A palestra discute técnicas de "Man in the middle" e "SSL Hijacking" que podem comprometer informações pessoais em redes inseguras. O palestrante demonstra como o ataque funciona usando ferramentas como SSLstrip e Ettercap e como redirecionar tráfego HTTPS para HTTP de forma a interceptar comunicações. Ele também mostra como detectar e evitar esse tipo de ataque.
Slides utilizados durante minha palestra no I CONBRADE - Congresso Brasileiro de Direito Eletrônico, que aconteceu no dia 21 de novembro de 2014 na OAB-TO em Palmas-TO.
Apresentação na Campus Party Brasília 2 em 2018 falando de diversas técnicas que os hackers utilizam para invadir sistemas e roubar informações! As tecnicas passam por Engenharia Social e até outras.
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaCampus Party Brasil
Com as exigências da regulamentação PCI, realizar PEN TEST torna-se obrigatório para empresas que fazem transações com cartão de credito, por isto Ethical Hacker tornou-se uma profissão. Saiba como tornar-se um profissional certificado com validade internacional e quais ferramentas pode-se usar. Faremos demonstração de como estas ferramentas funcionam.
Slides utilizados durante minha palestra no I CONBRADE - Congresso Brasileiro de Direito Eletrônico, que aconteceu no dia 21 de novembro de 2014 na OAB-TO em Palmas-TO.
Apresentação na Campus Party Brasília 2 em 2018 falando de diversas técnicas que os hackers utilizam para invadir sistemas e roubar informações! As tecnicas passam por Engenharia Social e até outras.
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaCampus Party Brasil
Com as exigências da regulamentação PCI, realizar PEN TEST torna-se obrigatório para empresas que fazem transações com cartão de credito, por isto Ethical Hacker tornou-se uma profissão. Saiba como tornar-se um profissional certificado com validade internacional e quais ferramentas pode-se usar. Faremos demonstração de como estas ferramentas funcionam.
Escola Técnica Estadual Aderico Alves de Vasconcelos
Curso: Técnico de Redes de Computadores
Disciplina: Segurança de Dados e Informações
Professor: Fagner Lima
Escola Técnica Estadual Aderico Alves de Vasconcelos
Curso: Técnico de Redes de Computadores
Disciplina: Tecnologias Atuais de Redes
Professor: Fagner Lima
Você já sentiu isso? Aquele frio na barriga e o coração batendo mais forte? Você não sabe o que, mas alguma coisa está dando errado no seu teste de penetração. Você não consegue penetrar em nada. Não serão apenas novas técnicas, mas verdadeiras mudanças na sua visão. Aquele momento que dá um estalo quando você vê como fazer de verdade e que tudo era tão simples. Te espero para contar todos os segredos.
Você já sentiu isso? Aquele frio na barriga e o coração batendo mais forte? Você não sabe o que, mas alguma coisa está dando errado no seu teste de penetração. Você não consegue penetrar em nada. Não serão apenas novas técnicas, mas verdadeiras mudanças na sua visão. Aquele momento que dá um estalo quando você vê como fazer de verdade e que tudo era tão simples. Te espero para contar todos os segredos.
Tecnicamente, tudo o que se conecta à Internet pode ser hackeado. Mas há várias coisas que você pode fazer para proteger a si e a seus dados de um ciberataque.
Aqui estão algumas dicas que irão mitigar o risco de ter seus dados pessoais roubados.
Apresentação do meu artigo chamado "Pentesting Auto-ensinado" para a disciplina de Segurança de Sistemas Distribuídos do Pós-Graduação em Ciência da Computação (Mestrado).
Segurança de APIs HTTP, um guia sensato para desenvolvedores preocupadosLuis Cipriani
Liberar uma API HTTP para seus usuários é a melhor forma de estimular ideias inovadoras baseadas no seu produto, porém para ser livre é necessário responsabilidade. Você já pensou qual o melhor método para garantir a segurança dos dados de seus usuários? Será que só basta implementar o melhor método de autenticação do mercado? Como balancear segurança com a queda de performance percebida pelo usuário, devido ao overhead do processo de autenticação? Devo me preocupar com rate-limiting?
