Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Ethical Hacking

4,460 views

Published on

Palestra ministrada pelo Prof. Msc. Marcelo Lau

Published in: Technology
  • O chinês, não faz feio! Larga de ser egoista e disponibiliza os slides publicamente para download. Desta vida, não levamos nada, nem a sabedoria adquirida durante anos.
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Ethical Hacking

  1. 1. Introdução ao Ethical Hacking Prof. Marcelo Lau
  2. 2. Palestrante <ul><li>Prof. Msc. Marcelo Lau </li></ul><ul><li>E-mail: [email_address] </li></ul><ul><li> [email_address] </li></ul><ul><li> </li></ul><ul><li>Diretor executivo da Data Security no Brasil. Tem mais de 12 anos de atuação em bancos brasileiros em Segurança da Informação e Prevenção à Fraude . É professor do curso de formação em Compliance pela FEBRABAN no Brasil, professor no MBA de Segurança da Informação da FATEC/SP e coordena o curso de Gestão em Segurança da Informação e Gerenciamento de Projetos no SENAC/SP. É Engenheiro eletrônico da EEM com pós graduação em administração pela FGV e mestre em ciência forense pela POLI/USP. É reconhecido pela imprensa Brasileira e Argentina com trabalhos realizados em vários países do mundo. </li></ul>Ethical Hacking
  3. 3. Hacking na ficção <ul><li>DURO DE MATAR 4.0 </li></ul><ul><li>Detetive John McClane (Bruce Willis) se confronta com uma nova espécie de terrorismo. Tendo como cenário o mundo digital atual, a infra-estrutura nacional de computação que controla todas as telecomunicações, os transportes e a energia é levada a uma interrupção devastadora. A mente por trás da trama levou em conta todos os ângulos. O que ele não levou em conta é que McClane, um policial da antiga que sabe algumas coisas sobre como frustrar planos terroristas. </li></ul>Ethical Hacking
  4. 4. Hacking na vida real Ethical Hacking
  5. 5. Ethical Hacking na formação profissional Ethical Hacking •    Introdução e Conceitos:     •    Hacking na Ficção e Vida Real;     •    Psicologia Hacker;     •    Elementos da Segurança;     •    Requisitos e Habilidades de um Ethical Hacker;     •    Mandamentos de um Ethical Hacker. •    Reconhecimento e Coleta de Informações:     •    Tipos de Reconhecimento;     •    Fases do Reconhecimento;     •    Alcance e Relevância;     •    Metodologia para Reconhecimento;     •    Coleta de Inteligência.  . •    Enumeração e Varreduras em diversas frentes:     •    Limitação dos Testes;     •    Processo de Varredura;     •    Tipos de Enumeração;     •    Identificação de Alvos;     •    Varredura de Portas;     •    Fingerprinting sobre sistema operacional e aplicativos;     •    Testes em Banco de Dados;     •    Análises e vulnerabilidades em aplicações, serviços e redes sem fio;     •    Ferramentas de Exploração;     •    Evasão de IDS;     •    Senhas Padrão e Quebras de Senhas em Dispositivos e Sistemas.
  6. 6. Ethical Hacking na formação profissional Ethical Hacking •     Noções de programação de Ferramentas de Segurança:     •    Necessidades de uma boa codificação;     •    Passos para uma programação eficiente;     •    Linguagens de Programação; •    Backdoors e Trojans:     •    Tipos de Trojans;     •    Funções Principais dos Trojans;     •    Backdoors. •    Certificações e Metodologias:     •    Certificações do mercado nacional e internacional;     •    Metodologia OSSTMM;     •    Metodologia ISSAF. •    Análise e Relatório de Vulnerabilidade:     •    Estudo de Caso;     •    Relatório de Vulnerabilidade.
  7. 7. Ethical Hacking na vida acadêmica Ethical Hacking
  8. 8. Alguns conceitos de Ethical Hacking <ul><li>Classes de Hackers: </li></ul><ul><ul><li>White Hats. </li></ul></ul><ul><ul><li>Black Hats. </li></ul></ul><ul><ul><li>Gray Hats. </li></ul></ul><ul><ul><li>Suicide Hackers. </li></ul></ul><ul><li>Script Kiddies </li></ul>Ethical Hacking
  9. 9. Psicologia Hacker <ul><li>O que motiva um hacker? </li></ul><ul><ul><li>Aspecto Pessoal. </li></ul></ul><ul><ul><li>Aspecto Moral. </li></ul></ul><ul><ul><li>Aspecto Financeiro. </li></ul></ul><ul><li>White Hats (Com foco no conhecimento): “Invadir para aprender, e não aprender para invadir.” </li></ul><ul><li>Black Hats( Com foco no subproduto do conhecimento): O Poder é a motivação principal, poder advindo das informações e acessos que possuem e /ou obtém. </li></ul>Ethical Hacking
