Don't feed the troll

Capítulo OWASP no Rio de Janeiro

Caros, tenho a honra de compartilhar com vocês, a abertura do mais novo capítulo do OWASP no Brasil: o capítulo Rio de Janeiro.

Em breve teremos mais informações, bem como as datas e locais dos encontros do capítulo aqui na cidade do RJ. Tais informações, bem como o endereço da lista de discussão para quem tem interesse em participar efetivamente do capítulo, segue abaixo:

https://www.owasp.org/index.php/Rio_de_Janeiro

Quero convidá-los a participar desse grupo e contribuir para a divulgação dessa notícia, que certamente será um marco na cidade do Rio de Janeiro, tão carente de grupos de pesquisa e estudos na área de segurança da informação.

Abraço à todos!

Cogumelo Binário - 2º Edição - Call for papers!

Cogumelo Binário - 2º Edição - Call for papers!
==============================================================

   Vamos que vamos! Aproveitando o embalo do lançamento da 1ª edição, 

convocamos a todos a participarem da 2ª edição da Cogumelo Binário! 

Assim como na primeira edição, mantemos o foco nos seguintes tópicos: 

hacking em geral, crypto, unix, low-level, RE, tricks etc.

   Se você gosta de montar crackme/exploitme e quiser contribuir, 

mande para fazermos um desafio entre o público que acompanha a e-zine!
   Dúvidas? Sugestões? Pra onde enviar o paper? Entre em contato!

   E assim como na primeira edição, divulgaremos o deadline para 

envio de paper, bem como a data de lançamento da 2ª edição em um 

momento oportuno! Fique ligado!

Vídeos de minhas palestras no Hack'n Rio

Caros,

No dia 03 de dexembro de 2012, apresentei duas palestras no Hack'n Rio sobre assuntos correlatos à segurança. Como a organização do evento já disponibilzou os vídeos, decidi postar aqui os links dos vídeos de minhas duas palestras.

Seguem os links:

Forense Computacional com Software Livre:
Vídeo 1 - Vídeo 2 - Vídeo 3

How Stuff Works: Exploits:
Vídeo 1 - Vídeo 2

Espero que aproveitem e gostem...

Abraço!

Curso Teste de Invasão em Redes - EaD

De 13/02 à 15/03 de 2012

Curso de Teste de Invasão em Redes - EaD, com conteúdo completamente prático em ambiente interativo, com acesso à tela do instrutor e download de todo o material de aula (vídeos de cada aula gravada, áudio em separado para ouvir onde quiser, apostila completa e logs do chat onde as dúvidas são respondidas e os comando digitados).

Os alunos, além de montarem seus laboratórios com máquinas virtuais (com S.Os. atuais), terão exemplos reais de redes e aplicações vulneráveis, encontrados na web durante a aula.

Todo o curso será baseado na distribuição Backtrack, com ferramentas livres e gratuitas!

O instrutor do curso possui anos de experiência em testes de invasão, tanto em redes, quanto aplicações web, redes wireless e review code. E é uma oportunidade de aprender com quem convive com as necessidades e situações reais do mercado atual, com clientes de grande porte como multinacionais de diversas áreas (Petróleo e Gás, Telecomunicações, Transportes, Operadoras de Cartão de Crédito, Bancos, Instituições Militares e Órgãos Públicos).

Promoção

Ao inscrever-se no curso de Teste de Invasão em Redes, o aluno ganhará acesso aos vídeos das aulas do curso de Pentest com Metasploit Framwork.

E para os alunos do curso de Pentest com Metasploit Framework, haverá um desconto de 50% na inscrição do curso de Teste de Invasão em Redes, basta enaviar-me um e-mail informando-me que fez parte da turma de Metasploit.

Alguns dos tópicos abordados no curso são:

•     Introdução a segurança da Informação
•     Introdução ao Teste de Invasão e Ética Hacker
•     Escrita de Relatórios
•     Arte da busca: Google Hacking
•     Levantamento de informações e relacionamentos
•     Varreduras ativas, passivas e furtivas de rede
•     Enumeração de informações e serviços
•     Testando o Sistema
•     Ignorando Proteções
•     Técnicas de Força Bruta e como definir boas políticas de senha
•     Vulnerabilidades em aplicações web
•     Técnicas de Sniffing
•     Ataques a Servidores WEB
•     Ataques a Redes Wireless
•     Metasploit

Quem tiver interesse no curso, por favor, acesse o link http://migre.me/5nagH e faça sua inscrição no curso "Teste de Invasão em Redes" que em breve enviarei um e-mail para o pgto via PagSeguro.

