O documento apresenta um treinamento sobre testes de intrusão em aplicações web ministrado por Allan Pitter. Ele descreve sua experiência profissional, objetivos do treinamento, principais vulnerabilidades e técnicas de ataque, ferramentas utilizadas e realiza uma demonstração prática de diferentes tipos de ataques como XSS, SQL injection e força bruta.
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017Renato Groff
Apresentação sobre boas práticas de segurança no acesso a dados em aplicações .NET. Palestra realizada em meetup promovido pelo grupo .NET SP em 26/09/2017 na cidade de São Paulo-SP.
O que fazer agora que o projeto acabou? A expectativa foi diferente do resultado entregue? Será que você consegue demonstrar o ROI deste serviço?
O teste de invasão, ou pentest, é muito utilizado pelas empresas para validação da segurança de seus ambientes. No entanto, muitas empresas acabam por não tirar proveito deste tipo de teste, seja por divergências de escopo, técnicas e qualidade do fornecedor, expectativa de entrega e formato de resultados.
Nesta palestra, iremos discutir os fatores decisivos para contratação de um pentest de sucesso, da concepção do projeto ao gerenciamento das vulnerabilidades encontradas, além de abrir espaço para troca de experiências.
Teste de integração, ok. Teste de JavaScript, ok. Teste de CSS.... O quê? Sim! Nessa palestra você vai aprender que é possível testar CSS sem muita dor de cabeça. Até o diretor de arte vai gostar.
Rafael Soares apresentou palestra sobre "Segurança da Informação - Desafios e Oportunidades" no auditório principal do Campus Perynas, em Cabo Frio, da Universidade Veiga de Almeida.
Apalestra faz parte da programação de boas-vindas dos novos alunos dos cursos de Sistemas de Informação e Engenharia de Produção.
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017Renato Groff
Apresentação sobre boas práticas de segurança no acesso a dados em aplicações .NET. Palestra realizada em meetup promovido pelo grupo .NET SP em 26/09/2017 na cidade de São Paulo-SP.
O que fazer agora que o projeto acabou? A expectativa foi diferente do resultado entregue? Será que você consegue demonstrar o ROI deste serviço?
O teste de invasão, ou pentest, é muito utilizado pelas empresas para validação da segurança de seus ambientes. No entanto, muitas empresas acabam por não tirar proveito deste tipo de teste, seja por divergências de escopo, técnicas e qualidade do fornecedor, expectativa de entrega e formato de resultados.
Nesta palestra, iremos discutir os fatores decisivos para contratação de um pentest de sucesso, da concepção do projeto ao gerenciamento das vulnerabilidades encontradas, além de abrir espaço para troca de experiências.
Teste de integração, ok. Teste de JavaScript, ok. Teste de CSS.... O quê? Sim! Nessa palestra você vai aprender que é possível testar CSS sem muita dor de cabeça. Até o diretor de arte vai gostar.
Rafael Soares apresentou palestra sobre "Segurança da Informação - Desafios e Oportunidades" no auditório principal do Campus Perynas, em Cabo Frio, da Universidade Veiga de Almeida.
Apalestra faz parte da programação de boas-vindas dos novos alunos dos cursos de Sistemas de Informação e Engenharia de Produção.
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
Estruturação de uma área de segurança da informação para que de forma centralizada adote o modelo de Security Officer. Apresentado como a empresa lida com as novas oportunidades de negócio e as ameaças e desafios para Segurança, de um ponto de vista multidisciplinar, como por exemplo: Legais – Privacidade vs Cyber Crime para atendimento as autoridades públicas, Marca – proteção da marca e desativação de phishing, Tecnológicas – análises de vulnerabilidade em um ambiente complexo e de alta disponibilidade, Gerenciamento-monitoração e segurança de rede, em especial aos desafios do IPv6 e atuação do CSIRTs na resposta a incidentes e ataques DDoS, Conscientização – trabalho junto aos recursos humanos visando para garantir que as boas práticas de segurança da informação estejam presentes na cultura da empresa. O objetivo é compartilhar as experiências práticas e desafios vivenciados na condução, estruturação e desenvolvimento de um Security Officer em uma das maiores empresa do segmento de Mídia Digital & Comunicação do mundo.
