SlideShare ist ein Scribd-Unternehmen logo

Segurança da Informação e Testes de Invasão

Als PPT, PDF herunterladen
Thiago Finardi
Thiago Finardi

Thiago Finardi é um professor e especialista em segurança da informação com várias certificações. Ele irá apresentar sobre testes de invasão éticos, também conhecidos como pentesting, que são realizados para encontrar vulnerabilidades e tornar sistemas mais seguros. O documento discute os tipos, fases e ferramentas de testes de invasão.

Technologie
1 von 35
Prof: Thiago Alves Finardi
Thiago Finardi • Graduado em Análise de Sistemas; • Pós Graduado em Segurança da Informação; • Docente do Senac Uruguaiana • Microsoft Student Partner; • Certificação Linux Professional Institute; • Certificação Novell Data Center Specialist • Academia do Hacker Ético IFRN • Perito Forense Computacional • Degustador de Cervejas Especiais
Vamos aprender a Hackear?
Vamos aprender a Hackear?
Segurança da Informação • Ela existe? Porque é importante? • Atualmente, o que proteger?
Segurança da Informação • Conhecer: Ameaças, vulnerabilidades e estimar os RISCOS ao negócio
O que é um Hacker?
O perfil dos atacantes
Você compraria um produto sem testar?
Teste de Invasão • O teste de invasão corresponde à metodologia, ao processo e aos procedimentos usados pelos pentesters, de acordo com diretrizes específicas e aprovadas, na tentativa de burlar as proteções de um sistema de informação, incluindo anular os recursos de segurança integrados do sistema. BROAD; BINDNER (2014, p. 19). • Invadir para proteger!
Testes de Invasão • São uma tentativa legal e autorizada de localizar e explorar redes computacionais e sistemas em rede de forma bem-sucedida, com o intuito de tornar esses sistemas mais seguros. • O processo inclui sondar vulnerabilidades, como oferecer ataques que funcionem como prova de conceito para demonstrar que eles são reais. • Abordado pelo CEH (Certified Ethical Hacking)
Tipos de Testes de Invasão • Black Box – Teste realizado em um sistema remoto sem nenhum conhecimento do alvo. • Gray Box – Teste realizado entre departamentos ou sub-redes de uma intranet com conhecimento parcial da estrutura. • White Box – Teste realizado em uma intranet local, com total conhecimento do alvo.
Fases de um Teste de Invasão
Dê atenção ao reconhecimento
Fases de um Teste de Invasão
O Ethical Hacker • O Hacking Ético é uma atividade profissional dotada de habilidades para encontrar as vulnerabilidades e fraquezas dos sistemas, utilizando os mesmos conhecimentos, ferramentas e metodologias empregadas por um atacante malicioso. • Um pentester profissional que ataca os sistemas em nome do proprietário do sistema ou da empresa proprietária do sistema de informação
O que testar? • Controles de segurança físicos • Sistemas • Sites • Redes (Ethernet, Wi-Fi, VOIP, Bluetooth, etc) • Banco de dados • Servidores • Dispositivos, equipamentos • Qualquer coisa que manipule informações • Pessoas
Quem usa Wi-Fi em algum lugar?
Como Deixar a Wi-Fi segura? • Trocar senha do router (admin) • Ocultar o SSID • Filtro por MAC Address • Segurança WPA/WPA2 • Funciona?
Depende! • Monitoramento de pacotes (Airmon-Ng) • Captura de AUTH • Fake-AP (AirBase-ng) • Redes Preferenciais (Probe) • Quebra de chave (aircrack-ng) • Engenharia Social
Airmon-ng
Airbase-ng
Probe Request | Redes Preferenciais Divulgando o SSID SSID Oculto
Privacidade - Google Don’t be Evil
Privacidade – Mandic Magic
Privacidade – WhatsApp
Autenticação Web Segura
O HeartBleed
Ataques Man in the Middle (Passivo)
Ataques Man in the Middle (Ativo)
O que é preciso para se tornar um Hacker? • Conhecimento de redes e protocolos • Conhecimento de Programação • Dedicação • Curiosidade • Persistência • Psicologia (persuasão) • Planejamento • Paciência • Duvidar da teoria • Pensar além do óbvio
Ferramentas • Scanning • Sniffers • Clonador de sites • Metasploits • Backdors/rootkits/trojan • Hijaking • Entre vários outros • Tudo disponível no Kali Linux
Perguntas?
Thiago Finardi • Email: tfinardi@gmail.com • Twitter: @tfinardi • Instagram: @tafinardi • Blog: www.botecodigital.info • Site: www.finardi.eti.br

