na seção 3 é apresentada uma breve
revisão sobre os principais serviços e modelos da Computação em Nuvem; na seção 4, é
apresentado o cenário da gestão de vulnerabilidades na Nuvem; na seção 5, são
apresentados os principais conceitos sobre pentest; na seção 6, é apresentado um
panorama sobre análise de vulnerabilidades e pentest, na seção 7, é apresentada a
proposta do checklist; na seção 8, é apresentada a conclusão e sugestões para trabalhos
futuros provenientes desta pesquisa.
2. Trabalhos Relacionados
No contexto do uso de pentest para avaliação de vulnerabilidades em ambientes de
Computação em Nuvem, observou-se que as investigações abrangem cenários
Manaus, 08 a 10 de maio de 2014
ISSN 2238-5096 (CDR)
Anais do Encontro Regional de Computação e Sistemas de Informação
diferenciados, muito embora os trabalhos ainda sejam raros, se não inexistentes, quando
se trata da elaboração de um cheklist para planejamento e preparação para aplicação
nesse contexto, de modo a proporcionar apoio adequado à tomada de decisão no
momento da contratação da nuvem ou como ferramenta de apoio à Gestão de
Vulnerabilidades.
Grobauer (2010), faz uma avaliação bem fundamentada do impacto da segurança
na Computação em Nuvem, através da análise de fatores importantes, como, por
exemplo, as novas vulnerabilidades associadas ao modelo. O trabalho define quatro
indicadores de vulnerabilidades na Nuvem e propõe uma arquitetura de segurança
específica para o ambiente. O trabalho fornece, ainda, exemplos de vulnerabilidades
específicas para cada componente da arquitetura da Nuvem.
No estudo entitulado “Cloud Computing and Information Policy: Computing in
a Policy Cloud?” [JAEGER, 2009] apresenta a ausência de políticas de informação
como principal problema na contratação de serviços da Nuvem, enumera questões
como, privacidade, segurança, confiabilidade, acesso e regulamentação, como sendo de
natureza crítica. O trabalho explora a natureza vulneravél da Computação em Nuvem e
sua evolução tecnológica, sem, no entanto, identificar possíveis vulnerabilidades no
modelo de forma específica.
Como resultado de um extenso estudo, a ENISA (European Network and
Information Security Agency), publicou no final de 2009 [ENISA, 2009], um documento
sobre os vários modelos de consumo da Computação em Nuvem, elencando seus
benefícios, riscos e principalmente suas vulnerabilidades. O documento tornou-se um
guia de referência para contratação dos serviços da Nuvem. O checklist proposto neste
trabalho foi povoado, principalmente, com as informações sobre vulnerabilidades e os
ativos afetados descritos no estudo publicado pela ENISA. O estudo indica que
características, como a concentração em massa de recursos e dados na nuvem, são um
alvo mais atraente para os atacantes.
O trabalho publicado em LaBarge & McGuire (2012) apresenta os resultados de
uma série de testes de penetração realizadas na palataforma OpenStack Essex, Software
de Gestão em ambiente de Nuvem. Embora os autores tenham realizado vários tipos
diferentes de testes de penetração, usando técnicas de exploração de vulnerabilidades
conhecidas, não há registro da utilização de um checklist.
O trabalho publicado pelo The Law Society Of British Columbia (2013),
apresenta um checklist para auxiliar na contratação dos provedores da Nuvem,
segurança nesses ambientes, assim como a fase durante a migração de Nuvens.
3. A Computação em Nuvem, seus modelos de serviços
Para ter a capacidade de oferecer escalabilidade e flexibilidade, aspectos primordiais da
Computação em Nuvem, o modelo disponibiliza, segundo o NIST (National Institute of
Standards and Technology) [NIST 2009], três modalidades básicas de serviços:

SaaS - Software as a Service (Software como Serviço), indicado aos que
necessitam apenas de soluções em programas e aplicativos tecnológicos;

PaaS - Plataform as a Service (Plataforma como Serviço), que envolve um
ambiente virtual para criação, hospedagem e controle de softwares e bancos de
dados; e
Manaus, 08 a 10 de maio de 2014
ISSN 2238-5096 (CDR)
Anais do Encontro Regional de Computação e Sistemas de Informação

IaaS - Infrastructure as a Service (Infraestrutura como Serviço), que é a mais
completa modalidade, envolvendo servidores, sistemas de rede de armazenagem,
softwares e todo o ambiente tecnológico dedicado.
