Como ser um Hacker Ético Profissional

2,380 views

Published on

Slides usados na apresentação Campus Party. Veja video em www.strongsecurity.com.br/videos

Published in: Technology
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,380
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
0
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Como ser um Hacker Ético Profissional

  1. 1. Dario Caraponale - Diretor Comercial SEJA UM HACKER PROFISSIONAL
  2. 2. Agenda  Abertura  Exigências PCI  Hacker Ético  Formação profissional e certificações  Perguntas
  3. 3. O que é PCI  O PCI SSC (Payment Card Industry Security Standards Council) é uma organização que une os principais players internacionais do mercado de meios eletrônicos de pagamento, incluindo:  MasterCard;  Visa;  American Express;  Discover Card;  JCB.  A organização foi reforçada por incidentes de segurança em massa;  Seu objetivo é criar padrões de operação e segurança, para proteger os dados de cartão de pagamento contra roubo/fraude, desde 2004;
  4. 4. O que é PCI  O PCI DSS foi o primeiro padrão publicado pelo conselho e visa a proteção dos números de cartão, código de segurança (CVC2) e trilhas em todos os níveis da cadeia de pagamentos:  •Adquirentes (Redecard, Visanet, Amex);  •Estabelecimentos Comerciais;  •Bancos Emissores;  •Processadoras;  •As próprias Bandeiras;  •O PCI-DSS foi baseado na ISO 27001/2 e em boas práticas de segurança da informação do mercado;  •Além do DSS, o PCI publicou outras normas de segurança para a indústria de cartões, focando a segurança de aplicações e segurança de hardware
  5. 5. As 12 Exigências do PCI DSS
  6. 6. Elegibilidade para o PCI
  7. 7. Principais Itens para não conformidade:  Redes wireless abertas  •Desconhecimento do risco  •Guarda de informações sem criptografia  •Transmissão de informações sem criptografia  •Descarte de mídias eletrônicas ou não  •Ausência de Segregação de Funções  •Falhas no controle de acesso/Identidades  •Controles internos ineficientes  •Ausência de Auditorias TI/Negócio  •Falta de planos de continuidade/contingência
  8. 8. Exigência 11  Teste regularmente os sistemas e processos de segurança.  As vulnerabilidades são continuamente descobertas por hackers e pesquisadores e introduzidas por novos softwares. Os sistemas, processos e softwares customizados devem ser testados freqüentemente para garantir que a segurança está sendo mantida ao longo do tempo e através das mudanças nos softwares.
  9. 9. Exigência 11
  10. 10. Profissão Hacker Ético  O Termo hacker até hoje é usado para identificar indivíduos com conhecimentos profundos em desenvolvimento ou modificação de software e hardware.  Por muito tempo este termos ficou marginalizado como termo identificador de indivíduos que acreditavam na informação livre e para tanto usavam de suas habilidades em acessar sistemas e promover tal disseminação da informação.  Hoje já existem treinamentos e certificações que garante o conhecimento e procedimentos usados por um hacker para atingir o objetivo de certificar-se que um sistema é seguro.  Como o advento do PCI se faz necessário a atividade legal de Hacker
  11. 11. Comprovadamente Hacker?  Quais as formas de apresentar-se como sendo um hacker profissional?  Que tipo de habilidades devo ter para ter certeza que sou um hacker ético e profissional?  Que tipo de ferramentas posso usar para execução dos trabalhos?  Que tipo de relatório / laudo deve-se entregar ao termino de um trabalho?  Como posso ter certeza que o objetivo foi cumprido e o sistema NÃO foi comprometido, e se foi devemos retorná-lo ao seu estado original  ??????
  12. 12. Habilidades  Hacking Laws  Footprinting  Google Hacking  Scanning  Enumeration  System Hacking  Trojans and Backdoors  Viruses and Worms  Sniffers  Social Engineering  Phishing  Hacking Email Accounts  Denial-of-Service  Session Hijacking  Hacking Web Servers  Web Application Vulnerabilities  Web-Based Password Cracking Techniques  SQL Injection  Hacking Wireless Networks  Physical Security  Linux Hacking  Evading IDS, Firewalls and Detecting Honey Pots  Buffer Overflows  Cryptography  Penetration Testing  Covert Hacking  Writing Virus Codes  Assembly Language Tutorial  Exploit WritingModule 31: Smashing the Stack for Fun and Profit  Windows Based Buffer Overflow Exploit Writing  Reverse Engineering  MAC OS X Hacking  Hacking Routers, cable Modems and Firewalls  Hacking Mobile Phones, PDA and Handheld Devices  Bluetooth Hacking  VoIP Hacking  RFID Hacking  Spamming  Hacking USB Devices  Hacking Database Servers  Cyber Warfare- Hacking, Al-Qaida and Terrorism  Internet Content Filtering Techniques  Privacy on the Internet  Securing Laptop Computers  Spying Technologies  Corporate Espionage- Hacking Using Insiders  Creating Security Policies  Software Piracy and Warez  Hacking and Cheating Online Games  Hacking RSS and Atom  Hacking Web Browsers (Firefox, IE)  Proxy Server Technologies  Data Loss Prevention  Hacking Global Positioning System (GPS)  Computer Forensics and Incident Handling  Credit Card Frauds  How to Steal Passwords  Firewall Technologies  Threats and Countermeasures  Botnets  Economic Espionage  Patch Management  Security Convergence  Identifying the Terrorist
  13. 13. Formação e certificação  C|EH – Certified Ethical Hacker  Certificação reconhecida mundialmente fornecida pela EC-CONCIL  EC-CONCIL já certificou mais de 22.000 profissionais no mundo e treinou mais de 60.000 indivíduos  EC-CONCIL é a autora do treinamento e certificação mais famosa do mundo – Computer Hacking Forensic Investigator – C|HFI
  14. 14. Algumas ferramentas (open)  Uma boa ferramenta de SCAN de Portas  NMAP; NetStumbler  Ferramentas de analise de vulnerabilidades  NESSUS; NeXpose; Nikto  Ferramenta de apoio a PEN TEST (Framework)  Metasploit  NetStumbler (wireless )
  15. 15. S3-Strong Security School  2010 – Lançamento da S3  Parceria com a (ISC)2  Seminário preparatório para certificação CISSP  Testes de Certificação CISSP  Parceria com a EC-Council  Vários curso e certificações internacionais:  Certified Ethical Hacker – C|EH  Computer Hacking Forensic Investigator – C|HFI  Disaster Recovery Profesional
  16. 16. Dario Caraponale - Diretor Comercial OBRIGADO INFO@STRONGSECURITY.CO M.BR

×