Este documento discute como se tornar um hacker profissional de forma ética. Ele aborda as exigências do PCI para segurança de dados de cartão de crédito, habilidades necessárias como um hacker ético, formas de se certificar como um hacker profissional através de treinamentos e certificações reconhecidas internacionalmente como C|EH e C|HFI. Ferramentas comuns usadas por hackers éticos em pentests também são discutidas.
1. SEJA UM HACKER
PROFISSIONAL
Dario Caraponale - Diretor Comercial
2. Agenda
Abertura
Exigências PCI
g C
Hacker Ético
Formação profissional e certificações
F ã fi i l ifi õ
Perguntas
3. O que é PCI
O PCI SSC (Payment Card Industry Security Standards Council) é
uma organização que une os principais players internacionais do
mercado de meios eletrônicos d pagamento, i l i d
d d i l ô i de incluindo:
MasterCard;
Visa;
American Express;
Discover Card;
JCB.
A organização foi reforçada por incidentes de segurança em
massa;
Seu objetivo é criar padrões de operação e segurança para
segurança,
proteger os dados de cartão de pagamento contra roubo/fraude,
desde 2004;
4. O que é PCI
O PCI DSS foi o primeiro padrão publicado pelo conselho e visa a
proteção dos números de cartão, código de segurança (CVC2) e
trilhas em todos os níveis da cadeia de pagamentos:
lh d í d d d
•Adquirentes (Redecard, Visanet, Amex);
•Estabelecimentos Comerciais;
;
•Bancos Emissores;
•Processadoras;
•As próprias Bandeiras;
•O PCI-DSS foi baseado na ISO 27001/2 e em boas práticas de
segurança da informação do mercado;
•Além do DSS, o PCI publicou outras normas de segurança para a
A
indústria de cartões, focando a segurança de aplicações e
segurança de hardware
7. Principais Itens para não
conformidade:
Redes i l
R d wireless abertas
b t
•Desconhecimento do risco
•Guarda de i f
•G d d informações sem criptografia
õ i t fi
•Transmissão de informações sem criptografia
•Descarte de mídias eletrônicas ou não
•Ausência de Segregação de Funções
•Falhas no controle de acesso/Identidades
•Controles internos ineficientes
•Ausência de Auditorias TI/Negócio
•Falta de planos de continuidade/contingência
8. Exigência 11
Teste regularmente os sistemas e processos de
segurança.
As vulnerabilidades são continuamente descobertas por
hackers e pesquisadores e introduzidas por novos
softwares. Os sistemas, processos e softwares
customizados devem ser testados freqüentemente para
garantir que a segurança está sendo mantida ao longo
do tempo e através das mudanças nos softwares.
10. Profissão Hacker Ético
O Termo hacker até hoje é usado para identificar indivíduos
T h k té h j d id tifi i di íd
com conhecimentos profundos em desenvolvimento ou
modificação de software e hardware.
Por muito tempo este termos ficou marginalizado como
termo identificador de indivíduos que acreditavam na
informação livre e para tanto usavam de suas habilidades
em acessar sistemas e promover tal disseminação da
informação.
Hoje já existem treinamentos e certificações que garante o
f
conhecimento e procedimentos usados por um hacker para
atingir o objetivo de certificar-se que um sistema é seguro.
g j q g
Como o advento do PCI se faz necessário a atividade legal
de Hacker
11. Comprovadamente Hacker?
Quais formas d apresentar-se como sendo um
Q i as f de t d
hacker profissional?
Que tipo de habilidades devo ter para ter certeza que
sou um hacker ético e profissional?
Que tipo de ferramentas posso usar para execução dos
p p p ç
trabalhos?
Que tipo de relatório / laudo deve-se entregar ao
termino de um trabalho?
t i d t b lh ?
Como posso ter certeza que o objetivo foi cumprido e o
sistema NÃO foi comprometido, e se foi devemos
comprometido
retorná-lo ao seu estado original
??????
12. Habilidades
Hacking Laws
g
Assembly L
A bl Language T t i l
Tutorial Data Loss Prevention
Footprinting
Exploit WritingModule 31: Smashing the Stack for Fun and Profit Hacking Global Positioning System (GPS)
Google Hacking
Windows Based Buffer Overflow Exploit Writing
Computer Forensics and Incident Handling
Scanning
Reverse Engineering
Enumeration Credit Card Frauds
MAC OS X Hacking
Sy
System Hacking
g How to Steal Passwords
Hacking Routers, cable M d
H ki R bl Modems and Fi
d Firewalls
ll
Trojans and Backdoors Firewall Technologies
Hacking Mobile Phones, PDA and Handheld Devices
Viruses and Worms Threats and Countermeasures
Bluetooth Hacking
Sniffers
VoIP Hacking Botnets
Social Engineering
RFID Hacking Economic Espionage
Phishing
Spamming Patch Management
Hacking Email Accounts
Hacking USB Devices
Security Convergence
Denial-of-Service
Hacking Database Servers
Session Hijacking Identifying the Terrorist
Cyber Warfare- Hacking, Al-Qaida and Terrorism
Hacking Web Servers
Internet Content Filtering Techniques
Web Application Vulnerabilities
Privacy on the Internet
Web-Based Password Cracking Techniques
Securing Laptop Computers
SQL Injection
Spying Technologies
Hacking Wireless Networks
Corporate Espionage- Hacking Using Insiders
Physical Security
Creating Security Policies
Linux H ki
Li Hacking
Software Piracy and Warez
Evading IDS, Firewalls and Detecting Honey Pots
Hacking and Cheating Online Games
Buffer Overflows
Hacking RSS and Atom
Cryptography
Hacking Web Browsers (Firefox, IE)
Penetration Testing
Proxy Server Technologies
Covert H k
C Hacking
Writing Virus Codes
13. Formação e certificação
C|EH – Certified Ethical Hacker
Certificação reconhecida mundialmente fornecida pela
EC-CONCIL
EC-CONCIL já certificou mais de 22.000 profissionais
no mundo e treinou mais de 60.000 indivíduos
EC-CONCIL é a autora do treinamento e certificação
mais famosa do mundo – Computer Hacking Forensic
Investigator – C|HFI
14. Algumas ferramentas (open)
Uma boa ferramenta de SCAN de Portas
NMAP; NetStumbler
Ferramentas de analise de vulnerabilidades
NESSUS; NeXpose; Nikto
Ferramenta de apoio a PEN TEST (Framework)
Metasploit
M l i
NetStumbler (wireless )
15. S3-Strong Security School
2010 – Lançamento da S3
Parceria com a (ISC)2
Seminário preparatório para certificação CISSP
Testes de Certificação CISSP
Parceria com a EC-Council
Vários curso e certificações internacionais:
Certified Ethical Hacker – C|EH
Computer Hacking Forensic Investigator – C|HFI
Disaster Reco er Profesional
Recovery