9 de setembro de 2016

Enfim, CISSP!

Hoje fiz minha prova de CISSP, primeira e única tentativa.

Há algumas semanas atrás agendei minha prova para o dia 26 de Outubro/2016, mas anteontem recebi um email da Pearson Vue dizendo que o centro de exames credenciado pela ISC2 aqui no Rio de Janeiro (Allen) não poderia aplicar a prova no dia agendado, e que precisaria remarcar. Qual não foi minha surpresa ao ver que as únicas datas disponíveis seriam dias 08 ou 09 de Setembro (hoje). Caso não quisesse remarcar para esses dias, tinha duas opções: solicitar o reembolso e desistir da prova, ou ir à outro estado para fazer a prova.

Como estava contando com as duas primeiras semanas de Outubro para estudar, durante minhas férias, não me sentia preparado para a prova, pois só havia lido o livro "CISSP 11th Hour, 2nd Edition". Mas um grande amigo meu (valeu Matuck!), me deu força para reagendar a prova para hoje mesmo, já que meu atual empregador estava pagando minha prova passando ou não no exame.

Bem, depois de desfiar esse terço e contar minha história triste, é hora de contar um pouco de minha estratégia para a prova. Usei basicamente quatro fontes de estudo para me preparar o pouco que foi possível. Foram elas, de acordo com o período:

- nos últimos dois meses: lia o livro "CISSP 11th Hour, 2nd Edition" de Eric Conrad, sempre no metrô, usando o Kindle no celular, durante o trajeto de casa para o trabalho e do trabalho para casa. Isso permitiu que eu conseguisse ler o livro inteiro uma única vez, já que é um livro resumido de pouco mais de 200 páginas.
- durante um mês antes dos Jogos Olímpicos: estudava cerca de 20 questões de simulados por dia usando questões de exemplos que encontrava em livros e materiais encontrados na internet. Precisei parar com isso durante as Olimpíadas, por conta de meu horário de trabalho com escalas de 12h virando a noite.
- ontem à noite, durante 2h: entrei no www.cybrary.it e baixei apenas os slides do curso de CISSP. Não tinha tempo para assistir os vídeos, então só li os pouco mais de 580 slides, onde todos os domínios estavam resumidos. Ajudou muito, por sinal, e ainda é gratuito!
- ontem à noite, durante 2h: como último recurso, um amigo mandou para mim um material de 11 páginas com um resumo muito bem construído do conteúdo abordado pela prova. Caso tenham interesse, podem baixar por esse link! Posso dizer que é o resumo total do que li no CISSP 11th Hour e nos slides da Cybrary, e pode ajudar muito para relembrar conteúdos antes da prova.

Essa foi minha estratégia e, como escrevi acima, permitiu que na primeira vez eu conseguisse passar na prova.

Obviamente não vou negar que os 20 anos de atuação na área de TI (comecei a trabalhar com 17 anos com TI de carteira assinada), e dentro desses 20 anos, os 15 de experiência com segurança da informação, me ajudaram muito, pois essa vivência fez com que eu só precisasse relembrar conceitos, ao invés de precisar aprender algo do zero. Posso citar alguns exemplos:

- criptografia: fiz há 3 anos atrás a prova de GXPN, que tem conceitos de criptografia bem mais aprofundados que o CISSP, então esse conteúdo foi tranquilo;
- domínio de segurança em SDLC: sou líder de um capítulo da OWASP desde 2012, e já dei treinamento para 12 turmas dentro de uma grande multinacional sobre segurança em SDLC;
- segurança em redes: atuando como gerente de segurança, colocando a mão na massa e ainda fazendo pentest, isso facilitou muito;
- BCP e DR: vivenciei isso na prática em grandes projetos, incluindo nos Jogos Olímpicos;
- security assessment: como pentester há mais de 10 anos, esse conteúdo foi bem tranquilo;
- gestão de segurança, governança, e compliance: também com experiência no desenvolvimento e auditoria de políticas e controles de segurança, o conteúdo foi bem tranquilo.

Agora, algumas dicas podem ajudar muito, já que o segredo da prova é entender como a ISC2 pensou ao desenvolver as questões:
- trabalhe com eliminação, pois sempre há mais de uma questão correta, então leia bem o enunciado e preste atenção em pegadinhas, tentando entender qual é a resposta MAIS correta que as outras;
- você precisa fazer a prova com a visão de um Analista de Riscos;
- na dúvida, a segurança física é sempre a melhor opção, pois é a primeira camada da segurança em profundidade;
- sempre aplique o conceito de segurança em camadas (produndidade);
- a segurança das pessoas sempre vem em primeiro lugar, SEMPRE!

Com essas dicas em mente, faça tantos simulados quanto forem possíveis, pois assim entenderá o mindset da ISC2, e então é só agendar a prova, que por enquanto não tem mais local para fazer no RJ. Quem quiser, precisará ir para São Paulo, Belo Horizonte, Curitiba ou Brasília.

E por último, como todo o material que estudei estava em inglês, optei por fazer a prova nesse idioma, para não correr o risco de confundir termos.

De 6h que poderia utilizar, finalizei a prova em metade do tempo permitido, não fazendo nenhum break, pois fiquei focado em não perder tempo ou a linha de raciocínio. Mas o mais chato para mim, foi não receber o resultado logo quando enviei as questões respondidas; ainda precisei ir até a recepção e aguardar a impressão do resultado....rs. Longos minutos de tensão...

Bem, é isso aí! Espero que as dicas ajudem, e que algum de vocês possa aproveitá-las para passar pelo exame com sucesso.

7 de setembro de 2016

Roubando credenciais de usuários Windows e MAC

É um ataque bem interessante esse descoberto pelo @mubix, e é bem útil emsituações onde o usuário bloqueou a máquina, mas deixou seu usuário logado. O mais interessante é que foi testado e funciona contra todas as versões de Windows e MAC.

Abaixo é possível ver o vídeo do teste com sucesso:



O equipamento utilizado pode ser construído por vocês, ou pode-se usar o HAK5 LAN Turtle, vendido pela HAK5.

A lógica do ataque é razoavelmente simples e só precisa de três coisas: um dispositivo USB Ethernet + DHCP + Responder, e com isso conseguimos capturar as credenciais de um computador que esteja com sua tela de login bloqueada, porém com um usuário logado.

Nesse link tem toda a informação necessária para entender o ataque, criar seu próprio USB Armory pronto para o ataque, ou como configurar o HAK5 LAN Turtle que já vem quase pronto para o ataque.

Divirtam-se!