Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica

  • 8,402 views
Uploaded on

Com as exigências da regulamentação PCI, realizar PEN TEST torna-se obrigatório para empresas que fazem transações com cartão de credito, por isto Ethical Hacker tornou-se uma profissão. Saiba como …

Com as exigências da regulamentação PCI, realizar PEN TEST torna-se obrigatório para empresas que fazem transações com cartão de credito, por isto Ethical Hacker tornou-se uma profissão. Saiba como tornar-se um profissional certificado com validade internacional e quais ferramentas pode-se usar. Faremos demonstração de como estas ferramentas funcionam.

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
8,402
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
266
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. SEJA UM HACKER PROFISSIONAL Dario Caraponale - Diretor Comercial
  • 2. Agenda Abertura Exigências PCI g C Hacker Ético Formação profissional e certificações F ã fi i l ifi õ Perguntas
  • 3. O que é PCI O PCI SSC (Payment Card Industry Security Standards Council) é uma organização que une os principais players internacionais do mercado de meios eletrônicos d pagamento, i l i d d d i l ô i de incluindo: MasterCard; Visa; American Express; Discover Card; JCB. A organização foi reforçada por incidentes de segurança em massa; Seu objetivo é criar padrões de operação e segurança para segurança, proteger os dados de cartão de pagamento contra roubo/fraude, desde 2004;
  • 4. O que é PCI O PCI DSS foi o primeiro padrão publicado pelo conselho e visa a proteção dos números de cartão, código de segurança (CVC2) e trilhas em todos os níveis da cadeia de pagamentos: lh d í d d d •Adquirentes (Redecard, Visanet, Amex); •Estabelecimentos Comerciais; ; •Bancos Emissores; •Processadoras; •As próprias Bandeiras; •O PCI-DSS foi baseado na ISO 27001/2 e em boas práticas de segurança da informação do mercado; •Além do DSS, o PCI publicou outras normas de segurança para a A indústria de cartões, focando a segurança de aplicações e segurança de hardware
  • 5. As 12 Exigências do PCI DSS
  • 6. Elegibilidade para o PCI
  • 7. Principais Itens para não conformidade: Redes i l R d wireless abertas b t •Desconhecimento do risco •Guarda de i f •G d d informações sem criptografia õ i t fi •Transmissão de informações sem criptografia •Descarte de mídias eletrônicas ou não •Ausência de Segregação de Funções •Falhas no controle de acesso/Identidades •Controles internos ineficientes •Ausência de Auditorias TI/Negócio •Falta de planos de continuidade/contingência
  • 8. Exigência 11 Teste regularmente os sistemas e processos de segurança. As vulnerabilidades são continuamente descobertas por hackers e pesquisadores e introduzidas por novos softwares. Os sistemas, processos e softwares customizados devem ser testados freqüentemente para garantir que a segurança está sendo mantida ao longo do tempo e através das mudanças nos softwares.
  • 9. Exigência 11
  • 10. Profissão Hacker Ético O Termo hacker até hoje é usado para identificar indivíduos T h k té h j d id tifi i di íd com conhecimentos profundos em desenvolvimento ou modificação de software e hardware. Por muito tempo este termos ficou marginalizado como termo identificador de indivíduos que acreditavam na informação livre e para tanto usavam de suas habilidades em acessar sistemas e promover tal disseminação da informação. Hoje já existem treinamentos e certificações que garante o f conhecimento e procedimentos usados por um hacker para atingir o objetivo de certificar-se que um sistema é seguro. g j q g Como o advento do PCI se faz necessário a atividade legal de Hacker
  • 11. Comprovadamente Hacker? Quais formas d apresentar-se como sendo um Q i as f de t d hacker profissional? Que tipo de habilidades devo ter para ter certeza que sou um hacker ético e profissional? Que tipo de ferramentas posso usar para execução dos p p p ç trabalhos? Que tipo de relatório / laudo deve-se entregar ao termino de um trabalho? t i d t b lh ? Como posso ter certeza que o objetivo foi cumprido e o sistema NÃO foi comprometido, e se foi devemos comprometido retorná-lo ao seu estado original ??????
  • 12. Habilidades Hacking Laws g Assembly L A bl Language T t i l Tutorial Data Loss Prevention Footprinting Exploit WritingModule 31: Smashing the Stack for Fun and Profit Hacking Global Positioning System (GPS) Google Hacking Windows Based Buffer Overflow Exploit Writing Computer Forensics and Incident Handling Scanning Reverse Engineering Enumeration Credit Card Frauds MAC OS X Hacking Sy System Hacking g How to Steal Passwords Hacking Routers, cable M d H ki R bl Modems and Fi d Firewalls ll Trojans and Backdoors Firewall Technologies Hacking Mobile Phones, PDA and Handheld Devices Viruses and Worms Threats and Countermeasures Bluetooth Hacking Sniffers VoIP Hacking Botnets Social Engineering RFID Hacking Economic Espionage Phishing Spamming Patch Management Hacking Email Accounts Hacking USB Devices Security Convergence Denial-of-Service Hacking Database Servers Session Hijacking Identifying the Terrorist Cyber Warfare- Hacking, Al-Qaida and Terrorism Hacking Web Servers Internet Content Filtering Techniques Web Application Vulnerabilities Privacy on the Internet Web-Based Password Cracking Techniques Securing Laptop Computers SQL Injection Spying Technologies Hacking Wireless Networks Corporate Espionage- Hacking Using Insiders Physical Security Creating Security Policies Linux H ki Li Hacking Software Piracy and Warez Evading IDS, Firewalls and Detecting Honey Pots Hacking and Cheating Online Games Buffer Overflows Hacking RSS and Atom Cryptography Hacking Web Browsers (Firefox, IE) Penetration Testing Proxy Server Technologies Covert H k C Hacking Writing Virus Codes
  • 13. Formação e certificação C|EH – Certified Ethical Hacker Certificação reconhecida mundialmente fornecida pela EC-CONCIL EC-CONCIL já certificou mais de 22.000 profissionais no mundo e treinou mais de 60.000 indivíduos EC-CONCIL é a autora do treinamento e certificação mais famosa do mundo – Computer Hacking Forensic Investigator – C|HFI
  • 14. Algumas ferramentas (open) Uma boa ferramenta de SCAN de Portas NMAP; NetStumbler Ferramentas de analise de vulnerabilidades NESSUS; NeXpose; Nikto Ferramenta de apoio a PEN TEST (Framework) Metasploit M l i NetStumbler (wireless )
  • 15. S3-Strong Security School 2010 – Lançamento da S3 Parceria com a (ISC)2 Seminário preparatório para certificação CISSP Testes de Certificação CISSP Parceria com a EC-Council Vários curso e certificações internacionais: Certified Ethical Hacker – C|EH Computer Hacking Forensic Investigator – C|HFI Disaster Reco er Profesional Recovery
  • 16. OBRIGADO INFO@STRONGSECURITY.COM.BR Dario Caraponale - Diretor Comercial