SlideShare ist ein Scribd-Unternehmen logo

Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas

SegInfo
SegInfo

Alexandro Silva Palestra: Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas

Technologie
1 von 25
Downloaden Sie, um offline zu lesen
12 e 13 de agosto 2011 – Rio de janeiro/RJ
Proteja sua Hovercraft: Mantendo sua nave livre dos sentinelas Alexandro Silva alexos@alexos.org http://alexos.org @alexandrosilva
• Analista de segurança; • Professor na Pós-graduação em Segurança da Informação; • Consultor independente em Segurança da Informação com expertise em tecnologias Open-Source.
Porque proteger seus sistemas disponibilizados na Web? • Para manter a integridade e disponibilidade dos dados da sua organização; • Para evitar que ataques como SQLi ,XSS entre outros* afetem seus sistemas e a imagem/produto da sua empresa. * OWASP Top Ten - http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
E agora?!?! O que fazer??
Segurança coorporativa: ✔ Política de segurança: ● Normatização, Conscientização. ✔ Proteção de borda: ● Firewall ( IPS, Webanalyzer, AV, Antispam, etc). ✔ Proteção em profundidade: ● Antivírus, HIDS. ● E…
… Mão de obra especializada!!
Metodologia PDHM • Plan - Planejar • Deploy - Implantar • Harden - Fortalecer • Monitor - Monitorar
Implantar ( Deploy ) O dilema da atualização: ● ● “Requisitos” da aplicação; ● Confiança na plataforma: ● Ex: FreeBSD, OpenBSD, Solaris ● MEDO!!!
Fortalecer ( Harden ) • Hardening • Remoção dos serviços desnecessários; • Política de senhas; • Antivírus; • Camadas extras de segurança ( e.g. SELinux ).
Fortalecer ( Harden ) Checklist Linux ● Hntool - http://migre.me/3SQHQ ● Linux Sec. Checklist Tool - http://migre.me/3SQFY ● Bastille Linux - http://migre.me/3SRm3
Fortalecer ( Harden ) Checklist Windows • Security Configuration Wizard - Incluído no W2k3 e W2k8 • Harden-It - http://migre.me/3SQJR
Hands On ● Vulnerabilidades na infraestrutura: ● Falhas na configuração dos serviços ( Apache e PHP ) ● Vulnerabilidades no desenvolvimento: ● SQLi, XSS, RFI, LFI
Exploração - Hands On • Vulnerabilidades no Apache e PHP o nikto -h hackme – Infos do Apache e PHP; » Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny9 – Vulnerabilidade do Xmlrpc; » /xmlrpc.php: xmlrpc.php was found.
Exploração - Hands On ● Remote Code Execution Exploitation PoC ● php wpx.php -h http://hackme -c 'system("id;uname -a"); ● php wpx.php -h http://hackme -c 'system("cat wp-config.php");
Harden - Hands On • Ajustes no servidor Web o Editar o /etc/apache2/conf.d/security ServerTokens Prod ServerSignature Off TraceEnable Off
Harden - Hands On • Ajustes no PHP allow_url_fopen = Off # Impede RFI e LFI display_errors = Off # Impede a exibição das mensagens de erros magic_quotes_gpc = Off # Impede a execução de caracteres especiais Protege contra ataques de SQLi allow_url_include = Off # Impede o acesso a arquivos remotos, evitando injeção de código malicioso. expose_php = Off # Impede a exibição das informações sobre o PHP register_globals = Off # Impede a execução de string maliciosas devido a falhas no desenvolvimento.
Exploração - Hands On ● Testando: ● nikto -h hackme ● Remote Code Execution Exploitation PoC ● php wpx.php -h http://hackme -c 'system("id;uname -a");
Exploração - Hands On ● Vulnerabilidades no desenvolvimento: ● Vitima: http://hackme ● SQLi teste: http://hackme/index.php?cat=1'
Harden - Hands On • Camada extra de segurança o Ossec Hids Projeto do brasileiro Daniel Cid que integra análise de log, checagem de integridade de arquivos, monitoramento do registro do Windows, politica centralizada, detecção de rootkit, alerta em tempo real e resposta automática.
Monitorar • Acompanhar desempenho e a segurança é muito importante. • Ferramentas: o Munin o Zabbix ou Nagios o Ossec HIDS
Contatos Email: alexos@alexos.org Site: http://alexos.org Twitter:@alexandrosilva