Carga horária: 32h
Investimento: R$ 990,00 (com possibilidade de parcelamento em até 12x no cartão de crédito)
Horário de aula: 21h às 23h
Dias de aula: seg., ter., qua. e qui.
Início das aulas: 13/02/2012 (com intervalo na semana do carnaval)

Observação 1: após inscrever-se e receber o link de pgto via pagseguro, o aluno terá uma semana para realizar o pagamento. Após esse período, caso o pagamento não tenha sido realizado, sua inscrição será cancelada.

Artigo sobre XSS

Caros, tenho um artigo escrito em 2008 que até hoje ainda é atual e utilizamos essas técnicas para ataques e testes de invasão em aplicações web. É um artigo básico e introdutório, e por isso mesmo recomendado para quem quer entender um pouco mais sobre XSS.


Aí vem aquela pergunta: mas Luiz, prq não posta no seu blog? Simplesmente porque o blogspot é vulnerável à XSS ;-) e desde 2008 tento publicar aqui e o código postado é executado. E como não quero quebrar a integridade dos código utilizados, preferi postar apenas o link para o acesso ao mesmo, já que o publiquei em outro site em 2008.


Para quem tiver interesse, basta clicar aqui para acessar o artigo.


Espero que gostem e sirva como base para estudar outros ataques e vulnerabilidades.


Aproveitando: quem já fez curso de pentest comigo deve lembrar-se que uso meu próprio blog como alvo de ataque XSS para mostrar como funciona a vulnerabilidade hehehe.


Abraço!

Gerador de backdoor indetectável

O pessoal do Security Labs desenvolveu um script bem interessante pronto para rodar no Backtrack.

O mais interessante, é que as técnicas de evasão aplicadas por tal script, funcionam não apenas em antivírus, mas também em Firewalls e Sistemas de Detecção de Intrusão (IDS).

É interessante dar uma olhada para ver quantos antivírus o script conseguiu burlar: http://virusscan.jotti.org/en/scanresult/a974be8a357cf4f13df8e94ca89ee4ecb89fb1da

Para compilar e gerar o payload malicioso e aplicar o script para torná-lo indectável, é necessário ter alguns pacotes instalados previamente. Para tanto, basta executar o seguinte comando:

# apt-get install mingw32-runtime mingw-w64 mingw gcc-mingw32 mingw32-binutils

Com os pacotes instalados, precisamo copiar o script baixado para o diretório do Metasploit e executá-lo (/pentest/exploits/framework).

O que é preciso prestar atenção, é que esse script por padrão gera um payload de conexão reversa via TCP, mas isso pode ser alterado editando o script e alterando algumas opções. Para quem já conhece o funcionamento do MSFpayload isso é bem tranquilo ;-)

Para baixar o script, basta clicar aqui.

Slides da palestra no Hack'n Rio: How Stuff Works - Exploits

How stuff works

View more presentations from Luiz Vieira.

Slides da palestra Auditoria em Sistemas Linux - LinuxCon

Auditoria em sistemas linux - LinuxCon Brazil 2011

View more presentations from luizvieira

Slides da palestra Teste de Invasão com Ferramentas Livres - LinuxCon

Curso de Pentest com Metasploit Framework - EaD

Caros,

Gostaria de anunciar o curso "Pentest com Metasploit Framework", na modalidade EaD.

O curso ocorrerá na seguintes datas (sextas-feiras), das 21h à 00h, através da modaliade EaD:

• 09/12
• 16/12
• 13/01
• 20/01
• 27/01
• 03/02
• 10/02

O aluno terá contato direto com o instrutor através de uma plataforma de conferência on-line, com slides, voz, e desktop sharing.

O valor do curso é de R$ 690,00,00 e a carga horária é de 21h completamente hands-on.