  10. 10. Base de Vulnerabilidades - CVE <ul><li>http://cve.mitre.org/ </li></ul>Ethical Hacking
  11. 11. Sites do Underground <ul><li>The Hacker's Choice, http://www.thc.org . </li></ul><ul><li>Packet Storm, http://www.packetstormsecurity.org . </li></ul><ul><li>Insecure.org, http://www.insecure.org . </li></ul><ul><li>Zone-H, http://www.zone-h.org . </li></ul><ul><li>Phenoelit, http://www.phenoelit-us.org/ </li></ul><ul><li>newroot.de, http://www.newroot.de . </li></ul><ul><li>cqure.net, http://www.cqure.net . </li></ul><ul><li>ADM, http://adm.freelsd.net/ADM . </li></ul><ul><li>Netric, http://www.netric.org . </li></ul><ul><li>Hack in the box, http://www.hackinthebox.org . </li></ul><ul><li>dtors, http://www.dtors.net . </li></ul><ul><li>Soft Project, http://www.s0ftpj.org . </li></ul><ul><li>Phrack, http://www.phrack.org . </li></ul><ul><li>w00w00, http://www.w00w00.org . </li></ul><ul><li>Astalavista, http://astalavista.com . </li></ul>Ethical Hacking
  12. 12. Ferramentas - Backtrack <ul><li>Backtrack 3 </li></ul><ul><li>Distribuição Linux focada em Testes de Penetração; </li></ul><ul><li>Junção das distribuições Whax e Auditor Security Collection; </li></ul><ul><li>Baseado no Kernel do Slackware, contém mais de 300 ferramentas estruturadas de acordo com a seqüência lógica de um teste de Penetração de Sistema. </li></ul>Ethical Hacking
  13. 13. Metodologia para Reconhecimento <ul><li>Fases do reconhecimento: </li></ul><ul><ul><ul><li>Coleta de Inteligência. </li></ul></ul></ul><ul><ul><ul><li>Footprinting. </li></ul></ul></ul><ul><ul><ul><li>Verificação. </li></ul></ul></ul><ul><ul><ul><li>Vitalidade. </li></ul></ul></ul>Ethical Hacking
  14. 14. Registro.br Ethical Hacking
  15. 15. Netcraft Ethical Hacking
  16. 16. Varredura <ul><li>Durante essa fase, há dois objetivo principais: </li></ul><ul><ul><li>Determinar quais portas estão abertas. </li></ul></ul><ul><ul><li>Determinar quais serviços são oferecidos. </li></ul></ul><ul><ul><ul><li>As informações coletadas nessa fase servem para identificar os sistemas operacionais dos dispositivos do alvo. </li></ul></ul></ul><ul><ul><ul><li>A lista de alvos ativos, resultado da saída do processo de Footprinting, é a lista de alvos dessa fase. </li></ul></ul></ul>Ethical Hacking
  17. 17. Enumeração <ul><li>Enumeração é o processo de listar e identificar os serviços específicos e recursos que são oferecidos por um alvo. </li></ul><ul><ul><li>A saída da enumeração será uma lista com todos os serviços conhecidos que são disponibilizados pelo alvo. </li></ul></ul><ul><ul><li>Um exemplo de enumeração realizada com sucesso seria iniciar com o host 192.168.1.40 e descobrir que a porta 25 está aberta com um servidor de correio MS Exchange 2000 e que o mesmo utiliza o Windows XP SP1. </li></ul></ul>Ethical Hacking
  18. 18. Port Scans <ul><li>Via Internet - www.yougetsignal.com/ </li></ul>Ethical Hacking
  19. 19. Fingerprinting <ul><li>As técnicas de Fingerprinting (Impressão Digital) têm por objetivo determinar qual Sistema Operacional está em utilização no alvo e a sua versão. </li></ul><ul><li>Consiste em Analisar as respostas do Alvo conforme diferentes solicitações. (Fingerprinting Ativo). </li></ul><ul><li>A maioria dos S.O. respondem de forma distinta a essas solicitações. </li></ul><ul><li>Também há formas de Fingerprinting passivo, aonde a determinação do S.O. ocorre pela análise do tráfego coletado via Sniffing. </li></ul>Ethical Hacking
  20. 20. Metodologia OSSTMM <ul><ul><li>OSSTMM http://www.isecom.org/osstmm/ </li></ul></ul>Ethical Hacking
  21. 21. Referências adicionais para estudo <ul><li>Bibliografia Data Security ( http:// www.datasecurity.com.br ) em: </li></ul><ul><ul><li>Análise de vulnerabilidade. </li></ul></ul><ul><ul><li>Forense Computacional. </li></ul></ul><ul><ul><li>Biometria. </li></ul></ul><ul><ul><li>Segurança em Sistemas Operacionais </li></ul></ul><ul><ul><li>Ameaças aos sistemas computacionais, </li></ul></ul><ul><ul><li>E muito mais... </li></ul></ul>Gratuito Ethical Hacking

×