Empfohlen

Hardening Linux
Hardening LinuxHardening Linux
Hardening Linux
hdoria
 
Dicas de segurança para o PHP e seus amigos
Dicas de segurança para o PHP e seus amigosDicas de segurança para o PHP e seus amigos
Dicas de segurança para o PHP e seus amigos
Joubert Guimarães de Assis "RedRat"
 
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
tdc-globalcode
 
Introdução a analise de vulnerabilidades Web
Introdução a analise de vulnerabilidades WebIntrodução a analise de vulnerabilidades Web
Introdução a analise de vulnerabilidades Web
Twisting The Truth
 
Web seminario hardening
Web seminario hardeningWeb seminario hardening
Web seminario hardening
Dell Technologies
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
Jeronimo Zucco
 
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Jeronimo Zucco
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications Firewalls
Jeronimo Zucco
 

Empfohlen

Hardening Linux
Hardening LinuxHardening Linux
Hardening Linux
hdoria
 
Dicas de segurança para o PHP e seus amigos
Dicas de segurança para o PHP e seus amigosDicas de segurança para o PHP e seus amigos
Dicas de segurança para o PHP e seus amigos
Joubert Guimarães de Assis "RedRat"
 
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
tdc-globalcode
 
Introdução a analise de vulnerabilidades Web
Introdução a analise de vulnerabilidades WebIntrodução a analise de vulnerabilidades Web
Introdução a analise de vulnerabilidades Web
Twisting The Truth
 
Web seminario hardening
Web seminario hardeningWeb seminario hardening
Web seminario hardening
Dell Technologies
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
Jeronimo Zucco
 
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Jeronimo Zucco
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications Firewalls
Jeronimo Zucco
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de Redes
Bruno Alexandre
 
Segurança no Linux
Segurança no LinuxSegurança no Linux
Segurança no Linux
Juliana Félix
 
2013 - 4 Google Open Source Jam
2013 - 4 Google Open Source Jam2013 - 4 Google Open Source Jam
2013 - 4 Google Open Source Jam
Mauro Risonho de Paula Assumpcao
 
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...
Bruno Alexandre
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
SegInfo
 
Segurança Através de Gerência de Configurações
Segurança Através de Gerência de ConfiguraçõesSegurança Através de Gerência de Configurações
Segurança Através de Gerência de Configurações
Jeronimo Zucco
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
SoftD Abreu
 
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
Leandrinho Vieira
 
Desenvolvimento seguro
Desenvolvimento seguroDesenvolvimento seguro
Desenvolvimento seguro
Marcelo Fleury
 
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Clavis Segurança da Informação
 
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoWebinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Clavis Segurança da Informação
 
Pentest Auto-Ensinado
Pentest Auto-EnsinadoPentest Auto-Ensinado
Pentest Auto-Ensinado
Leandro Magnabosco
 
Segurança em Redes Corporativas
Segurança em Redes CorporativasSegurança em Redes Corporativas
Segurança em Redes Corporativas
Higor Diego
 
Automatizando seu hardening com o Ansible - Matheus Guizolfi
Automatizando seu hardening com o Ansible - Matheus GuizolfiAutomatizando seu hardening com o Ansible - Matheus Guizolfi
Automatizando seu hardening com o Ansible - Matheus Guizolfi
Tchelinux
 
Site invadido
Site invadidoSite invadido
Site invadido
Edilson Feitoza
 
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHCOficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Mauro Risonho de Paula Assumpcao
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!
Leandro Magnabosco
 
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Thiago Dieb
 
Modelagem Digital UDF Projeto Nave e Lata de refrigerante Monster
Modelagem Digital UDF Projeto Nave e Lata de refrigerante MonsterModelagem Digital UDF Projeto Nave e Lata de refrigerante Monster
Modelagem Digital UDF Projeto Nave e Lata de refrigerante Monster
Dra. Camila Hamdan
 
Realidade Aumentada para alunos de 2º grau
Realidade Aumentada para alunos de 2º grauRealidade Aumentada para alunos de 2º grau
Realidade Aumentada para alunos de 2º grau
Brenda Lucena
 
Nave Escola Planetário Rio de Janeiro
Nave Escola Planetário Rio de JaneiroNave Escola Planetário Rio de Janeiro
Nave Escola Planetário Rio de Janeiro
maurizio zelada
 
Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...
Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...
Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...
Dra. Camila Hamdan
 

Weitere ähnliche Inhalte

Was ist angesagt?