Tudo isso pode estar disponível por meio de modelos de implementação conhecidos
como Nuvem Pública (Public Cloud), Nuvem Privada (Private Cloud) ou Nuvem
Híbrida (Hybrid Cloud) (que integra as duas anteriores). A definição do modelo que
melhor se adapte às particularidades de cada empresa, depende do processo de negócios,
do tipo de informação e do nível de visão desejado.
4. Gestão de Vulnerabilidades em Ambientes na Nuvem
Questões como a criação de Planos de Contingência e Acordos de Níveis de
Serviço (ANS ou SLA, do inglês Service Level Agreement) muitas vezes são ignorados,
assim como o cumprimento de algumas leis que podem ser comprometidas devido ao
fato das informações ficarem nas mãos de terceiros, o que gera incerteza e
inconfiabilidade na contratação desses serviços em nuvem [Araújo e Castro, 2013].
Um ponto fundamental sobre a questão dos riscos das vulnerabilidades
encontradas nos ambientes em nuvem é a quebra dos princípios da segurança da
informação: disponibilidade, confidencialidade e integridade, o que podem
comprometer toda a nuvem. Segundo [Araújo e Castro, 2013] a garantia do
cumprimento desses princípios relaciona-se diretamente com o modelo de implantação
contratado pela empresa.
Devido sua arquitetura, na computação em nuvem os dados processados estão
sob os serviços e manutenções do provedor, o que deixa o cliente fora do controle de
todas as movimentações de seus dados. Além disso, várias questões são levantadas
[NIST 2009] e colocadas em discussão sobre os riscos que este novo paradigma
computacional pode trazer, tais como: Acesso privilegiado de usuários; Cumprimento de
regulamentação; Localização dos dados; Segregação dos dados; Recuperação dos dados;
Apoio à investigação e Viabilidade em longo prazo.
5. Pentest: uma visão geral
O Pentest (Penetration Testing), acrônico para Teste de Penetração, é a prática
de invadir o destino para determinar o nível de segurança [Whittaker 2008]. Apesar de
usar as mesmas ferramentas de análises, técnicas e raciocínios aplicados, o pentest se
diferencia do “hacking”. A meta do pentest é testar serviços e mecanismos de segurança
existentes em determinado ambiente computacional, através da identificação de pontos
vulneráveis, possibilitando a proteção do maior patrimônio que existe, a informação.
Pode-se considerar as técnicas de pentest como uma auditoria completa de segurança,
pela qual explora de forma abrangente todos os aspectos que envolvem a segurança de
um sistema [Giavoroto e Santos 2013].
Nos ambientes in home o pentest é um processo de detalhamento do estado em
que se encontra o nível de segurança de um sistema computacional ou rede de
computadores através da perspectiva de um infrator. O objetivo principal é simular de
forma controlada um ataque real da mesma maneira de como é executado por um
estranho mal-intencionado. Trata-se de um teste realista ao nível de segurança das
infraestruturas e da informação que estas detêm.
