Thiago Finardi é um professor e especialista em segurança da informação com várias certificações. Ele irá apresentar sobre testes de invasão éticos, também conhecidos como pentesting, que são realizados para encontrar vulnerabilidades e tornar sistemas mais seguros. O documento discute os tipos, fases e ferramentas de testes de invasão.

2. Prof: Thiago Alves Finardi

3. Thiago Finardi
• Graduado em Análise de Sistemas;
• Pós Graduado em Segurança da Informação;
• Docente do Senac Uruguaiana
• Microsoft Student Partner;
• Certificação Linux Professional Institute;
• Certificação Novell Data Center Specialist
• Academia do Hacker Ético IFRN
• Perito Forense Computacional
• Degustador de Cervejas Especiais

4. Vamos aprender a Hackear?

5. Vamos aprender a Hackear?

6. Segurança da Informação
• Ela existe? Porque é importante?
• Atualmente, o que proteger?

7. Segurança da Informação
• Conhecer: Ameaças, vulnerabilidades e estimar os
RISCOS ao negócio

8. O que é um Hacker?

9. O perfil dos atacantes

10. Você compraria um produto sem testar?

11. Teste de Invasão
• O teste de invasão corresponde à metodologia, ao
processo e aos procedimentos usados pelos pentesters,
de acordo com diretrizes específicas e aprovadas, na
tentativa de burlar as proteções de um sistema de
informação, incluindo anular os recursos de segurança
integrados do sistema. BROAD; BINDNER (2014, p. 19).
• Invadir para proteger!

12. Testes de Invasão
• São uma tentativa legal e autorizada de
localizar e explorar redes computacionais e
sistemas em rede de forma bem-sucedida,
com o intuito de tornar esses sistemas mais
seguros.
• O processo inclui sondar vulnerabilidades,
como oferecer ataques que funcionem
como prova de conceito para demonstrar
que eles são reais.
• Abordado pelo CEH (Certified Ethical
Hacking)

13. Tipos de Testes de Invasão
• Black Box – Teste realizado em um sistema
remoto sem nenhum conhecimento do alvo.
• Gray Box – Teste realizado entre
departamentos ou sub-redes de uma intranet
com conhecimento parcial da estrutura.
• White Box – Teste realizado em uma intranet
local, com total conhecimento do alvo.

14. Fases de um Teste de Invasão

15. Dê atenção ao reconhecimento

16. Fases de um Teste de Invasão

17. O Ethical Hacker
• O Hacking Ético é uma atividade
profissional dotada de habilidades para
encontrar as vulnerabilidades e
fraquezas dos sistemas, utilizando os
mesmos conhecimentos, ferramentas e
metodologias empregadas por um
atacante malicioso.
• Um pentester profissional que ataca
os sistemas em nome do proprietário
do sistema ou da empresa
proprietária do sistema de
informação

18. O que testar?
• Controles de segurança físicos
• Sistemas
• Sites
• Redes (Ethernet, Wi-Fi, VOIP, Bluetooth, etc)
• Banco de dados
• Servidores
• Dispositivos, equipamentos
• Qualquer coisa que manipule informações
• Pessoas

19. Quem usa Wi-Fi em algum lugar?

20. Como Deixar a Wi-Fi segura?
• Trocar senha do router (admin)
• Ocultar o SSID
• Filtro por MAC Address
• Segurança WPA/WPA2
• Funciona?

21. Depende!
• Monitoramento de pacotes (Airmon-Ng)
• Captura de AUTH
• Fake-AP (AirBase-ng)
• Redes Preferenciais (Probe)
• Quebra de chave (aircrack-ng)
• Engenharia Social

22. Airmon-ng

23. Airbase-ng

24. Probe Request | Redes Preferenciais
Divulgando o SSID
SSID Oculto

25. Privacidade - Google Don’t be Evil

26. Privacidade – Mandic Magic

27. Privacidade – WhatsApp

28. Autenticação Web Segura

29. O HeartBleed

30. Ataques Man in the Middle (Passivo)

31. Ataques Man in the Middle (Ativo)

32. O que é preciso para se tornar um Hacker?
• Conhecimento de redes e protocolos
• Conhecimento de Programação
• Dedicação
• Curiosidade
• Persistência
• Psicologia (persuasão)
• Planejamento
• Paciência
• Duvidar da teoria
• Pensar além do óbvio

33. Ferramentas
• Scanning
• Sniffers
• Clonador de sites
• Metasploits
• Backdors/rootkits/trojan
• Hijaking
• Entre vários outros
• Tudo disponível no Kali Linux

34. Perguntas?

35. Thiago Finardi
• Email: tfinardi@gmail.com
• Twitter: @tfinardi
• Instagram: @tafinardi
• Blog: www.botecodigital.info
• Site: www.finardi.eti.br