Por várias razões, uma das tarefas mais trabalhosas em qualquer auditoria de segurança de aplicações na web é a elaboração dos relatórios: depois de escolher e utilizar as ferramentas de varredura, esperar pelos resultados e analisá-los, será preciso consolidar tudo num relatório em modelo padrão do cliente ou da empresa de segurança. Para piorar, cada ferramenta emite seu relatório num padrão diferente. Esse é apenas um dos problemas solucionados pelo Gauntlet, o portal de serviços de varredura de aplicações web lançado pela empresa de segurança Flare Security, de São Paulo, que utiliza vários scanners e emite relatórios unificados com gráficos e tabelas que facilitam a leitura dos resultados.
Operando como software-as-a-service disponível no endereço www.gauntlet.io, o Gauntlet foi desenvolvido como uma verdadeira plataforma de testes de penetração. Na definição de Anderson Dadário, o fundador da Flare, ele é um orquestrador de scanners. Neste momento, o Gauntlet tem 7 scanners instalados, incluindo os clássicos Owasp ZAP e OpenVAS, mas o cliente pode acrescentar outros, inclusive comerciais caso queira, numa das opções de contratação dos serviços.
Dispor de um conjunto de ferramentas de varredura que podem operar simultaneamente traz uma enorme vantagem para o trabalho de auditoria de aplicações em rede. Quem conhece o assunto sabe das dificuldades de instalação e atualização de cada uma dessas ferramentas, além das dificuldades de utilizá-las separadamente, cada uma com sua curva de aprendizado e dashboard específico. E depois de cada varredura cada uma produzindo relatórios em seu próprio padrão. A unificação deles para a montagem de um relatório final destinado a um cliente é bem trabalhosa – a não ser que o profissional tenha experiência e tempo suficientes para capturar o texto dos logs e formatá-los em conjunto num relatório final.
O Gauntlet foi desenvolvimento primeiramente em inglês, porque segundo Anderson Dadário sua proposta é também atender clientes de outros países, embora a maioria dos clientes da Flare esteja no Brasil.
Em tese, o Gauntlet pode ser operado por qualquer pessoa, mas ele não faz isso somente ao se indicar o endereço da aplicação web a ser varrida e clicar no botão de início da varredura: por medida de segurança, antes que ela seja feita, o administrador do site a ser analisado precisa gravar em diretório público um arquivo fornecido pela Flare, contendo um código que autentica aquele site como liberado para o trabalho. Sem ele, a varredura não pode ser iniciada. É uma validação de propriedade, como diz Dadário.
A operação pode durar algumas horas, conforme a extensão do aplicativo e conforme o número de scanners selecionados para o trabalho, mas o resultado compensa: o Gauntlet emite um relatório consolidado com a gravidade dos problemas distribuída em duas vertentes: técnica e negocial. A gravidade técnica é definida pelo grau de vulnerabilidade que o problema oferece para a aplicação, enquanto a gravidade negocial é definida pelo próprio cliente. Os problemas são separados também pela sua natureza, ou seja, de aplicação, de rede/servidor, assim como também podem ser visualizados em função do scanner que fez a varredura – cada um terá sua própria lista de vulnerabilidades encontradas.
Com os recursos da plataforma em evolução diariamente graças ao empenho pessoal de Dadário, o Gauntlet já tem preços de utilização, distribuídos em cinco faixas, que vão desde gratuito (qualquer profissional pode fazer até dez varreduras por mês, sendo um endereço de cada vez) até US$ 499/mês, para um pacote com número ilimitado de varreduras, de servidores/aplicações e podendo lançar até dez delas simultaneamente. Esse pacote, com suporte premium (o próprio Dadário se encarrega de todo ele) permite que o cliente inclua scanners de sua escolha, que faça varredura de rede, instale um VSA (virtual scanner appliance) e forneça logins para membros da sua equipe de segurança.
Há pacotes com valores menores, nos quais a principal diferença em relação ao descrito acima é o número de varreduras em operação: cinco simultaneamente, duas e uma.
Um dos mais novos aperfeiçoamentos – que irá ajudar muito as equipes de desenvolvimento – é a análise estática de código. Esse recurso permite que o cliente envie o código da aplicação para análise pelo Gauntlet, recebendo a seguir o relatório das vulnerabilidades encontradas. Outra evolução que acaba de ser implantada é a conexão da saída dos scanners com web hooks, para automatizar ações como, por exemplo, a abertura de chamados para as equipes de segurança logo que uma vulnerabilidade seja encontrada.
É possível, também, utilizá-lo para fazer o monitoramento constante de certificados HTTPS, verificando sua validade e emitindo alertas antes que a validade se esgote e isso traga problemas para a aplicação. Desde Janeiro, adianta Dadário, o Gauntlet já está disponível para instalação e operação no datacenter do cliente.
Apesar de todos esses recursos, o Gauntlet vai bem além das varreduras de aplicações, de redes e de servidores, abordando também consultoria em compliance e certificação de aplicações. Para isso, a contribuição maior é a experiência de Dadário como profissional de segurança e de instrutor dos cursos da (ISC)².
Como parte do alicerce do Gauntlet são scanners instalados a partir da da sua versão open source ou gratuita, a Flare deverá em algum momento retribuir a comunidade open source com algum benefício, diz Anderson Dadário.