Segurança em Redes Corporativas
Segurança em Redes CorporativasSegurança em Redes Corporativas
Segurança em Redes Corporativas
Higor Diego
 
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Thiago Dieb
 

Was ist angesagt? (18)

Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de Redes
 
Segurança no Linux
Segurança no LinuxSegurança no Linux
Segurança no Linux
 
2013 - 4 Google Open Source Jam
2013 - 4 Google Open Source Jam2013 - 4 Google Open Source Jam
2013 - 4 Google Open Source Jam
 
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
 
Segurança Através de Gerência de Configurações
Segurança Através de Gerência de ConfiguraçõesSegurança Através de Gerência de Configurações
Segurança Através de Gerência de Configurações
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
 
Desenvolvimento seguro
Desenvolvimento seguroDesenvolvimento seguro
Desenvolvimento seguro
 
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)
 
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoWebinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
 
Pentest Auto-Ensinado
Pentest Auto-EnsinadoPentest Auto-Ensinado
Pentest Auto-Ensinado
 
Segurança em Redes Corporativas
Segurança em Redes CorporativasSegurança em Redes Corporativas
Segurança em Redes Corporativas
 
Automatizando seu hardening com o Ansible - Matheus Guizolfi
Automatizando seu hardening com o Ansible - Matheus GuizolfiAutomatizando seu hardening com o Ansible - Matheus Guizolfi
Automatizando seu hardening com o Ansible - Matheus Guizolfi
 
Site invadido
Site invadidoSite invadido
Site invadido
 
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHCOficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!
 
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
 

Andere mochten auch

GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)
GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)
GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)
Dra. Camila Hamdan
 
Percepção e análise do espaço urbano - Jardim Canadá/Nova Lima MG
Percepção e análise do espaço urbano - Jardim Canadá/Nova Lima MGPercepção e análise do espaço urbano - Jardim Canadá/Nova Lima MG
Percepção e análise do espaço urbano - Jardim Canadá/Nova Lima MG
Maria Emília
 
A humanização do ambiente hospitalar
A humanização do ambiente hospitalarA humanização do ambiente hospitalar
A humanização do ambiente hospitalar
Eugenio Rocha
 

Andere mochten auch (20)

Modelagem Digital UDF Projeto Nave e Lata de refrigerante Monster
Modelagem Digital UDF Projeto Nave e Lata de refrigerante MonsterModelagem Digital UDF Projeto Nave e Lata de refrigerante Monster
Modelagem Digital UDF Projeto Nave e Lata de refrigerante Monster
 
Realidade Aumentada para alunos de 2º grau
Realidade Aumentada para alunos de 2º grauRealidade Aumentada para alunos de 2º grau
Realidade Aumentada para alunos de 2º grau
 
Nave Escola Planetário Rio de Janeiro
Nave Escola Planetário Rio de JaneiroNave Escola Planetário Rio de Janeiro
Nave Escola Planetário Rio de Janeiro
 
Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...
Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...
Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...
 
áFrica do sul.
áFrica do sul.áFrica do sul.
áFrica do sul.
 
Arquitetura e Projeto - Todos os mundos: um só mundo, arquitetura 21
Arquitetura e Projeto - Todos os mundos: um só mundo, arquitetura 21Arquitetura e Projeto - Todos os mundos: um só mundo, arquitetura 21
Arquitetura e Projeto - Todos os mundos: um só mundo, arquitetura 21
 
GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)
GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)
GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)
 
Percepção e análise do espaço urbano - Jardim Canadá/Nova Lima MG
Percepção e análise do espaço urbano - Jardim Canadá/Nova Lima MGPercepção e análise do espaço urbano - Jardim Canadá/Nova Lima MG
Percepção e análise do espaço urbano - Jardim Canadá/Nova Lima MG
 
Arquitectura e acustica
Arquitectura e acusticaArquitectura e acustica
Arquitectura e acustica
 
He 2015-04 - acústica
He 2015-04 - acústicaHe 2015-04 - acústica
He 2015-04 - acústica
 
Apresentação Projeto IASD Cidade Alta
Apresentação Projeto IASD Cidade Alta Apresentação Projeto IASD Cidade Alta
Apresentação Projeto IASD Cidade Alta
 