Critical Factors in Agile Software Projects para o Agile Brazil (2015)Karla Silva
Apresentação dos fatores críticos no desenvolvimento de projectos em contextos ágeis na perspectiva de pessoas, processo e tecnologia.
WBMA - Agile Brazil, 2015.
Software riskM | Gestão Eficaz da GRC – Governança, Risco e ConformidadeCompanyWeb
Após vários projetos e cursos de Gestão de Riscos Corporativos, SOX, Compliance, desenvolvemos uma solução com ótima relação custo x benefício. Sua matriz de riscos, controles internos e auditoria interna em uma única ferramenta.
Uma forma prática, ágil e integrada para fazer acontecer a Governança, Risco e Conformidade. A riskM, ajuda sua organização a implementar o modelo europeu das Três Linhas de Defesa, da gestão de riscos da 1ª. Linha de Defesa à 3ª. Linha de Defesa, o ciclo da Auditoria Interna. Não há necessidade de comprar módulos ou várias ferramentas, a riskM é colaborativa entre as equipes, uma única interface e com recursos de notificação automática que contribuem com uma postura proativa no gerenciamento.
Cobre da Operação à Gestão!
Vídeo: https://youtu.be/kso0nfLZp5g
Apresentar um breve histórico do Teste de Software, juntamente com o processo de teste de software e seus níveis, técnicas, tipos e critérios realizando exercícios práticos.
Contextualizar os alunos de ferramentas de apoio ao teste e boas práticas nas atividades de teste de software.
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
Gestão De Riscos Com Base No Monitoramento De Ameaças
É necessário ter consciência de que os crimes no mundo digital estão, invariavelmente, a um clique de distância e não respeitam leis e fronteiras. Por isso, a segurança tecnológica é fundamental para proteção das empresas, frente aos avanços do cibercrime. Não é tarefa simples estruturar um plano de trabalho que contemple da gestão das análises de vulnerabilidades até o gerenciamento e monitoração de ameaças na grande rede, especialmente frente aos novos desafios, como a implementação do IPv6, o Bring yout own Disaster (BYOD) e a Internet das Coisas (IoT). Para conseguir alcançar sucesso neste universo desafiador, além dos conhecimentos técnicos, é necessário trabalhar uma habilidade não tão natural aos colaboradores de tecnologia: a comunicação. É necessário elevar o nível da comunicação, ao invés de se resumir à linguagem técnica, distante e difícil de ser compreendida pelos executivos. O motivador na escolha do tema “Riscos Tecnológicos e Monitoramento de Ameaças" é a oportunidade de compartilhar com os colegas e profissionais de Segurança da Informação as experiências práticas e desafios vivenciados na condução, estruturação e desenvolvimento de um Security Officer em uma das maiores empresa do segmento de Mídia Digital & Comunicação do mundo.
Palestra realizada por Camilo Ribero no segundo semestre de 2010 para os alunos dos cursos de sistemas de informação e ciência da computação da PUC Minas, na Unidade São Gabriel
O principal objetivo do GUTS Universitário é aproximar o GUTS-RS com a comunidade acadêmica através de encontros e palestras dentro de universidades. Queremos levar temas relacionados a qualidade e testes de software para alunos de graduação com o intuito de reforçar a importância da nossa área e instigá-los a buscar respostas para os desafios enfrentados por nós como tema para trabalhos de conclusão de curso (TCC) e artigos acadêmicos. Com isso, podemos aproveitar o conhecimento acadêmico para melhorar o nosso dia-a-dia dentro das nossas empresas, equipes ou projetos.
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Rafael Targino
Apresentação em 24/06/2016 sobre os desafios na definição do processo ágil de Furnas para documentar requisitos, sistematizar ordens de serviço, organizar as atividades das fábricas na Sprint, definir os papéis na organização e utilizar pontos de função s e estimativas ágeis, em projetos de desenvolvimento de software na administração pública usando fábricas de software e também fábricas de teste.