Com foco nesses desafios, a palestra apresentará os métodos de autenticação de APIs, suas vantagens e desvantagens, quando utilizar cada uma e liberar os dados com cabeça tranquila.
FirePOWER contra Ransomware - Comunidade CiscoMaurício Harley
Apresentação ministrada no webcast da comunidade Cisco de suporte em Português apresentando como o FirePOWER pode servir no combate de ataques Ransomware. É dada uma breve introdução ao tema, apresentadas estatísticas e conceitos relevantes e depois, uma explicação aprofundada da ferramenta.
Escola Técnica Estadual Aderico Alves de Vasconcelos
Curso: Técnico de Redes de Computadores
Disciplina: Segurança de Dados e Informações
Professor: Fagner Lima
Escola Técnica Estadual Aderico Alves de Vasconcelos
Curso: Técnico de Redes de Computadores
Disciplina: Tecnologias Atuais de Redes
Professor: Fagner Lima
Você já sentiu isso? Aquele frio na barriga e o coração batendo mais forte? Você não sabe o que, mas alguma coisa está dando errado no seu teste de penetração. Você não consegue penetrar em nada. Não serão apenas novas técnicas, mas verdadeiras mudanças na sua visão. Aquele momento que dá um estalo quando você vê como fazer de verdade e que tudo era tão simples. Te espero para contar todos os segredos.
Você já sentiu isso? Aquele frio na barriga e o coração batendo mais forte? Você não sabe o que, mas alguma coisa está dando errado no seu teste de penetração. Você não consegue penetrar em nada. Não serão apenas novas técnicas, mas verdadeiras mudanças na sua visão. Aquele momento que dá um estalo quando você vê como fazer de verdade e que tudo era tão simples. Te espero para contar todos os segredos.
Tecnicamente, tudo o que se conecta à Internet pode ser hackeado. Mas há várias coisas que você pode fazer para proteger a si e a seus dados de um ciberataque.
Aqui estão algumas dicas que irão mitigar o risco de ter seus dados pessoais roubados.
Apresentação do meu artigo chamado "Pentesting Auto-ensinado" para a disciplina de Segurança de Sistemas Distribuídos do Pós-Graduação em Ciência da Computação (Mestrado).
Segurança de APIs HTTP, um guia sensato para desenvolvedores preocupadosLuis Cipriani
Liberar uma API HTTP para seus usuários é a melhor forma de estimular ideias inovadoras baseadas no seu produto, porém para ser livre é necessário responsabilidade. Você já pensou qual o melhor método para garantir a segurança dos dados de seus usuários? Será que só basta implementar o melhor método de autenticação do mercado? Como balancear segurança com a queda de performance percebida pelo usuário, devido ao overhead do processo de autenticação? Devo me preocupar com rate-limiting?
Com foco nesses desafios, a palestra apresentará os métodos de autenticação de APIs, suas vantagens e desvantagens, quando utilizar cada uma e liberar os dados com cabeça tranquila.
FirePOWER contra Ransomware - Comunidade CiscoMaurício Harley
Apresentação ministrada no webcast da comunidade Cisco de suporte em Português apresentando como o FirePOWER pode servir no combate de ataques Ransomware. É dada uma breve introdução ao tema, apresentadas estatísticas e conceitos relevantes e depois, uma explicação aprofundada da ferramenta.
O presente documento foi elaborado com o objetivo de esclarecer, de forma didática, o funcionamento da criptografia ponto a ponto (P2P) nas comunicações em aplicativos de mensagens instantâneas que utilizam ou derivam do protocolo Signal da Open Whisper Systems. Como exemplos de aplicativos podemos citar WhatsApp, Facebook Messenger, Google Allo, entre muitos outros.
Uma abordagem sobre técnicas de segurança para aplicações desenvolvidas em PHP, necessárias a qualquer um que tenha interesse em montar um software confiável. Irei abordar maneiras de reduzir os riscos de ataques, maneiras de proteger os usuários da sua aplicação e apresentar algumas bibliotecas e ferramentas Open Source para ajudar neste processo.
Você já sentiu isso? Aquele frio na barriga e o coração batendo mais forte? Você não sabe o que, mas alguma coisa está dando errado no seu teste de penetração. Você não consegue penetrar em nada. Não serão apenas novas técnicas, mas verdadeiras mudanças na sua visão. Aquele momento que dá um estalo quando você vê como fazer de verdade e que tudo era tão simples. Te espero para contar todos os segredos.