Manaus, 08 a 10 de maio de 2014
ISSN 2238-5096 (CDR)
Anais do Encontro Regional de Computação e Sistemas de Informação
O Institute for security and open methodologies [ ISECOM, 2013], define diversas
modalidades diferentes que se enquadram os testes de penetração, sendo que cada uma
delas possui características e conhecimento sobre o sistema atacado, são elas:

Blinde – nesta modalidade o auditor não obtém conhecimento das tecnologias
utilizadas pelo alvo, porém o alvo têm conhecimento sobre o teste realizado, o que pode
alterar os resultados do pentest caso o alvo avise a equipe de TI e agir de forma reativa;

Double Blind – da mesma forma que o Blinde, auditor não obtém conhecimento
das tecnologias utilizadas pelo alvo, assim como o alvo não obtém conhecimento de que
será atacado. Este é o método mais realista de pentest, pois seu cenário é o que mais se
aproxima de um cenário real de ataque e invasão realizado por criminosos;

Gray Box – nesta modalidade o auditor obtém conhecimento parcial do alvo e o
alvo tem total conhecimento sobre os testes realizados;

Double Gray Box – assim como o Gray Box, nesta modalidade o auditor obtém
conhecimento parcial do alvo e o alvo tem conhecimento sobre a realização dos testes,
porém não quais testes serão executados. Essa modalidade é a que mais se aproxima da
simulação de um funcionário insatisfeito, que almeja possuir um maior volume de
privilégios dentro do sistema por exemplo;

Tandem – também conhecido como “caixa de cristal”, nessa modalidade o
auditor obtêm conhecimento total do alvo e o alvo tem total conhecimento que será
atacado e o que será feito durante os testes de ataque;

Reversal – nesta modalidade o auditor obtêm conhecimento total do alvo, porém
o alvo não sabe que será testado os ataques e nem como ou quais testes serão
executados.
Para a realização dos testes de penetração são definidas algumas fases, onde
cada uma possui um escopo e função diferente, caracterizando um propósito específico
dentro do teste de penetração. Deixando claro a diferença entre um teste de penetração e
um ataque realizado por um agente mal-intencionado: as intenções, o escopo e o espaço
de tempo disponível para o mesmo. O framework ISSAF (Information Systems Security
Assessment Framework) [OISSG, 2006], determina boas práticas para a realização de
um pentest, dividindo-o em três fases. Para o escopo deste trabalho abordaremos apenas
a Fase I, denominada Planejamento e Preparação, que como o próprio nome diz,
compreende as etapas de troca de informação, planejamento e preparação para o pentest.
6. Análise de Vulnerabilidades x Pentest
Com o crescimento exponencial da indústria de segurança em TI (Tecnologia da
Informação) [IT+, 2014], é cabível a importância do uso correto da terminologia para
avaliação de segurança. Muitas organizações podem cair no erro de empregar
incorretamente os termos específicos para as avaliações de segurança em seus
ambientes.
A gestão de vulnerabilidades é um processo para avaliar o controle da segurança
interna e externa visando buscar o nível crítico que pode expor seus ativos a ameaças,
fornecendo uma visão ampla de todas as falhas existentes no sistema sem medir o
impacto que essas podem ter para os ativos da empresa.
Por outro lado, o pentest vai além do nível da identificação dessas
Manaus, 08 a 10 de maio de 2014
ISSN 2238-5096 (CDR)
Anais do Encontro Regional de Computação e Sistemas de Informação
vulnerabilidades quando no processo de acesso à exploração, escala de privilégios,
acesso ao sistema, mudanças internas e externas, tornando-se um processo muito mais
invasivo e agressivo quanto a aplicação de métodos e técnicas de exploração de
vulnerabilidade do ambiente de produção.
A realização do pentest em ambientes de Nuvem difere da maneira que ocorre
em ambientes tradicionais de redes de computadores. Nem todos os tipos de ataques e
varreduras, por exemplo, podem ser executados dependendo do cenário da Nuvem.
Segundo Shacleford [2011], antes de mais nada, o tipo de Nuvem determinará se até
mesmo será possível fazer o pentest. Segundo o autor, os modelos de serviços PaaS e
IaaS, em sua maioria, os testes de penetração são permitidos. Já o tipo de serviço SaaS,
os provedores (Cloud Service Providers – CSP) geralmente não permitem que seus
clientes façam testes de penetração em sua infraestrutura e aplicações, apenas deixando
terceiros contratados pela própria provedora para a realização do pentest devido a
questões de estarem em conformidades com as leis e as melhores práticas de segurança.