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
Estruturação de uma área de segurança da informação para que de forma centralizada adote o modelo de Security Officer. Apresentado como a empresa lida com as novas oportunidades de negócio e as ameaças e desafios para Segurança, de um ponto de vista multidisciplinar, como por exemplo: Legais – Privacidade vs Cyber Crime para atendimento as autoridades públicas, Marca – proteção da marca e desativação de phishing, Tecnológicas – análises de vulnerabilidade em um ambiente complexo e de alta disponibilidade, Gerenciamento-monitoração e segurança de rede, em especial aos desafios do IPv6 e atuação do CSIRTs na resposta a incidentes e ataques DDoS, Conscientização – trabalho junto aos recursos humanos visando para garantir que as boas práticas de segurança da informação estejam presentes na cultura da empresa. O objetivo é compartilhar as experiências práticas e desafios vivenciados na condução, estruturação e desenvolvimento de um Security Officer em uma das maiores empresa do segmento de Mídia Digital & Comunicação do mundo.
Critical Factors in Agile Software Projects para o Agile Brazil (2015)Karla Silva
Apresentação dos fatores críticos no desenvolvimento de projectos em contextos ágeis na perspectiva de pessoas, processo e tecnologia.
WBMA - Agile Brazil, 2015.
Software riskM | Gestão Eficaz da GRC – Governança, Risco e ConformidadeCompanyWeb
Após vários projetos e cursos de Gestão de Riscos Corporativos, SOX, Compliance, desenvolvemos uma solução com ótima relação custo x benefício. Sua matriz de riscos, controles internos e auditoria interna em uma única ferramenta.
Uma forma prática, ágil e integrada para fazer acontecer a Governança, Risco e Conformidade. A riskM, ajuda sua organização a implementar o modelo europeu das Três Linhas de Defesa, da gestão de riscos da 1ª. Linha de Defesa à 3ª. Linha de Defesa, o ciclo da Auditoria Interna. Não há necessidade de comprar módulos ou várias ferramentas, a riskM é colaborativa entre as equipes, uma única interface e com recursos de notificação automática que contribuem com uma postura proativa no gerenciamento.
Cobre da Operação à Gestão!
Vídeo: https://youtu.be/kso0nfLZp5g
Apresentar um breve histórico do Teste de Software, juntamente com o processo de teste de software e seus níveis, técnicas, tipos e critérios realizando exercícios práticos.
Contextualizar os alunos de ferramentas de apoio ao teste e boas práticas nas atividades de teste de software.
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
Gestão De Riscos Com Base No Monitoramento De Ameaças
É necessário ter consciência de que os crimes no mundo digital estão, invariavelmente, a um clique de distância e não respeitam leis e fronteiras. Por isso, a segurança tecnológica é fundamental para proteção das empresas, frente aos avanços do cibercrime. Não é tarefa simples estruturar um plano de trabalho que contemple da gestão das análises de vulnerabilidades até o gerenciamento e monitoração de ameaças na grande rede, especialmente frente aos novos desafios, como a implementação do IPv6, o Bring yout own Disaster (BYOD) e a Internet das Coisas (IoT). Para conseguir alcançar sucesso neste universo desafiador, além dos conhecimentos técnicos, é necessário trabalhar uma habilidade não tão natural aos colaboradores de tecnologia: a comunicação. É necessário elevar o nível da comunicação, ao invés de se resumir à linguagem técnica, distante e difícil de ser compreendida pelos executivos. O motivador na escolha do tema “Riscos Tecnológicos e Monitoramento de Ameaças" é a oportunidade de compartilhar com os colegas e profissionais de Segurança da Informação as experiências práticas e desafios vivenciados na condução, estruturação e desenvolvimento de um Security Officer em uma das maiores empresa do segmento de Mídia Digital & Comunicação do mundo.