Acustica da sala de cinema
Acustica da sala de cinemaAcustica da sala de cinema
Acustica da sala de cinema
 
Slide de anisio pronto para apresentação de susana
Slide de anisio pronto para apresentação de susanaSlide de anisio pronto para apresentação de susana
Slide de anisio pronto para apresentação de susana
 
Apostila formatada paisagismo
Apostila formatada paisagismoApostila formatada paisagismo
Apostila formatada paisagismo
 
Acustica isolamento
Acustica isolamentoAcustica isolamento
Acustica isolamento
 
Acústica
AcústicaAcústica
Acústica
 
Acústica
AcústicaAcústica
Acústica
 
A humanização do ambiente hospitalar
A humanização do ambiente hospitalarA humanização do ambiente hospitalar
A humanização do ambiente hospitalar
 
Slides artigo científico
Slides artigo científicoSlides artigo científico
Slides artigo científico
 
Humanização na saúde
Humanização na saúdeHumanização na saúde
Humanização na saúde
 

Ähnlich wie Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas

Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Thiago Dieb
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
Impacta Eventos
 
OpenShift: NoSQL "a la carte" num PaaS 100% Open Source
OpenShift: NoSQL "a la carte" num PaaS 100% Open SourceOpenShift: NoSQL "a la carte" num PaaS 100% Open Source
OpenShift: NoSQL "a la carte" num PaaS 100% Open Source
Edgar Silva
 
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
As Zone
 
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
Thiago Dieb
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOps
Tenchi Security
 

Ähnlich wie Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas (20)

Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
 
OpenShift: NoSQL "a la carte" num PaaS 100% Open Source
OpenShift: NoSQL "a la carte" num PaaS 100% Open SourceOpenShift: NoSQL "a la carte" num PaaS 100% Open Source
OpenShift: NoSQL "a la carte" num PaaS 100% Open Source
 
DevOps: desenvolvedores e sysadmins cooperando na prática
DevOps: desenvolvedores e sysadmins cooperando na práticaDevOps: desenvolvedores e sysadmins cooperando na prática
DevOps: desenvolvedores e sysadmins cooperando na prática
 
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
 
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
 
H2HC University 2014
H2HC University 2014H2HC University 2014
H2HC University 2014
 
Palestra criando aplicações seguras com php (2)
Palestra criando aplicações seguras com php (2)Palestra criando aplicações seguras com php (2)
Palestra criando aplicações seguras com php (2)
 
See project - Segurança em Cloud Computing v2 FISL 11 2010
See project - Segurança em Cloud Computing v2 FISL 11 2010See project - Segurança em Cloud Computing v2 FISL 11 2010
See project - Segurança em Cloud Computing v2 FISL 11 2010
 
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSLPalestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
 
See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOps
 
10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro Bennaton10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro Bennaton
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores Linux
 
Hands-On – ExtJS
Hands-On – ExtJSHands-On – ExtJS
Hands-On – ExtJS
 
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
 
Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1
 

Mehr von SegInfo

Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
SegInfo
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
SegInfo
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013
SegInfo
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05
SegInfo
 
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão..."Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
SegInfo
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
SegInfo
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
SegInfo
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini
SegInfo
 

Mehr von SegInfo (19)

Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
 
Midiakit SegInfo 2015
Midiakit SegInfo 2015Midiakit SegInfo 2015
Midiakit SegInfo 2015
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05
 
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
 
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire..."Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
 
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão..."Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan Bonagura
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini
 
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
 

Kürzlich hochgeladen

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
2m Assessoria
 
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docxATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
2m Assessoria
 

Kürzlich hochgeladen (9)

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docxATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
 
Programação Orientada a Objetos - 4 Pilares.pdf
Programação Orientada a Objetos - 4 Pilares.pdfProgramação Orientada a Objetos - 4 Pilares.pdf
Programação Orientada a Objetos - 4 Pilares.pdf
 
Luís Kitota AWS Discovery Day Ka Solution.pdf
Luís Kitota AWS Discovery Day Ka Solution.pdfLuís Kitota AWS Discovery Day Ka Solution.pdf
Luís Kitota AWS Discovery Day Ka Solution.pdf
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docxATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 

Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas

  • 1. 12 e 13 de agosto 2011 – Rio de janeiro/RJ
  • 2. Proteja sua Hovercraft: Mantendo sua nave livre dos sentinelas Alexandro Silva alexos@alexos.org http://alexos.org @alexandrosilva
  • 3. • Analista de segurança; • Professor na Pós-graduação em Segurança da Informação; • Consultor independente em Segurança da Informação com expertise em tecnologias Open-Source.
  • 4. Porque proteger seus sistemas disponibilizados na Web? • Para manter a integridade e disponibilidade dos dados da sua organização; • Para evitar que ataques como SQLi ,XSS entre outros* afetem seus sistemas e a imagem/produto da sua empresa. * OWASP Top Ten - http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
  • 5.
  • 6. E agora?!?! O que fazer??
  • 7. Segurança coorporativa: ✔ Política de segurança: ● Normatização, Conscientização. ✔ Proteção de borda: ● Firewall ( IPS, Webanalyzer, AV, Antispam, etc). ✔ Proteção em profundidade: ● Antivírus, HIDS. ● E…
  • 8. … Mão de obra especializada!!
  • 9. Metodologia PDHM • Plan - Planejar • Deploy - Implantar • Harden - Fortalecer • Monitor - Monitorar
  • 10. Implantar ( Deploy ) O dilema da atualização: ● ● “Requisitos” da aplicação; ● Confiança na plataforma: ● Ex: FreeBSD, OpenBSD, Solaris ● MEDO!!!
  • 11. Fortalecer ( Harden ) • Hardening • Remoção dos serviços desnecessários; • Política de senhas; • Antivírus; • Camadas extras de segurança ( e.g. SELinux ).
  • 12. Fortalecer ( Harden ) Checklist Linux ● Hntool - http://migre.me/3SQHQ ● Linux Sec. Checklist Tool - http://migre.me/3SQFY ● Bastille Linux - http://migre.me/3SRm3
  • 13. Fortalecer ( Harden ) Checklist Windows • Security Configuration Wizard - Incluído no W2k3 e W2k8 • Harden-It - http://migre.me/3SQJR
  • 14. Hands On ● Vulnerabilidades na infraestrutura: ● Falhas na configuração dos serviços ( Apache e PHP ) ● Vulnerabilidades no desenvolvimento: ● SQLi, XSS, RFI, LFI
  • 15. Exploração - Hands On • Vulnerabilidades no Apache e PHP o nikto -h hackme – Infos do Apache e PHP; » Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny9 – Vulnerabilidade do Xmlrpc; » /xmlrpc.php: xmlrpc.php was found.
  • 16. Exploração - Hands On ● Remote Code Execution Exploitation PoC ● php wpx.php -h http://hackme -c 'system("id;uname -a"); ● php wpx.php -h http://hackme -c 'system("cat wp-config.php");
  • 17. Harden - Hands On • Ajustes no servidor Web o Editar o /etc/apache2/conf.d/security ServerTokens Prod ServerSignature Off TraceEnable Off
  • 18. Harden - Hands On • Ajustes no PHP allow_url_fopen = Off # Impede RFI e LFI display_errors = Off # Impede a exibição das mensagens de erros magic_quotes_gpc = Off # Impede a execução de caracteres especiais Protege contra ataques de SQLi allow_url_include = Off # Impede o acesso a arquivos remotos, evitando injeção de código malicioso. expose_php = Off # Impede a exibição das informações sobre o PHP register_globals = Off # Impede a execução de string maliciosas devido a falhas no desenvolvimento.
  • 19. Exploração - Hands On ● Testando: ● nikto -h hackme ● Remote Code Execution Exploitation PoC ● php wpx.php -h http://hackme -c 'system("id;uname -a");
  • 20. Exploração - Hands On ● Vulnerabilidades no desenvolvimento: ● Vitima: http://hackme ● SQLi teste: http://hackme/index.php?cat=1'
  • 21. Harden - Hands On • Camada extra de segurança o Ossec Hids Projeto do brasileiro Daniel Cid que integra análise de log, checagem de integridade de arquivos, monitoramento do registro do Windows, politica centralizada, detecção de rootkit, alerta em tempo real e resposta automática.
  • 22.
  • 23. Monitorar • Acompanhar desempenho e a segurança é muito importante. • Ferramentas: o Munin o Zabbix ou Nagios o Ossec HIDS
  • 24.