Segundo Shackleford [2011], a aplicação do pentest deverá ser administrado
utilizando-se uma linguagem explícita contratual indicando a permissão da realização
dos testes, dos tipos de teste e de quantas vezes poderá ser realizado. Além da
observância das medidas legais e contratuais acordadas previamente, seguida da etapa
de agendamento com o CSP.
Especificamente o processo de aplicação de pentest em ambiente de
Computação em Nuvem deve levar em consideração aspectos como exigências
particulares do CSP, tempo para finalização do teste e tipo de teste permitido pelo CSP.
Isso por que, dependendo do pentest, o uso de ataques de negação de serviços, ou uso de
exploits ou scans podem aumentar o consumo de recursos, como largura de banda e
consumo de memória do sistema, impactando negativamente os recursos de outros
clientes. Outro ponto importante é que o pentest, quando em “pivoting”, podem colocar
o ambiente de nuvem como origem de ataques.
7. Checklist Proposto
O checklist mostrado a seguir, ainda em fase inicial, é proposto como forma de auxilio
para a fase de Planejamento e Preparação (Fase I) de um pentest, porém voltado para
ambientes de Computação em Nuvem. O checklist proposto foi baseado nos
frameworks internacionais OSSTMM 3 [ISECOM, 2013] e ISSAF [OISSG, 2006]
principalmente.
Checklist – Fase I: Planejamento e Preparação
Item
1
Seção
Questões
Sim/Não Comentários
Sobre o ambiente de Nuvem
Pública
1.1
Modelo de Nuvem
Privada
Híbrida
SaaS
1.2
Serviço da Nuvem
PaaS
IaaS
Manaus, 08 a 10 de maio de 2014
ISSN 2238-5096 (CDR)
Anais do Encontro Regional de Computação e Sistemas de Informação
1.3
Quais são as responsabilidades do CSP perante a pilha de acordo com o serviço provido?
1.4
Quais são as responsabilidades do cliente perante a pilha de acordo com o serviço
contratado?
2
Sobre o Pentest
2.1
O objetivo justifica a ideia da realização do pentest
2.2
Em caso de Nuvem Privada, os testes estão de acordos com as políticas de segurança do
país onde está alocado a nuvem?
Total
2.3
Autorização do Pentest
Parcial
Não Permitido
Blind
Double Blind
2.4
Tipo de Teste
Gray Box
Double Gray Box
Tandem
Reversal
Ataques de Engenharia Social
2.5
Exclusões
Ataques DoS, DDoS
Uso de Scans e/ou Explits
Outra
O Acordo de Níveis de Serviço
afeta o escopo do teste
2.6
Restrições de Contrato
Há contrato com outros CSP
Há carta renúncia de parcerias
contratuais de teste
Completa: todas as informações
em relação ao pentest não podem
ser
usadas
em
pesquisas,
treinamentos, marketing, etc.
2.7
Acordo de
Confidencialidade
Parcial: informações limitadas
podem ser usadas em marketing,
treinamentos, pesquisas, etc, após
um acordo com cliente.
Nenhuma: todas as informações
sobre o pentest podem ser
distribuídas
livremente
sem
quaisquer restrições de qualquer
natureza.
