SlideShare uma empresa Scribd logo
1 de 37
Fundamentos de
Ethical Hacking
WHOAMI
Kaique Bonato
Analista de Segurança da Informação & Ethical Hacking, amante de
tecnologias open source.
OWASP Member e Hack the box player.
2
3
Oque é Segurança da Informação?
4
Padrões e Normas
• ISO 27001
• PCI-DSS
• HIPPA
5
Serviços de Segurança
6
Serviços de Segurança
• Bug bounty
• Mercado negro
• Compra de Vulnerabilidades
• https://www.zerodium.com/program.html
7
PROTEÇÕES
ANTI A POHA TODA
• Anti-Malwre
• Anti-Vírus
• Anti-Spyware
• Anti-Exploit
• Firewall
• IDS / IPS
• Honeypot
8
AMEAÇAS
MALWARES ?
• Trojan Horse
• Backdoor
• Worms
• Rootkits
• Keylogger
• Spyware
9
MAIS AMEAÇAS
• DoS / DDoS = BotNet
• Exploits 0-DAY = Melhor coisa no mundo para um cracker
• Server Side Attacks
• Client Side Attacks
10
EVENTOS
• DEFCON
• BLACKHAT
• ROADSEC
11
O HACKER É SEU AMIGO
Hacker vs Cracker
• WHITE HAT
• GRAY HAT
• BLACK HAT
• SCRIPT KIDDIE
4
• Teste de Penetração / Invasão / Intrusão
• Análise de Vulnerabilidade
• RED Team vs BLUE Team
4
PENSE
Oque é Pentest ?
Pentest é um serviço legalizado e necessário
para qualquer organização que deseja proteger
seus dados.
15
Por que realizar um pentest ?
16
• Encontre falhas antes que outros encontrem para você
• Danos a imagem da sua empresa
• Validar seus mecanismos de segurança
• Teste sua equipe de T.I para respostas a incidentes ou vazamentos
Tipos de pentest:
White box: Conhecimento total do alvo
Gray box: Conhecimento parcial do alvo
Black Box: Conhecimento mínimo do alvo
17
18
Pre-Engagement
Information
Gathering ReportingPost ExploitationExploitation
Fases de um pentest
Pre-Engagement
19
• Reuniões
• Coffee
• NDA
• Escopo
Entender o cliente
20
• O que o cliente pretende obter com o teste de invasão?
• O que definirá o teste como bem-sucedido?
• Tudo que puder conquistar
• Até onde devemos ir?
• Quais as condições de parada?
• Sistemas/Estruturas que não podem cair ou serem modificadas
Information Gathering
21
- Se eu tivesse 8 horas para cortar uma árvore, gastaria seis afiando meu
machado - Abraham Lincoln
• Footprint – Análise passiva do alvo.
Contato não direto com o alvo.
• Fingerprint – Análise ativa do alvo.
Contato direto com o alvo, gerando ruído na rede.
• Engenharia Social Trashing (Dumpster Diving)
• Whois Entradas DNS
• Buscas na Internet Cópia de Website
No tech hacking
22
• Lock picking
• Engenharia Social
• Shoulder Surfing
• Dumpster Diving
Hardware Hacking
23
Engenharia Social
24
• Baseada em pessoas
• Baseada em computadores
• Phishing
Dumpster Diving
25
• Lixo corporativo geralmente expõe muita informação
• Classificação da informação e controles
• Armazenamento
• Compartilhamento
• Descarte
O google é seu amigo
26
• Filetype
• Site
• Inurl
• Intext
• Google Hacking Database
• Webcam
Obter informações
Footprint = passiva
• Whois
• Archive.org
• Robots.txt
• E-mails
• Google
• Contato não direto com o alvo
27
Fingerprint = ativa
• Banners
• Scanners
• Redes
• Contato direto com o alvo
• Ruído
Sniffing
• Sniffing ?
• Mac Flooding
• DNS Spoof
• Wireshark
28
29
Varreduras
• Wardriving
• Mapeando Firewalls
• Mapeamento de Redes
• Vulnerabilidades
• Port Scan
• Web
• Detecção passiva de SO
30
• Exploits
• 0-day
• Client-side
• Server-side
Exploitation
Exploitation Web
31
• VAMOS FALAR DE OWASP TOP TEN
Post-Exploitation
32
• Escalação de privilégios
Serviços
Falhas
• Persistência
Rootkits
Backdoor
• Quebra de Senhas
Brute Force
Rainbow tables
Rastros
• Anonimato X Privacidade
• TOR
• Logs
• Redes de baixo nível
33
Reporting
34
• Saída dos testes realizados.
• Lista de todas as vulnerabilidades identificadas, incluindo recomendações para
resolver.
• Prioridades e soluções recomendadas.
PRÁTICA!!!
35
Obrigado!
Perguntas?
Como me encontrar
▪ Skype: kaique.bonato
▪ Email: kaique.bonato@owasp.org
36
Créditos
▪ Template do SlidesCarnival
▪ Imagens por Unsplash e Freepik
37

