- inicialmente devemos buscar sempre o anonimato e a competencia profissional , que um security officer necessita, principios basicos que um pentester deve ter para conseguir um " lugar ao ROOT" :P
- Confidencialidade - propriedade que limita o acesso a informação tão-somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
- Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação.
- Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo.
- Autenticidade –Garantia da origemda informação.
- Legalidade – Importante estarmos atentos as leis de cada país.
C.I.D.A.L.
- Vamos a algumas terminologias que são muito utilizadas na area de segurança da informação, no caso aqui iremos apresenta somente algumas para esclarecimento do corpo do nosso artigo.
* Cameras
Controles logicos
* Criptografia
* Firewall
* Anti-Vírus
* IDS
* IPS
* ADS
* Anti-Spam
* Fuzzers
Os serviços de segurança por sua vez são realizadas da seguinte forma:
* Criação de Políticas de Segurança.
* Hardening de Servidores.
* Análise de Vulnerabilidade.
* Teste de Intrusão.
* Análise de Aplicação.
* Perícia Computacional.
* Treinamento de Colaboradores.
Apesar de tudo, ainda temos incidentes de segurança Bugs em softwares; Bugs em softwares;
Empregados insatisfeitos;Administradores de sistemas sobrecarregados;Acomodação de necessidades empresariais; Falta de educação em segurança .incrivel não? ja com uma " breve" introdução sobre segurança mas vamos ao que enteressa , nosso assunto é Pentest :)
O Teste de Intrusão é um processo de análise detalhada do nível de segurança de um sistema ou rede usando a perspectiva de um infrator.O objetivo principal é simular de forma controlada um ataque real que normalmente é executado por criminosos.
Open Source Security testing methodology manual (OSSTMM)
Os resultados devemconter:
mas conhecida pelos haxor's e hackers afins.. principalmente pelos defacer's que procuram essas "falhas" para deixa seus protestos . whatever como diria jovem NERD ...
O que é vulnerability research ?
Por que os hackers precisamdisso?
0-day!
Nova técnica X Novo exploit
Bug que não foi corrigido e não é público Pesquisado principalmente por hackers e governo, motivados pela fama e dinheiro Empresas vendeme compram0days: Gleg / iDefense. um exemplo disso estão os websites citados abaixo:
Pentester
afinal o que diferencia um hacker de um pestester ? São duas as principais diferenças, considerando pessoas de mesmo nível técnico: Prazo Prazo e Escopo.
- Vamos a algumas terminologias que são muito utilizadas na area de segurança da informação, no caso aqui iremos apresenta somente algumas para esclarecimento do corpo do nosso artigo.
- Vulnerabilidade – fragilidade que pode fornecer uma porta de entrada a um atacante.
- Ameaça – agente ou ação que se aproveita de uma vulnerabilidade.
- Risco – (Impacto X Probabilidade) da ameaça ocorrer.
- Ataque – Incidência da ameaça sobre a vulnerabilidade.
- Exploit – Programa capaz de explorar uma vulnerabilidade.
Mecanismos de Segurança
* Guardas Controles Físicos
* Portas
* Trancas
* Paredes
* Blindagem
* Portas
* Trancas
* Paredes
* Blindagem
* Cameras
Controles logicos
* Criptografia
* Firewall
* Anti-Vírus
* IDS
* IPS
* ADS
* Anti-Spam
* Fuzzers
Os serviços de segurança por sua vez são realizadas da seguinte forma:
* Criação de Políticas de Segurança.
* Hardening de Servidores.
* Análise de Vulnerabilidade.
* Teste de Intrusão.
* Análise de Aplicação.
* Perícia Computacional.
* Treinamento de Colaboradores.
Apesar de tudo, ainda temos incidentes de segurança Bugs em softwares; Bugs em softwares;
Empregados insatisfeitos;Administradores de sistemas sobrecarregados;Acomodação de necessidades empresariais; Falta de educação em segurança .incrivel não? ja com uma " breve" introdução sobre segurança mas vamos ao que enteressa , nosso assunto é Pentest :)
O Teste de Intrusão é um processo de análise detalhada do nível de segurança de um sistema ou rede usando a perspectiva de um infrator.O objetivo principal é simular de forma controlada um ataque real que normalmente é executado por criminosos.
Open Source Security testing methodology manual (OSSTMM)
- O teste dever ser conduzido exaustivamente.
- O teste deve contemplar todos os itens necessários.
- O escopo do teste não deve ferir os direitos humanos básicos.
- Os resultados devem ser quantificáveis.
- Os resultados devem ser consistentes.
- Os resultados devem conter apenas o que foi obtido com os testes.
Os resultados devemconter:
- Data e hora dos testes.
- Tempo de duração dos testes.
- Analistas e pessoas envolvidas.
- Tipo do teste.
- Escopo do teste.
- O resultado da enumeração.
- Margens de erro.
- Qualificação do risco.
- Qualquer tipo de erro ou anomalia desconhecida.
mas conhecida pelos haxor's e hackers afins.. principalmente pelos defacer's que procuram essas "falhas" para deixa seus protestos . whatever como diria jovem NERD ...
O que é vulnerability research ?
Por que os hackers precisamdisso?
0-day!
Nova técnica X Novo exploit
Bug que não foi corrigido e não é público Pesquisado principalmente por hackers e governo, motivados pela fama e dinheiro Empresas vendeme compram0days: Gleg / iDefense. um exemplo disso estão os websites citados abaixo:
http://www.zerodayinitiative.com/
http://research.eeye.com/html/advisories/upoming/index.html
http://labs.idefense.com/intelligence/vulnerabilities/
http://www.gleg.net/products.shtml
Pentester
afinal o que diferencia um hacker de um pestester ? São duas as principais diferenças, considerando pessoas de mesmo nível técnico: Prazo Prazo e Escopo.
proximo post iremos falar sobre as fases de um ataque e os tipos de pentest, vamos começando para o teorico para que os que são novos começem a se habituar com as linguagens e a dinâmica do nossa profissão.
Minha fonte de estudo como sempre e o google, e alguns profissionais que me espelho muito para alcançar meus objetivos, dentre eles altieri , bluehat , mairton SEJUSP, e outros que ao decorrer da minha vida vou agradecendo por aqui!
let's hack!
Minha fonte de estudo como sempre e o google, e alguns profissionais que me espelho muito para alcançar meus objetivos, dentre eles altieri , bluehat , mairton SEJUSP, e outros que ao decorrer da minha vida vou agradecendo por aqui!
let's hack!
0 comentários:
Postar um comentário