Talk feito no CocoaHeads RJ edição Novembro/2015 sobre Segurança no desenvolvimento de aplicativos iOS, considerando Persistência, Comunicação e Segurança do Código.
Construindo uma Aplicação PHP à Prova de Balas - 2010Rafael Jaques
Palestra apresentada por Rafael Jaques no FISL 11 [Porto Alegre] em 24/07/2010.
O foco da apresentação é atentar o desenvolvedor para brechas que comumente não são consideradas, lembradas ou não tem seu devido valor dado.
Mostra um leque variado de formas de ataque e como se defender destes modos de invasão.
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
Palestra apresentada por Rafael Jaques no Tchelinux - Edição Porto Alegre em 17/11/2009.
O foco é demonstrar algumas brechas que comumente não são consideradas pelos desenvolvedores.
3º SICT-Sul Minicurso Técnicas para segurança computacional
Palestra: Ettercap com SSLstrip - Interceptando tráfego HTTPS com Software Livre
1. ig.com.br
$whoami
Bruno Rocha da Silva
Administrador de Sistemas no iG (ig.com.br)
More...: http://about.me/brunorochadasilva :-)
2. Objetivo
O objetivo principal desta palestra, é
demonstrar como um simples ataque “Man in
the middle” associado á técnicas de “SSL
Hijacking”, podem comprometer informações
pessoais em uma rede mal configurada e/ou
insegura.
ig.com.br
3. Importante
A palestra não tem como objetivo fazer
apologia a invasão de privacidade digital.
As técnicas aqui presentes devem ser utilizadas
apenas para fins éticos.
ig.com.br
5. HTTPS
Hyper Text Transfer Protocol Secure;
Implementação do protocolo HTTP para
suportar o protocolo SSL ou TLS;
Utiliza criptografia assimétrica, simétrica e
certificado digital;
Utiliza como padrão a porta 443.
ig.com.br
11. Man in the middle
Técnica utilizada para interceptar, registrar e
possívelmente alterar a comunicação entre
duas partes;
Não perceptiva entre as partes, o que garante a
“confidencialidade” da comunicação;
ARP Poisoning, DNS Spoofing, Session Hijacking
e SSL Hijacking, são algumas formas de
realizar esse tipo de ataque.
ig.com.br
12. ARP
Adress Resolution Protocol;
Responsável por identificar um determinado
Mac Adress, de um determinado endereço IP na
rede;
A identificação inicial funciona via broadcast,
logo depois, o mesmo é armazenado em cache;
Não há controle de identificação;
O primeiro que responder “ganha”.
ig.com.br
14. ARP Poisoning
ARP Poisoning ou ARP Spoofing, consiste em
“envenar” ou “enganar” a tabela CAM do
Switch ou a tabela de roteamento do
Roteador, através de respostas ARP falsas.
Todos os dispositivos conectados na rede,
que solicitarem o endereço MAC de
determinado IP, passam a receber o
endereço MAC do atacante.
ig.com.br
16. Ettercap
● Criado originalmente por Alberto Ornaghi e
Marco Valleri;
● A idéia inicial era ser um simples Sniffer;
● Hoje é uma suíte completa para ataques Man in
the middle;
● Utilizado também em outros tipos de ataques,
como DDOS e Mac Flooding;
● Built-in no Backtrack.
ig.com.br
20. SSLstrip
Criado e apresentando por Moxie Marlinspike na
BlackHat de 2009 (mesmo criador do SSLsniff);
Utiliza técnicas de SSL Hijacking para burlar
novas sessões;
A comunicação entre a vítima e o atacante
ocorre via HTTP, já a comunicação entre
atacante e servidor, ocorre via HTTPS.
ig.com.br
21. Requisitos para o ataque
Estar conectado na mesma rede que a “vítima”;
Estar com o forward de pacotes a nível de
Kernel habilitado;
Direcionar todo o tráfego da porta 80 e 443
para a porta do SSLstrip (default 10.000);
Estar com o Man in the middle via ARP
Poisoning ativo;
Estar com o SSLstrip ativo.
ig.com.br