Mais conteúdo relacionado

Mais procurados

Mais procurados (10)

Honeypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de AmeacasHoneypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de Ameacas
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
 
Deep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da InternetDeep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da Internet
 
Segurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeSegurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de Rede
 
CNASI 2011
CNASI 2011CNASI 2011
CNASI 2011
 
Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1
 
Análise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiAnálise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de ti
 
Aula Inaugural
Aula InauguralAula Inaugural
Aula Inaugural
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
 
Anonimato na Web
Anonimato na Web Anonimato na Web
Anonimato na Web
 

Semelhante a Workshop - Fundamentos de Ethical Hacking

Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
Fabio Leandro
 
Pentest Invasão e Defesa - AnonFeh
Pentest   Invasão e Defesa - AnonFehPentest   Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFeh
Phillipe Martins
 

Semelhante a Workshop - Fundamentos de Ethical Hacking (20)

Crea seguranca
Crea segurancaCrea seguranca
Crea seguranca
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
 
Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de Ataques
 
Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012
 
Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao Forense
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Pentest Invasão e Defesa - AnonFeh
Pentest   Invasão e Defesa - AnonFehPentest   Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFeh
 
Issa day ago 2010 defcon
Issa day ago 2010 defconIssa day ago 2010 defcon
Issa day ago 2010 defcon
 
ISSA Day - Agosto
ISSA Day - AgostoISSA Day - Agosto
ISSA Day - Agosto
 
GTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e LegislaçãoGTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e Legislação
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
 
H2HC University 2014
H2HC University 2014H2HC University 2014
H2HC University 2014
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informação
 
Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)
Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)
Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)
 
Ehtical Hacking
Ehtical HackingEhtical Hacking
Ehtical Hacking
 
Conceitos de Segurança da Informação.pptx
Conceitos de Segurança da Informação.pptxConceitos de Segurança da Informação.pptx
Conceitos de Segurança da Informação.pptx
 

Último

Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Dirceu Resende
 

Último (6)

[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
 
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
 
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfFrom_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
 
Concurso Caixa TI - Imersão Final - Rogério Araújo.pdf
Concurso Caixa TI - Imersão Final - Rogério Araújo.pdfConcurso Caixa TI - Imersão Final - Rogério Araújo.pdf
Concurso Caixa TI - Imersão Final - Rogério Araújo.pdf
 
Apresentação Comercial VITAL DATA 2024.pdf
Apresentação Comercial VITAL DATA 2024.pdfApresentação Comercial VITAL DATA 2024.pdf
Apresentação Comercial VITAL DATA 2024.pdf
 
Certificado - Data Analytics - CoderHouse.pdf
Certificado - Data Analytics - CoderHouse.pdfCertificado - Data Analytics - CoderHouse.pdf
Certificado - Data Analytics - CoderHouse.pdf
 

Workshop - Fundamentos de Ethical Hacking