Empfohlen

Flisol 2016
Flisol 2016Flisol 2016
Flisol 2016Jasiel Serra
 
Ferramentas de Segurança
Ferramentas de SegurançaFerramentas de Segurança
Ferramentas de SegurançaAlefe Variani
 
Pentest Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFehPentest Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFehPhillipe Martins
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Back track
Back trackBack track
Back trackGustavo Kuhn
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao gleydsonslim
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 

Empfohlen

Flisol 2016
Flisol 2016Flisol 2016
Flisol 2016Jasiel Serra
 
Ferramentas de Segurança
Ferramentas de SegurançaFerramentas de Segurança
Ferramentas de SegurançaAlefe Variani
 
Pentest Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFehPentest Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFehPhillipe Martins
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Back track
Back trackBack track
Back trackGustavo Kuhn
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao gleydsonslim
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
Csirt
CsirtCsirt
CsirtRenato Basante Borbolla
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de MalwareRenato Basante Borbolla
 
Amiguinhos virtuais ameaças reais
Amiguinhos virtuais ameaças reaisAmiguinhos virtuais ameaças reais
Amiguinhos virtuais ameaças reaisRenato Basante Borbolla
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Mitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagem
Mitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagemMitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagem
Mitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagemRodrigo Montoro
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - OctopusClavis Segurança da Informação
 
Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em sistemas linux - LinuxCon Brazil 2011Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em sistemas linux - LinuxCon Brazil 2011Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Segurança no Linux
Segurança no LinuxSegurança no Linux
Segurança no LinuxJuliana Félix
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
CNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSPCNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSPCarlos Eduardo Motta de Castro
 
Bsides threat hunting
Bsides threat huntingBsides threat hunting
Bsides threat huntingRodrigo Montoro
 
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas PráticasWSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas PráticasWSO2
 
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestCyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestJoas Antonio dos Santos
 
Site invadido
Site invadidoSite invadido
Site invadidoEdilson Feitoza
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 
Anti forense
Anti forenseAnti forense
Anti forenseGustavo Paulo
 
HACKERSPACES - Ética Hacker e Educação [v2]
HACKERSPACES - Ética Hacker e Educação [v2]HACKERSPACES - Ética Hacker e Educação [v2]
HACKERSPACES - Ética Hacker e Educação [v2]Lucas Costa
 

Weitere ähnliche Inhalte

Was ist angesagt?

Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Mitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagem
Mitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagemMitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagem
Mitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagemRodrigo Montoro
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas PráticasWSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas PráticasWSO2
 
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestCyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestJoas Antonio dos Santos
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 

Was ist angesagt? (20)

Csirt
CsirtCsirt
Csirt
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de Malware
 
Amiguinhos virtuais ameaças reais
Amiguinhos virtuais ameaças reaisAmiguinhos virtuais ameaças reais
Amiguinhos virtuais ameaças reais
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
Mitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagem
Mitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagemMitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagem
Mitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagem
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - Octopus
 
Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em sistemas linux - LinuxCon Brazil 2011Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em sistemas linux - LinuxCon Brazil 2011
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Segurança no Linux
Segurança no LinuxSegurança no Linux
Segurança no Linux
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
 
CNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSPCNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSP
 
Bsides threat hunting
Bsides threat huntingBsides threat hunting
Bsides threat hunting
 
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas PráticasWSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
 
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestCyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
 
Site invadido
Site invadidoSite invadido
Site invadido
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
 

Andere mochten auch

HACKERSPACES - Ética Hacker e Educação [v2]
HACKERSPACES - Ética Hacker e Educação [v2]HACKERSPACES - Ética Hacker e Educação [v2]
HACKERSPACES - Ética Hacker e Educação [v2]Lucas Costa
 
Hackerspaces e cultura hacker (PPT)
Hackerspaces e cultura hacker (PPT)Hackerspaces e cultura hacker (PPT)
Hackerspaces e cultura hacker (PPT)Anchises Moraes
 
Aplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingAplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingVitor Melo
 
Livro curso de_hacker_para_iniciantes_cap_1
Livro curso de_hacker_para_iniciantes_cap_1Livro curso de_hacker_para_iniciantes_cap_1
Livro curso de_hacker_para_iniciantes_cap_1Alax Ricard
 