Palestra realizada por Camilo Ribero no segundo semestre de 2010 para os alunos dos cursos de sistemas de informação e ciência da computação da PUC Minas, na Unidade São Gabriel
O principal objetivo do GUTS Universitário é aproximar o GUTS-RS com a comunidade acadêmica através de encontros e palestras dentro de universidades. Queremos levar temas relacionados a qualidade e testes de software para alunos de graduação com o intuito de reforçar a importância da nossa área e instigá-los a buscar respostas para os desafios enfrentados por nós como tema para trabalhos de conclusão de curso (TCC) e artigos acadêmicos. Com isso, podemos aproveitar o conhecimento acadêmico para melhorar o nosso dia-a-dia dentro das nossas empresas, equipes ou projetos.
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Rafael Targino
Apresentação em 24/06/2016 sobre os desafios na definição do processo ágil de Furnas para documentar requisitos, sistematizar ordens de serviço, organizar as atividades das fábricas na Sprint, definir os papéis na organização e utilizar pontos de função s e estimativas ágeis, em projetos de desenvolvimento de software na administração pública usando fábricas de software e também fábricas de teste.
3. About Me
Professor na BandTec
Consultor e Especialista em Segurança da Informação
20 anos de experiência em TI
Pentester
CSO, LPI, CEH, DRI, CISSP, OSCP
@allanpitter
facebook.com/allanpitter
br.linkedin.com/in/allanpitter
allan.pressi@bandtec.com.br
4. Gosta de:
Tecnologia, Sistemas Operacionais, Redes
de Computadores, Programação, Escrever
Artigos, Documentação, Gerenciar Equipes,
Desafios, Aprender, Compartilhar.
Características:
Autodidata, Analítico, Crítico, Competitivo,
Persistente, Decidido.
Quem é você?
6. allan.pressi@bandtec.com.br
18 mesesEsta é a duração média para descoberta de uma fraude,
segundo pesquisa efetuada pela Association of Certified
Fraud Examiners (ACFE).
Report to Nations – On Occupational Fraud and abuses / 2014 - www.acfe.com
12. Tecnologia
allan.pressi@bandtec.com.br
Desktop Firewall IDS/IPS Applications
SQL
Injection
Cross Site
Scripting
Pattern-
based Attack
Web Server
Known
Vulnerabilities
Parameter
Tampering
Cookie
Poisoning
Segurança da camada frontal não
para todos os vetores de ataque
Hacker
Users
Anti-
spoofing
DoS
Port
Scanning
Privileged users
(DBAs,developers)
Databases
Suspicious
Activity
Sensitive Data
Unauthorized
Access
13. allan.pressi@bandtec.com.br
Contas de E-mails (spammers)
E-commerce (cartões de créditos)
Base de Clientes (informações cadastrais)
Visibilidade e Abrangência (volume de acesso)
Hospedagem (fake pages)
Superfície de Ataque
14. OWASP - TOP 10 Vulnerabilidades Web
Injeção de código
Quebra de
Autenticação
XSS
Acesso Direto a
Objetos
Segurança
Configurações
Exposição de Dados
Sensíveis
Controle de Acesso
CSRF 9-Falhas Conhecidas
Redirecionamentos
allan.pressi@bandtec.com.br
1
2
3
4
8
7
6
5
9
10
15. Metodolodias de Pentest
allan.pressi@bandtec.com.br
Testes realizados com base nos 66
controles apresentados pelo OWASP
TESTING GUIDE (v3.0):
Information Gathering
Configuration Management Testing
Business Logic Testing
Authentication Testing
Authorization testing
Session Management Testing
Data Validation Testing
Denial of Service Testing
Web Services Testing
Ajax Testing
26. allan.pressi@bandtec.com.br
O que eu devo Aprender/fazer?
Automatizar a procura de falhas;
Cobrir a maior superficie possível;
Ter uma metodologia;
Auditar, auditar, auditar…
Fazer verificações manuais;
Conhecer as diversas técnicas;
Saber escolher um bom fornecedor;
Refazer tudo novamente.