O documento discute a importância da segurança de dados de cartão de pagamento e da profissão de hacker ético. Ele explica os padrões PCI DSS, as 12 exigências de segurança, e as habilidades e certificações necessárias para hackers éticos testarem a segurança de sistemas de forma legal.

1. Dario Caraponale - Diretor Comercial
SEJA UM HACKER
PROFISSIONAL

2. Agenda
 Abertura
 Exigências PCI
 Hacker Ético
 Formação profissional e certificações
 Perguntas

3. O que é PCI
 O PCI SSC (Payment Card Industry Security Standards
Council) é uma organização que une os principais players
internacionais do mercado de meios eletrônicos de
pagamento, incluindo:
 MasterCard;
 Visa;
 American Express;
 Discover Card;
 JCB.
 A organização foi reforçada por incidentes de segurança em
massa;
 Seu objetivo é criar padrões de operação e segurança, para
proteger os dados de cartão de pagamento contra
roubo/fraude, desde 2004;

4. O que é PCI
 O PCI DSS foi o primeiro padrão publicado pelo conselho e
visa a proteção dos números de cartão, código de segurança
(CVC2) e trilhas em todos os níveis da cadeia de
pagamentos:
 •Adquirentes (Redecard, Visanet, Amex);
 •Estabelecimentos Comerciais;
 •Bancos Emissores;
 •Processadoras;
 •As próprias Bandeiras;
 •O PCI-DSS foi baseado na ISO 27001/2 e em boas práticas
de segurança da informação do mercado;
 •Além do DSS, o PCI publicou outras normas de segurança
para a indústria de cartões, focando a segurança de
aplicações e segurança de hardware

5. As 12 Exigências do PCI DSS

6. Elegibilidade para o PCI

7. Principais Itens para não
conformidade:
 Redes wireless abertas
 •Desconhecimento do risco
 •Guarda de informações sem criptografia
 •Transmissão de informações sem criptografia
 •Descarte de mídias eletrônicas ou não
 •Ausência de Segregação de Funções
 •Falhas no controle de acesso/Identidades
 •Controles internos ineficientes
 •Ausência de Auditorias TI/Negócio
 •Falta de planos de continuidade/contingência

8. Exigência 11
 Teste regularmente os sistemas e
processos de segurança.
 As vulnerabilidades são continuamente
descobertas por hackers e pesquisadores e
introduzidas por novos softwares. Os sistemas,
processos e softwares customizados devem ser
testados freqüentemente para garantir que a
segurança está sendo mantida ao longo do
tempo e através das mudanças nos softwares.

9. Exigência 11

10. Profissão Hacker Ético
 O Termo hacker até hoje é usado para identificar
indivíduos com conhecimentos profundos em
desenvolvimento ou modificação de software e
hardware.
 Por muito tempo este termos ficou marginalizado
como termo identificador de indivíduos que
acreditavam na informação livre e para tanto usavam
de suas habilidades em acessar sistemas e promover
tal disseminação da informação.
 Hoje já existem treinamentos e certificações que
garante o conhecimento e procedimentos usados por
um hacker para atingir o objetivo de certificar-se que
um sistema é seguro.
 Como o advento do PCI se faz necessário a atividade
legal de Hacker

11. Comprovadamente Hacker?
 Quais as formas de apresentar-se como sendo
um hacker profissional?
 Que tipo de habilidades devo ter para ter certeza
que sou um hacker ético e profissional?
 Que tipo de ferramentas posso usar para
execução dos trabalhos?
 Que tipo de relatório / laudo deve-se entregar ao
termino de um trabalho?
 Como posso ter certeza que o objetivo foi
cumprido e o sistema NÃO foi comprometido, e
se foi devemos retorná-lo ao seu estado original
 ??????

12. Habilidades
 Hacking Laws
 Footprinting
 Google Hacking
 Scanning
 Enumeration
 System Hacking
 Trojans and Backdoors
 Viruses and Worms
 Sniffers
 Social Engineering
 Phishing
 Hacking Email Accounts
 Denial-of-Service
 Session Hijacking
 Hacking Web Servers
 Web Application Vulnerabilities
 Web-Based Password Cracking Techniques
 SQL Injection
 Hacking Wireless Networks
 Physical Security
 Linux Hacking
 Evading IDS, Firewalls and Detecting Honey Pots
 Buffer Overflows
 Cryptography
 Penetration Testing
 Covert Hacking
 Writing Virus Codes
 Assembly Language Tutorial
 Exploit WritingModule 31: Smashing the Stack for Fun and
Profit
 Windows Based Buffer Overflow Exploit Writing
 Reverse Engineering
 MAC OS X Hacking
 Hacking Routers, cable Modems and Firewalls
 Hacking Mobile Phones, PDA and Handheld Devices
 Bluetooth Hacking
 VoIP Hacking
 RFID Hacking
 Spamming
 Hacking USB Devices
 Hacking Database Servers
 Cyber Warfare- Hacking, Al-Qaida and Terrorism
 Internet Content Filtering Techniques
 Privacy on the Internet
 Securing Laptop Computers
 Spying Technologies
 Corporate Espionage- Hacking Using Insiders
 Creating Security Policies
 Software Piracy and Warez
 Hacking and Cheating Online Games
 Hacking RSS and Atom
 Hacking Web Browsers (Firefox, IE)
 Proxy Server Technologies
 Data Loss Prevention
 Hacking Global Positioning System (GPS)
 Computer Forensics and Incident Handling
 Credit Card Frauds
 How to Steal Passwords
 Firewall Technologies
 Threats and Countermeasures
 Botnets
 Economic Espionage
 Patch Management
 Security Convergence
 Identifying the Terrorist

13. Formação e certificação
 C|EH – Certified Ethical Hacker
 Certificação reconhecida mundialmente fornecida
pela EC-CONCIL
 EC-CONCIL já certificou mais de 22.000
profissionais no mundo e treinou mais de 60.000
indivíduos
 EC-CONCIL é a autora do treinamento e
certificação mais famosa do mundo – Computer
Hacking Forensic Investigator – C|HFI

14. Algumas ferramentas (open)
 Uma boa ferramenta de SCAN de Portas
 NMAP; NetStumbler
 Ferramentas de analise de vulnerabilidades
 NESSUS; NeXpose; Nikto
 Ferramenta de apoio a PEN TEST
(Framework)
 Metasploit
 NetStumbler (wireless )

15. S3-Strong Security School
 2010 – Lançamento da S3
 Parceria com a (ISC)2
 Seminário preparatório para certificação CISSP
 Testes de Certificação CISSP
 Parceria com a EC-Council
 Vários curso e certificações internacionais:
 Certified Ethical Hacker – C|EH
 Computer Hacking Forensic Investigator – C|HFI
 Disaster Recovery Profesional

16. Dario Caraponale - Diretor Comercial
OBRIGADO
INFO@STRONGSECURITY.CO
M.BR