Este documento fornece uma introdução aos fundamentos de ética hacker. Ele discute conceitos como segurança da informação, normas e serviços de segurança, ameaças comuns, pentesting, engenharia social e relatórios de vulnerabilidade. O documento destaca a importância de testes de invasão para encontrar falhas de segurança antes que outros encontrem.
2. WHOAMI
Kaique Bonato
Analista de Segurança da Informação & Ethical Hacking, amante de
tecnologias open source.
OWASP Member e Hack the box player.
2
15. Oque é Pentest ?
Pentest é um serviço legalizado e necessário
para qualquer organização que deseja proteger
seus dados.
15
16. Por que realizar um pentest ?
16
• Encontre falhas antes que outros encontrem para você
• Danos a imagem da sua empresa
• Validar seus mecanismos de segurança
• Teste sua equipe de T.I para respostas a incidentes ou vazamentos
17. Tipos de pentest:
White box: Conhecimento total do alvo
Gray box: Conhecimento parcial do alvo
Black Box: Conhecimento mínimo do alvo
17
20. Entender o cliente
20
• O que o cliente pretende obter com o teste de invasão?
• O que definirá o teste como bem-sucedido?
• Tudo que puder conquistar
• Até onde devemos ir?
• Quais as condições de parada?
• Sistemas/Estruturas que não podem cair ou serem modificadas
21. Information Gathering
21
- Se eu tivesse 8 horas para cortar uma árvore, gastaria seis afiando meu
machado - Abraham Lincoln
• Footprint – Análise passiva do alvo.
Contato não direto com o alvo.
• Fingerprint – Análise ativa do alvo.
Contato direto com o alvo, gerando ruído na rede.
• Engenharia Social Trashing (Dumpster Diving)
• Whois Entradas DNS
• Buscas na Internet Cópia de Website
22. No tech hacking
22
• Lock picking
• Engenharia Social
• Shoulder Surfing
• Dumpster Diving
34. Reporting
34
• Saída dos testes realizados.
• Lista de todas as vulnerabilidades identificadas, incluindo recomendações para
resolver.
• Prioridades e soluções recomendadas.