Ethical hacker
Ethical hackerEthical hacker
Ethical hackerIntellecta
 
Análise Forense Computacional
Análise Forense ComputacionalAnálise Forense Computacional
Análise Forense ComputacionalThiago Finardi
 
Ethical hacking: Conceitos básicos de Testes de penetração
Ethical hacking: Conceitos básicos de Testes de penetraçãoEthical hacking: Conceitos básicos de Testes de penetração
Ethical hacking: Conceitos básicos de Testes de penetraçãoCleórbete Santos
 
Segurança em redes sem fio 2
Segurança em redes sem fio 2Segurança em redes sem fio 2
Segurança em redes sem fio 2Designer Info
 
Apresentacao invasao arquivo_malicioso
Apresentacao invasao arquivo_maliciosoApresentacao invasao arquivo_malicioso
Apresentacao invasao arquivo_maliciosoFernando Vargas
 
Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoFernando Palma
 
Relatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticioRelatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticioVitor Melo
 
Debian para servidores
Debian para servidoresDebian para servidores
Debian para servidoresThiago Finardi
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesBruno Alexandre
 
Invasão 2ª ediçao
Invasão 2ª ediçaoInvasão 2ª ediçao
Invasão 2ª ediçaoMalco Daniel
 

Andere mochten auch (20)

Anti forense
Anti forenseAnti forense
Anti forense
 
HACKERSPACES - Ética Hacker e Educação [v2]
HACKERSPACES - Ética Hacker e Educação [v2]HACKERSPACES - Ética Hacker e Educação [v2]
HACKERSPACES - Ética Hacker e Educação [v2]
 
Hackerspaces e cultura hacker (PPT)
Hackerspaces e cultura hacker (PPT)Hackerspaces e cultura hacker (PPT)
Hackerspaces e cultura hacker (PPT)
 
Aplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingAplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentesting
 
Livro curso de_hacker_para_iniciantes_cap_1
Livro curso de_hacker_para_iniciantes_cap_1Livro curso de_hacker_para_iniciantes_cap_1
Livro curso de_hacker_para_iniciantes_cap_1
 
Ethical hacker
Ethical hackerEthical hacker
Ethical hacker
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Mini curso hacker
Mini curso hackerMini curso hacker
Mini curso hacker
 
Análise Forense Computacional
Análise Forense ComputacionalAnálise Forense Computacional
Análise Forense Computacional
 
Ethical hacking: Conceitos básicos de Testes de penetração
Ethical hacking: Conceitos básicos de Testes de penetraçãoEthical hacking: Conceitos básicos de Testes de penetração
Ethical hacking: Conceitos básicos de Testes de penetração
 
Segurança em redes sem fio 2
Segurança em redes sem fio 2Segurança em redes sem fio 2
Segurança em redes sem fio 2
 
Hacker Profissional
Hacker ProfissionalHacker Profissional
Hacker Profissional
 
Apresentacao invasao arquivo_malicioso
Apresentacao invasao arquivo_maliciosoApresentacao invasao arquivo_malicioso
Apresentacao invasao arquivo_malicioso
 
Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da Informação
 
Relatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticioRelatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticio
 
Pentest Auto-Ensinado
Pentest Auto-EnsinadoPentest Auto-Ensinado
Pentest Auto-Ensinado
 
Segurança de redes wi fi - WPA
Segurança de redes wi fi - WPASegurança de redes wi fi - WPA
Segurança de redes wi fi - WPA
 
Debian para servidores
Debian para servidoresDebian para servidores
Debian para servidores
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de Redes
 
Invasão 2ª ediçao
Invasão 2ª ediçaoInvasão 2ª ediçao
Invasão 2ª ediçao
 

Ähnlich wie Segurança da Informação e Testes de Invasão

Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesCarlos Veiga
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseVaine Luiz Barreira, MBA
 
Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Diego BBahia
 
Segurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeSegurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeDiego BBahia
 
O que é a seguranca e os dispositivos que
O que é a seguranca e os dispositivos queO que é a seguranca e os dispositivos que
O que é a seguranca e os dispositivos queGuilhermeVolpini3
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de AcessoCassio Ramos
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Jefferson Costa
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoGionni Lúcio
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoEverton Souza
 

Ähnlich wie Segurança da Informação e Testes de Invasão (20)

Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
H2HC University 2014
H2HC University 2014H2HC University 2014
H2HC University 2014
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de Ataques
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação Forense
 
Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1
 
Segurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeSegurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidade
 
Roadsec Salvador 2014
Roadsec Salvador 2014Roadsec Salvador 2014
Roadsec Salvador 2014
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
 
