Ferramenta de simulação de interface de linha de comando para aprendizado de segurança ofensiva

Abstract

Este trabalho apresenta a proposição de uma ferramenta de simulação computacional de tarefas de segurança ofensiva. Segurança ofensiva representa a atuação profissional em busca de vulnerabilidades a serem exploradas em uma infraestrutura de comunicação, a fim de corrigi-las. Essas atividades podem ser complexas, inacessíveis ou apresentar riscos, principalmente para iniciantes na área de segurança da informação. Para contornar obstáculos da realidade, como limitações de recursos e riscos associados, pode-se empregar técnicas de simulação computacional a fim de abstrair elementos da realidade para representa-la em um programa com algumas limitações, diminuindo as restrições indesejadas, evidenciando o comportamento em estudo e tornando o cenário simulado mais acessível ao usuário. Com esse intuito, esse trabalho especifica, desenvolve e apresenta um simulador acessível para o aprendizado e prática de segurança ofensiva, por meio da representação da execução de fluxo de comandos em uma interface gráfica similar à de um terminal do Kali Linux. Esse fluxo representa a condução dos passos para se executar uma tarefa de segurança ofensiva. Para comprovar a eficácia da proposta, é mapeado um cenário real de quebra de senha de rede Wi-Fi, sendo incluído no simulador e demonstrando a funcionalidade desta ferramenta e sua capacidade de reprodução de cenários de teste de segurança. O simulador desenvolvido atinge os objetivos propostos, e apresenta potencial de evolução e recursos para auxiliar em tarefas didáticas de aprendizado prático de segurança da informação. Um questionário foi conduzido com alunos do curso de Segurança da Informação da FATEC Americana e foi observado alinhamento entre o que a ferramenta propõe e as expectativas e necessidades dos alunos participantes.

This work presents the proposition of a computer simulation tool for offensive security tasks. Offensive security represents professional action in search of vulnerabilities to be exploited in a communication infrastructure, in order to correct them. These activities can be complex, inaccessible or present risks, especially for beginners in the area of information security. To circumvent reality obstacles, such as resource limitations and associated risks, computer simulation techniques can be employed in order to abstract elements of reality to represent it in a program with some limitations, reducing unwanted restrictions, focusing in the behavior under study and making the simulated scenario more accessible to the user. To this end, this work specifies, develops and presents an accessible simulator for offensive security learning and practice, by representing the execution of command flow in a graphical interface similar to that of a Kali Linux terminal. This flow represents the conduction of steps to perform an offensive security task. To prove the effectiveness of the proposal, a real Wi-Fi password cracking scenario is mapped, being included in the simulator and demonstrating the functionality of this tool and its ability to reproduce security test scenarios. The developed simulator achieves the proposed objectives, and presents potential for evolution and resources to assist in didactic tasks of practical information security learning. A questionnaire was conducted with students from the FATEC American Information Security course and an alignment was observed between what the tool proposes and the expectations and needs of the participating students.