Segue abaixo o cronograma do curso:


Metasploit Basics
    Terminologia
    Interfaces
    Utilitários

Aquisição de Informações
    Trabalhando com BDs
    Varreduras Diversas

Vulnerabilidades
    Metasploit + Nessus
    Varreduras Especiais
    Usando o Autopwn

Exploração
    Exploração Básica
    Brute Force
    Automatizando comandos (resource files)

Meterpreter
    Comandos Básicos
    Extraindo logins e passwords
    Escalada de Privilégios
    Pivoting
    Scripts do Meterpreter
    Fazendo upgrade do shell obtido
    Railgun
   
Burlando Sistemas de Detecção
    Criando binários maliciosos com MSFpayload
    Burlando Anti-vírus
    Utilizando padrões conhecidos
    Criando Trojans
    Empacotando com UPX

Client-Side Attacks
    Exploits baseados em Browsers
    Exploits em arquivos
   
Módulos Auxiliares
    Utilizando os módulos
    Entendendo o funcionamento dos módulos auxiliares

SET: Social Engineer Toolkit
    Configurando o SET
    Ataque Spear-Phishing
    Ataques com vetor na WEB
    Infectious Media Generator
   
Fast-track
    Automatizando ataques de SQL Injection
    Binary-to-Hex Generator
    Ataques em massa

Karmetasploit
    Configuração
    Execução de um ataque
    Conquistando uma shell



O pagamento será feito via pagseguro e poderá ser parcelado no cartão de crédito.

Quem tiver interesse no curso, por favor, acesse o link http://migre.me/5nagH e faça sua inscrição no curso "Pentest com Metasploit Framework" que em breve enviarei um e-mail para o pgto via PagSeguro.

Pré-requisitos:
- experiência em utilização e instalação de programas em Linux;
- conhecimento em segurança da informação;
- conhecimento dos conceitos básicos do que é um teste de invasão e sua realização;

Material liberado para os alunos:
- log do chat de cada aula;
- áudio de cada aula;
- vídeo de cada aula, com a tela do instrutor gravada;

Mais uma lista de livros para segurança

Caros, segue abaixo mais uma lista de livros de segurança que classifico como muito importantes para quem se interessa por segurança, sei que alguns se repetirão, se comparado à minha última listagem, mas nunca é demais frisar que alguns livros são tão importantes a ponto de serem citados novamente hehehe.
Essa lista, foi compilada a partir de indicações de profissionais e pesquisadores como Dino Dai Zovi e Thomas Ptacek.

Hacking: The Art of Exploitation, 2nd Edition by Jon Erickson

The Art of Software Security Testing: Identifying Software Security Flaws by Elfriede Dustin


The Mac Hacker's Handbook by Dino Dai Zovi

C Programming Language (2nd Edition) by Brian W. Kernighan

Expert C Programming by Peter van der Linden

Fuzzing: Brute Force Vulnerability Discovery by Michael Sutton

Fuzzing for Software Security Testing and Quality Assurance (Artech House Information Security and Privacy) by Ari Takanen

The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities by Mark Dowd

The Art of Assembly Language by Randall Hyde

The IDA Pro Book: The Unofficial Guide to the World's Most Popular Disassembler by Chris Eagle

Reversing: Secrets of Reverse Engineering by Eldad Eilam

Exploiting Software: How to Break Code by Gary McGraw

The Shellcoder's Handbook: Discovering and Exploiting Security Holes by Chris Anley

Rootkits: Subverting the Windows Kernel by Greg Hoglund

Gray Hat Python: Python Programming for Hackers and Reverse Engineers by Justin Seitz

The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws by Dafydd Stuttard            

Cryptography Engineering: Design Principles and Practical Applications by Bruce Schneier

The Practice of Programming by Brian W. Kernighan

C Interfaces and Implementations: Techniques for Creating Reusable Software by David R. Hanson


Surreptitious Software: Obfuscation, Watermarking, and Tamperproofing for Software Protection by Christian Collberg     

A maioria, se não todos, podem ser encontrados para consulta e download na internet. Mas concordo que, se o livro realmente é bom, e você gostou dele, comprá-lo é um incentivo para o autor continuar escrevendo bons livros e a editora investir mais ainda nesse tipo de literatura.

Aproveitem!

Agenda de palestras - 4º trimestre de 2011

Galera, tenho algumas palestras agendadas em eventos diversos nas próximas semanas e meses. Quero aproveitar e disponibilizar aqui no blog as datas de algumas dessas palestras (até mesmo para eu não esquecer hehehe):

CNASI - SP: Mini-curso Forense Computacional com Software Livre - 19/10/2011



LinuxCon Brasil 2011 - SP: "Auditoria em Sistemas Linux" e "Ferramentas Livres para Teste de Invasão" - 17 e 18/11/2011

LinuxDay - Juiz de Fora: "Ferramentas Livres para Teste de Invasão" - 26/11/2011

Hack'n Rio - RJ: "How Stuff Works: Exploits" e "Forense Computacional com Software Livre" - 03/12/2011

Espero encontrá-los em algum desses eventos!

