hacking Ético e os testes de invasão - uruguaianatech 2014
TRANSCRIPT
![Page 1: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/1.jpg)
![Page 2: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/2.jpg)
Prof: Thiago Alves Finardi
![Page 3: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/3.jpg)
Thiago Finardi
• Graduado em Análise de Sistemas;• Pós Graduado em Segurança da Informação;• Docente do Senac Uruguaiana• Microsoft Student Partner;• Certificação Linux Professional Institute;• Certificação Novell Data Center Specialist• Academia do Hacker Ético IFRN• Perito Forense Computacional• Degustador de Cervejas Especiais
![Page 4: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/4.jpg)
Vamos aprender a Hackear?
![Page 5: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/5.jpg)
Vamos aprender a Hackear?
![Page 6: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/6.jpg)
Segurança da Informação
• Ela existe? Porque é importante?• Atualmente, o que proteger?
![Page 7: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/7.jpg)
Segurança da Informação
• Conhecer: Ameaças, vulnerabilidades e estimar os RISCOS ao negócio
![Page 8: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/8.jpg)
O que é um Hacker?
![Page 9: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/9.jpg)
O perfil dos atacantes
![Page 10: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/10.jpg)
Você compraria um produto sem testar?
![Page 11: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/11.jpg)
Teste de Invasão
• O teste de invasão corresponde à metodologia, ao processo e aos procedimentos usados pelos pentesters, de acordo com diretrizes específicas e aprovadas, na tentativa de burlar as proteções de um sistema de informação, incluindo anular os recursos de segurança integrados do sistema. BROAD; BINDNER (2014, p. 19).
• Invadir para proteger!
![Page 12: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/12.jpg)
Testes de Invasão
• São uma tentativa legal e autorizada de localizar e explorar redes computacionais e sistemas em rede de forma bem-sucedida, com o intuito de tornar esses sistemas mais seguros.
• O processo inclui sondar vulnerabilidades, como oferecer ataques que funcionem como prova de conceito para demonstrar que eles são reais.
• Abordado pelo CEH (Certified Ethical Hacking)
![Page 13: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/13.jpg)
Tipos de Testes de Invasão
• Black Box – Teste realizado em um sistema remoto sem nenhum conhecimento do alvo.
• Gray Box – Teste realizado entre departamentos ou sub-redes de uma intranet com conhecimento parcial da estrutura.
• White Box – Teste realizado em uma intranet local, com total conhecimento do alvo.
![Page 14: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/14.jpg)
Fases de um Teste de Invasão
![Page 15: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/15.jpg)
Dê atenção ao reconhecimento
![Page 16: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/16.jpg)
Fases de um Teste de Invasão
![Page 17: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/17.jpg)
O Ethical Hacker
• O Hacking Ético é uma atividade profissional dotada de habilidades para encontrar as vulnerabilidades e fraquezas dos sistemas, utilizando os mesmos conhecimentos, ferramentas e metodologias empregadas por um atacante malicioso.
• Um pentester profissional que ataca os sistemas em nome do proprietário do sistema ou da empresa proprietária do sistema de informação
![Page 18: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/18.jpg)
O que testar?
• Controles de segurança físicos
• Sistemas
• Sites
• Redes (Ethernet, Wi-Fi, VOIP, Bluetooth, etc)
• Banco de dados
• Servidores
• Dispositivos, equipamentos
• Qualquer coisa que manipule informações
• Pessoas
![Page 19: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/19.jpg)
Quem usa Wi-Fi em algum lugar?
![Page 20: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/20.jpg)
Como Deixar a Wi-Fi segura?
• Trocar senha do router (admin)
• Ocultar o SSID
• Filtro por MAC Address
• Segurança WPA/WPA2
• Funciona?
![Page 21: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/21.jpg)
Depende!
• Monitoramento de pacotes (Airmon-Ng)
• Captura de AUTH
• Fake-AP (AirBase-ng)
• Redes Preferenciais (Probe)
• Quebra de chave (aircrack-ng)
• Engenharia Social
![Page 22: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/22.jpg)
Airmon-ng
![Page 23: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/23.jpg)
Airbase-ng
![Page 24: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/24.jpg)
Probe Request | Redes Preferenciais
Divulgando o SSID
SSID Oculto
![Page 25: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/25.jpg)
Privacidade - Google Don’t be Evil
![Page 26: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/26.jpg)
Privacidade – Mandic Magic
![Page 27: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/27.jpg)
Privacidade – WhatsApp
![Page 28: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/28.jpg)
Autenticação Web Segura
![Page 29: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/29.jpg)
O HeartBleed
![Page 30: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/30.jpg)
Ataques Man in the Middle (Passivo)
![Page 31: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/31.jpg)
Ataques Man in the Middle (Ativo)
![Page 32: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/32.jpg)
O que é preciso para se tornar um Hacker?
• Conhecimento de redes e protocolos
• Conhecimento de Programação
• Dedicação
• Curiosidade
• Persistência
• Psicologia (persuasão)
• Planejamento
• Paciência
• Duvidar da teoria
• Pensar além do óbvio
![Page 33: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/33.jpg)
Ferramentas
• Scanning
• Sniffers
• Clonador de sites
• Metasploits
• Backdors/rootkits/trojan
• Hijaking
• Entre vários outros
• Tudo disponível no Kali Linux
![Page 34: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/34.jpg)
Perguntas?
![Page 35: Hacking Ético e os Testes de Invasão - UruguaianaTech 2014](https://reader035.vdocuments.site/reader035/viewer/2022062320/55accea01a28ab392c8b478a/html5/thumbnails/35.jpg)
Thiago Finardi
• Email: [email protected]• Twitter: @tfinardi• Instagram: @tafinardi• Blog: www.botecodigital.info• Site: www.finardi.eti.br