Até onde é permitido a escalação
de privilégios
2.8
Limites do pentest
Manaus, 08 a 10 de maio de 2014
Pode-se deixar comentários em
arquivos de texto dentro do alvo
invadido
ISSN 2238-5096 (CDR)
Anais do Encontro Regional de Computação e Sistemas de Informação
O CSP tem conhecimento sobre
possíveis desastres
2.9
Sobre punições
A equipe contratada, pagará por
possíveis desastres que possam
ocorrer
Em caso de backups dentro da
nuvem, a equipe pagará pela
possível perda dos backups
3
Sobre redundâncias
3.1
Sistemas de redundâncias estarão dentro dos testes realizados
3.2
Há backups de clientes, sistemas fora da nuvem
3.3
O CSP tem plano de contingência
4
Sobre tempo
4.1
Tempo de apresentação da proposta
4.2
Tempo das tarefas seriais e paralelas
4.3
Tempo esperado para concluir cada tarefa
4.4
Tempo máximo para realização de cada tarefa
4.5
Tempo esperado para a conclusão do pentest
4.6
Tempo máximo para a conclusão do pentest
4.7
Tempo máximo para elaboração de relatórios
Tabela 1 – Checklist proposto para ser utilizado na fase inicial de planejamento
de um pentest em ambientes de Computação em Nuvem
8. Considerações Finais e Trabalhos Futuros
Diante das promessas de redução de custo propostas pela Nuvem, muitas organizações
estão migrando seus recursos computacionais para tais ambientes, no entanto sem levar
em consideração as vulnerabilidades existentes no modelo contratado, e ainda sem um
planejamento adequado para a necessidade de aplicar testes de penetração – Pentest
para avaliar como andam as questões de segurança e vulnerabilidades em seus ativos
críticos. Segundo a ENISA [2009], um dos grandes desafios do paradigma da
Computação em Nuvem é prover mecanismos que possibilite o desenvolvimento de
padrões para gerenciamento de suas vulnerabilidades.
Cabe ao CSP fazer sua gestão de vulnerabilidades nos ativos de informação,
avaliando a exposição e tomando medidas apropriadas para o tratamento da falha
encontrada. Quando isso não acontece, o correto funcionamento do processo de gestão
de vulnerabilidades fica crítico para muitas organizações, pois o seu planejamento
deveria estar focado no mapeamento dos processos críticos de negócios e
principalmente na elaboração de inventário dos ativos envolvidos, portanto, convém que
se seja monitorado regularmente [ISO/IEC 27002, 2005].
O checklist apresentado tem como proposta auxiliar os profissionais da área de
segurança em T.I que, durante a fase de planejamento e preparação da realização de um
pentest, como ferramenta auxiliar no processo de gestão de vulnerabilidades, para que
possam ter uma base genérica de tarefas a serem checadas durante essa fase.
Manaus, 08 a 10 de maio de 2014
ISSN 2238-5096 (CDR)
Anais do Encontro Regional de Computação e Sistemas de Informação
Ainda em seu estado inicial, o checklist proposto deverá ser implementado e
melhorado para que abranja mais tarefas e auxiliem nas perguntas a serem feitas durante
essa fase inicial do pentest, proporcionando assim um planejamento mais eficiente e
eficaz. Vale ressaltar que o checklist deve ser voltado para o modelo de negócio contrato.
Em futuros trabalhos, além das implementações e melhorias que devem ser
feitas, a elaboração das fases de Avaliação (Fase II) e Relatórios e Destruição de
Artefatos (Fase III) do pentest, fará o checklist mais completo, tornado-o possível
também, de base genérica de tarefas a serem propostas durante a realização toda de um
pentest em um ambiente de Computação em Nuvem.
A evolução proposta do checklist pode ser levado adiante por outros
profissionais e estudiosos da área, incluindo o desenvolvimento de uma ferramenta
automatizada para a realização dos pentests em Nuvem.
9. Referências Bibliográficas
ARAÚJO, Luiza Domingos; CASTRO, Rita de Cássia C., Uma Proposta de Gestão de
Riscos de Segurança da Informação para o uso de Dispositivos Móveis no Ambinete
Corporativo. In: VIII CONGRESSO NORTE NORDESTE DE PESQUISA E
INOVAÇÃO, 2013, Salvador – BA. VIII CONNEPI.
AWS,
Amazom.
Why
Core
CloudInspect.
2011.
Disponível
em:
<https://www.corecloudinspect.com/microsite/why-core-inspect.html>. Acesso em:
05 fev. 2014.
CASTRO, Rita de Cássia C.; Pimentel de Sousa, V. L., Segurança em Cloud Computing:
Governança e Gerenciamento de Riscos de Segurança, In: III Congresso Tecnológico
de TI e Telecom InfoBrasil 2010, Anais Eletrônicos; Fortaleza, CE, 2010.
