3. O que é PCI
O PCI SSC (Payment Card Industry Security Standards
Council) é uma organização que une os principais players
internacionais do mercado de meios eletrônicos de
pagamento, incluindo:
MasterCard;
Visa;
American Express;
Discover Card;
JCB.
A organização foi reforçada por incidentes de segurança em
massa;
Seu objetivo é criar padrões de operação e segurança, para
proteger os dados de cartão de pagamento contra
roubo/fraude, desde 2004;
4. O que é PCI
O PCI DSS foi o primeiro padrão publicado pelo conselho e
visa a proteção dos números de cartão, código de segurança
(CVC2) e trilhas em todos os níveis da cadeia de
pagamentos:
•Adquirentes (Redecard, Visanet, Amex);
•Estabelecimentos Comerciais;
•Bancos Emissores;
•Processadoras;
•As próprias Bandeiras;
•O PCI-DSS foi baseado na ISO 27001/2 e em boas práticas
de segurança da informação do mercado;
•Além do DSS, o PCI publicou outras normas de segurança
para a indústria de cartões, focando a segurança de
aplicações e segurança de hardware
7. Principais Itens para não
conformidade:
Redes wireless abertas
•Desconhecimento do risco
•Guarda de informações sem criptografia
•Transmissão de informações sem criptografia
•Descarte de mídias eletrônicas ou não
•Ausência de Segregação de Funções
•Falhas no controle de acesso/Identidades
•Controles internos ineficientes
•Ausência de Auditorias TI/Negócio
•Falta de planos de continuidade/contingência
8. Exigência 11
Teste regularmente os sistemas e
processos de segurança.
As vulnerabilidades são continuamente
descobertas por hackers e pesquisadores e
introduzidas por novos softwares. Os sistemas,
processos e softwares customizados devem ser
testados freqüentemente para garantir que a
segurança está sendo mantida ao longo do
tempo e através das mudanças nos softwares.
10. Profissão Hacker Ético
O Termo hacker até hoje é usado para identificar
indivíduos com conhecimentos profundos em
desenvolvimento ou modificação de software e
hardware.
Por muito tempo este termos ficou marginalizado
como termo identificador de indivíduos que
acreditavam na informação livre e para tanto usavam
de suas habilidades em acessar sistemas e promover
tal disseminação da informação.
Hoje já existem treinamentos e certificações que
garante o conhecimento e procedimentos usados por
um hacker para atingir o objetivo de certificar-se que
um sistema é seguro.
Como o advento do PCI se faz necessário a atividade
legal de Hacker
11. Comprovadamente Hacker?
Quais as formas de apresentar-se como sendo
um hacker profissional?
Que tipo de habilidades devo ter para ter certeza
que sou um hacker ético e profissional?
Que tipo de ferramentas posso usar para
execução dos trabalhos?
Que tipo de relatório / laudo deve-se entregar ao
termino de um trabalho?
Como posso ter certeza que o objetivo foi
cumprido e o sistema NÃO foi comprometido, e
se foi devemos retorná-lo ao seu estado original
??????
12. Habilidades
Hacking Laws
Footprinting
Google Hacking
Scanning
Enumeration
System Hacking
Trojans and Backdoors
Viruses and Worms
Sniffers
Social Engineering
Phishing
Hacking Email Accounts
Denial-of-Service
Session Hijacking
Hacking Web Servers
Web Application Vulnerabilities
Web-Based Password Cracking Techniques
SQL Injection
Hacking Wireless Networks
Physical Security
Linux Hacking
Evading IDS, Firewalls and Detecting Honey Pots
Buffer Overflows
Cryptography
Penetration Testing
Covert Hacking
Writing Virus Codes
Assembly Language Tutorial
Exploit WritingModule 31: Smashing the Stack for Fun and
Profit
Windows Based Buffer Overflow Exploit Writing
Reverse Engineering
MAC OS X Hacking
Hacking Routers, cable Modems and Firewalls
Hacking Mobile Phones, PDA and Handheld Devices
Bluetooth Hacking
VoIP Hacking
RFID Hacking
Spamming
Hacking USB Devices
Hacking Database Servers
Cyber Warfare- Hacking, Al-Qaida and Terrorism
Internet Content Filtering Techniques
Privacy on the Internet
Securing Laptop Computers
Spying Technologies
Corporate Espionage- Hacking Using Insiders
Creating Security Policies
Software Piracy and Warez
Hacking and Cheating Online Games
Hacking RSS and Atom
Hacking Web Browsers (Firefox, IE)
Proxy Server Technologies
Data Loss Prevention
Hacking Global Positioning System (GPS)
Computer Forensics and Incident Handling
Credit Card Frauds
How to Steal Passwords
Firewall Technologies
Threats and Countermeasures
Botnets
Economic Espionage
Patch Management
Security Convergence
Identifying the Terrorist
13. Formação e certificação
C|EH – Certified Ethical Hacker
Certificação reconhecida mundialmente fornecida
pela EC-CONCIL
EC-CONCIL já certificou mais de 22.000
profissionais no mundo e treinou mais de 60.000
indivíduos
EC-CONCIL é a autora do treinamento e
certificação mais famosa do mundo – Computer
Hacking Forensic Investigator – C|HFI
14. Algumas ferramentas (open)
Uma boa ferramenta de SCAN de Portas
NMAP; NetStumbler
Ferramentas de analise de vulnerabilidades
NESSUS; NeXpose; Nikto
Ferramenta de apoio a PEN TEST
(Framework)
Metasploit
NetStumbler (wireless )
15. S3-Strong Security School
2010 – Lançamento da S3
Parceria com a (ISC)2
Seminário preparatório para certificação CISSP
Testes de Certificação CISSP
Parceria com a EC-Council
Vários curso e certificações internacionais:
Certified Ethical Hacker – C|EH
Computer Hacking Forensic Investigator – C|HFI
Disaster Recovery Profesional