O que é a seguranca e os dispositivos que
O que é a seguranca e os dispositivos queO que é a seguranca e os dispositivos que
O que é a seguranca e os dispositivos que
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Seguranca De Redes
Seguranca De RedesSeguranca De Redes
Seguranca De Redes
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de Acesso
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
 
Crea seguranca
Crea segurancaCrea seguranca
Crea seguranca
 
Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao Forense
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da Informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informação
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completa
 

Mehr von Thiago Finardi

Monitoramento de Redes com Zabbix
Monitoramento de Redes com ZabbixMonitoramento de Redes com Zabbix
Monitoramento de Redes com ZabbixThiago Finardi
 
Análise de Tráfego TCP/IP
Análise de Tráfego TCP/IPAnálise de Tráfego TCP/IP
Análise de Tráfego TCP/IPThiago Finardi
 
Monitoramento de Ativos: Você sabe o que acontece na sua rede?
Monitoramento de Ativos: Você sabe o que acontece na sua rede?Monitoramento de Ativos: Você sabe o que acontece na sua rede?
Monitoramento de Ativos: Você sabe o que acontece na sua rede?Thiago Finardi
 
Espelhamento de Discos (Raid1) Local e Remoto - TchêLinux Uruguaiana
Espelhamento de Discos (Raid1) Local e Remoto - TchêLinux UruguaianaEspelhamento de Discos (Raid1) Local e Remoto - TchêLinux Uruguaiana
Espelhamento de Discos (Raid1) Local e Remoto - TchêLinux UruguaianaThiago Finardi
 
Espelhamento RAID1 Debian
Espelhamento RAID1 DebianEspelhamento RAID1 Debian
Espelhamento RAID1 DebianThiago Finardi
 
Oficina de Squid: Filtros Inteligentes
Oficina de Squid: Filtros Inteligentes Oficina de Squid: Filtros Inteligentes
Oficina de Squid: Filtros InteligentesThiago Finardi
 
Servidor de autenticação centralizada com OpenLDAP
Servidor de autenticação centralizada com OpenLDAPServidor de autenticação centralizada com OpenLDAP
Servidor de autenticação centralizada com OpenLDAPThiago Finardi
 
Filtros inteligentes: Otimizando sua Internet
Filtros inteligentes: Otimizando sua Internet Filtros inteligentes: Otimizando sua Internet
Filtros inteligentes: Otimizando sua InternetThiago Finardi
 
OpenLDAP: Centralizar é preciso
OpenLDAP: Centralizar é precisoOpenLDAP: Centralizar é preciso
OpenLDAP: Centralizar é precisoThiago Finardi
 

Mehr von Thiago Finardi (9)

Monitoramento de Redes com Zabbix
Monitoramento de Redes com ZabbixMonitoramento de Redes com Zabbix
Monitoramento de Redes com Zabbix
 
Análise de Tráfego TCP/IP
Análise de Tráfego TCP/IPAnálise de Tráfego TCP/IP
Análise de Tráfego TCP/IP
 
Monitoramento de Ativos: Você sabe o que acontece na sua rede?
Monitoramento de Ativos: Você sabe o que acontece na sua rede?Monitoramento de Ativos: Você sabe o que acontece na sua rede?
Monitoramento de Ativos: Você sabe o que acontece na sua rede?
 
Espelhamento de Discos (Raid1) Local e Remoto - TchêLinux Uruguaiana
Espelhamento de Discos (Raid1) Local e Remoto - TchêLinux UruguaianaEspelhamento de Discos (Raid1) Local e Remoto - TchêLinux Uruguaiana
Espelhamento de Discos (Raid1) Local e Remoto - TchêLinux Uruguaiana
 
Espelhamento RAID1 Debian
Espelhamento RAID1 DebianEspelhamento RAID1 Debian
Espelhamento RAID1 Debian
 
Oficina de Squid: Filtros Inteligentes
Oficina de Squid: Filtros Inteligentes Oficina de Squid: Filtros Inteligentes
Oficina de Squid: Filtros Inteligentes
 
Servidor de autenticação centralizada com OpenLDAP
Servidor de autenticação centralizada com OpenLDAPServidor de autenticação centralizada com OpenLDAP
Servidor de autenticação centralizada com OpenLDAP
 
Filtros inteligentes: Otimizando sua Internet
Filtros inteligentes: Otimizando sua Internet Filtros inteligentes: Otimizando sua Internet
Filtros inteligentes: Otimizando sua Internet
 