Disponível
em
http://www.infobrasil.inf.br/userfiles/26-05-S5-1-68740Seguranca%20em%20Cloud.pdf
ENISA - The European Network and Information Security Agency, Cloud Computing
Benefits, risks and recommendation for information – November 2009.
<http://www.enisa.europa.eu/ >.
FELIPE, D. S. S., Oliveira, D. A., Lopes, K. D., Rocha, M. C, Cloud Computing:
definições e análises para além das vantagens, In: V Congresso Tecnológico de TI e
Telecom InfoBrasil 2012, Anais Eletrônicos; Fortaleza, CE, 2012. Disponível em:
<http://www.infobrasil.inf.br/userfiles/16-S3-2-97220-Cloud%20computing___.pdf>.
Acesso em: 01 nov. 2013
GIAVAROTO, Silva César Roxo; SANTOS, Gerson Raimundo dos. Backtrack
Linux: Auditoria e Teste de Invasão em Redes de Computadores. Ria de Janeiro:
Editora Ciência Moderna Ltda, 2013. 231 p.
GROBAUER, B., WALLASCHEK, T., STÖCKER E., Understanding CloudComputing Vulnerabilities – IEEE Security & Privacy – Special Issue on Cloud
Computing, 2010. Available <www.ieee.org>.
Manaus, 08 a 10 de maio de 2014
ISSN 2238-5096 (CDR)
Anais do Encontro Regional de Computação e Sistemas de Informação
INSTITUTE FOR SECURITY AND OPEN METHODOLOGIES. OSSTMM 3: Open
Source Security Testing Methodology Manual. Catalonia: Isecom, 2010. Disponível
em: <http://www.isecom.org/mirror/OSSTMM.3.pdf>. Acesso em: 13 jan. 2014.
IT+,
Brasil. Segmentos
em
Destaques. Disponível
<http://www.brasilitplus.com/brasilit/Portugues/detSegmentosDestaques.php>.
Acesso em: 02 mar. 2014.
em:
JAEGER, P. T., LIN, J., GRIMES J. M., Cloud Computing and Information Policy:
Computing in a Policy Cloud? - University of Maryland, MA – USA, 2009.
LABARGEL, Ralph., McGUIRE, Thomas., Cloud Penetration Testing - Johns Hopkins
University Applied Physics Laboratory, Laurel, MD, USA; Johns Hopkins University,
Baltimore, MD USA - International Journal on Cloud Computing: Services and
Architecture (IJCCSA),Vol.2, No.6, December 2012 DOI : 10.5121/ijccsa.2012.2604
43.
NIST (National Institute of Standards and Technology) - The NIST Definition of Cloud
Computing, Version 15, 10-7-2009, National Institute of Standards and Technology,
Information Technology Laboratory – Gaithersburg, Maryland – USA. Disponível
em: http://www.nist.org
OPEN INFORMATION SYSTEMS SECURITY GROUP. ISSAF 0.2.1: Information
Systems Security Assessment Framework. Colorado: Oissg, 2006. 1263 p.
Disponível em: <http://www.oissg.org/files/issaf0.2.1.pdf>. Acesso em: 13 jan. 2014.
SHACLEFORD, Dave. How to pen test cloud computing environments. 2011.
Disponível em: <http://searchcloudsecurity.techtarget.com/tip/How-to-pen-testcloud-computing-environments>. Acesso em: 12 nov. 2013.
THE LAW SOCIETY OF BRITISH COLUMBIA Practice Resource: Cloud
computing
checklist.
2013.
Disponível
em:
<https://www.lawsociety.bc.ca/docs/practice/resources/checklist-cloud.pdf>. Acesso
em: 05 fev. 2014.
WHITTAKER, James A.. Informativos sobre segurança: Testes de penetração. 2008.
Disponível em: <http://msdn.microsoft.com/pt-br/magazine/cc507646.aspx>. Acesso
em: 15 jan. 2014.
Manaus, 08 a 10 de maio de 2014
ISSN 2238-5096 (CDR)