OpenLDAP: Centralizar é preciso
OpenLDAP: Centralizar é precisoOpenLDAP: Centralizar é preciso
OpenLDAP: Centralizar é preciso
 

Segurança da Informação e Testes de Invasão

  • 1.
  • 3. Thiago Finardi • Graduado em Análise de Sistemas; • Pós Graduado em Segurança da Informação; • Docente do Senac Uruguaiana • Microsoft Student Partner; • Certificação Linux Professional Institute; • Certificação Novell Data Center Specialist • Academia do Hacker Ético IFRN • Perito Forense Computacional • Degustador de Cervejas Especiais
  • 4. Vamos aprender a Hackear?
  • 5. Vamos aprender a Hackear?
  • 6. Segurança da Informação • Ela existe? Porque é importante? • Atualmente, o que proteger?
  • 7. Segurança da Informação • Conhecer: Ameaças, vulnerabilidades e estimar os RISCOS ao negócio
  • 8. O que é um Hacker?
  • 9. O perfil dos atacantes
  • 10. Você compraria um produto sem testar?
  • 11. Teste de Invasão • O teste de invasão corresponde à metodologia, ao processo e aos procedimentos usados pelos pentesters, de acordo com diretrizes específicas e aprovadas, na tentativa de burlar as proteções de um sistema de informação, incluindo anular os recursos de segurança integrados do sistema. BROAD; BINDNER (2014, p. 19). • Invadir para proteger!
  • 12. Testes de Invasão • São uma tentativa legal e autorizada de localizar e explorar redes computacionais e sistemas em rede de forma bem-sucedida, com o intuito de tornar esses sistemas mais seguros. • O processo inclui sondar vulnerabilidades, como oferecer ataques que funcionem como prova de conceito para demonstrar que eles são reais. • Abordado pelo CEH (Certified Ethical Hacking)
  • 13. Tipos de Testes de Invasão • Black Box – Teste realizado em um sistema remoto sem nenhum conhecimento do alvo. • Gray Box – Teste realizado entre departamentos ou sub-redes de uma intranet com conhecimento parcial da estrutura. • White Box – Teste realizado em uma intranet local, com total conhecimento do alvo.
  • 14. Fases de um Teste de Invasão
  • 15. Dê atenção ao reconhecimento
  • 16. Fases de um Teste de Invasão
  • 17. O Ethical Hacker • O Hacking Ético é uma atividade profissional dotada de habilidades para encontrar as vulnerabilidades e fraquezas dos sistemas, utilizando os mesmos conhecimentos, ferramentas e metodologias empregadas por um atacante malicioso. • Um pentester profissional que ataca os sistemas em nome do proprietário do sistema ou da empresa proprietária do sistema de informação
  • 18. O que testar? • Controles de segurança físicos • Sistemas • Sites • Redes (Ethernet, Wi-Fi, VOIP, Bluetooth, etc) • Banco de dados • Servidores • Dispositivos, equipamentos • Qualquer coisa que manipule informações • Pessoas
  • 19. Quem usa Wi-Fi em algum lugar?
  • 20. Como Deixar a Wi-Fi segura? • Trocar senha do router (admin) • Ocultar o SSID • Filtro por MAC Address • Segurança WPA/WPA2 • Funciona?
  • 21. Depende! • Monitoramento de pacotes (Airmon-Ng) • Captura de AUTH • Fake-AP (AirBase-ng) • Redes Preferenciais (Probe) • Quebra de chave (aircrack-ng) • Engenharia Social
  • 24. Probe Request | Redes Preferenciais Divulgando o SSID SSID Oculto
  • 25. Privacidade - Google Don’t be Evil
  • 30. Ataques Man in the Middle (Passivo)
  • 31. Ataques Man in the Middle (Ativo)
  • 32. O que é preciso para se tornar um Hacker? • Conhecimento de redes e protocolos • Conhecimento de Programação • Dedicação • Curiosidade • Persistência • Psicologia (persuasão) • Planejamento • Paciência • Duvidar da teoria • Pensar além do óbvio
  • 33. Ferramentas • Scanning • Sniffers • Clonador de sites • Metasploits • Backdors/rootkits/trojan • Hijaking • Entre vários outros • Tudo disponível no Kali Linux
  • 35. Thiago Finardi • Email: tfinardi@gmail.com • Twitter: @tfinardi • Instagram: @tafinardi • Blog: www.botecodigital.info • Site: www.finardi.eti.br