[ ]'s

Curso Forense Computacional com Software Livre EaD - aos sábados

Carga horária: 24h

Investimento: R$ 790,00

Aos sábados, de 09h às 12h:

·         Dezembro 2011: dias 03, 10 e 17

·         Janeiro 2012: dias 07, 14, 21 e 28

·         Fevereiro 2012: dia 04

O curso é altamente prático, com análise de 8 casos diferentes ao longo das aulas, sendo apresentadas situações reais em diversos contextos. Esse treinamento tem por objetivo ambientar o aluno em situações diversas, e como analisá-las utilizando apenas ferramentas livres existentes em distribuições específicas para o trabalho de investigação forense.

O aluno terá contato direto com o instrutor através de uma plataforma de conferência on-line, com slides, voz, e desktop sharing.

O instrutor tem experiência em treinamentos e investigações reais, tendo formado alunos membros da polícia civil, forças armadas, e órgãos de inteligência, bem como de diversas empresas privadas que atuam com segurança da informação.

O pagamento será feito via pagseguro e poderá ser parcelado no cartão de crédito.

Quem tiver interesse no curso, por favor, acesse o link http://migre.me/5HDaN e faça sua inscrição no curso "Forense Computacional com Software Livre" que em breve enviarei um e-mail para o pgto via PagSeguro.

Conteúdo programático:

Conceitos Iniciais

·         O que é forense

·         Forense digital

·         Forense Computacional

                                  

Investigação Forense

·         Passos da Investigação

·         Coleta de dados: Voláteis e Não-voláteis

·         Análise de memória física

·         Duplicação de dados

·         Recuperação de arquivos e partições deletadas

·         Processo de boot do Linux, Windows e Macintosh

                                     

Resposta à Incidentes

·         Criação de CSIRT's

·         Avaliação de risco

·         Escrita de relatórios forenses

·         Aspectos legais

Ferramentas Livres

·         Distribuições

·         Ferramentas

·         The Coroner's Toolkit (TCT)

·         The Sleuth Kit

·         Recuperaçao de evidências com o TSK

·         Recuperação de dados com Foremost

·         Autopsy Forensic Browser

·         Criação de casos com o Autopsy

Forense em Linux

·         Boot no Linux

·         Sistema de arquivos

·         Ext2 e Ext3

·         Linux Swap

·         Análise do Linux

·         Estudo de caso: Sistema Linux comprometido

Forense em Windows

·         Boot no Windows

·         Sistema de arquivos

·         MBR

·         FAT e NTFS

·         Recuperando arquivos deletados

·         Estudo de caso: Honeypot Windows comprometido

Análise Malware

·         Tipos de Malware

·         Descoberta e coleta de malware

·         Montagem de lab. para análise

·         Análise de arquivos suspeitos

·         Estudo de caso: análise forense de malwares do tipo banking

Investigando tráfego de rede

·         Modelo OSI

·         Endereçamento e NAT

·         Ferramentas de coleta de informações de rede

·         Snort 

·         Análise de tráfego de redes 

·         Estudo de caso: análise de tráfego de rede com strings de ataque

·         Estudo de caso: análise de ataques à browsers

·         Estudo de caso: análise de tráfego de rede com strings de ataque

Forense em VoIP

·         Protocolos

·         Tráfego de rede VoIP

·         Problemas de segurança em redes convergentes

·         Ameaças ao VoIP

·         Estudo de caso: análise forense de tráfego VOIP

             

Dispositivos Móveis

·         PDAs

·         Ipods

·         Iphone

·         Celulares com Android

·         PS3

·         Estudo de caso: análise forense de memória de PS3

Pré-requisitos:

Conhecimentos em Sistemas Linux;

Conhecimentos básicos de TCP/IP;

Conhecimento de ferramentas de rede e segurança;

Conhecimento de Hardening de servidores;

Conhecimento de técnicas de Teste de Invasão;

Desejável conhecimento em shell script e expressões regulares.

Certificações em Segurança: para qual estudar?

* esse artigo também foi publicado na edição de nº30 da Revista Espírito Livre

O que mais vejo em listas de discussão da área de segurança, e ouço de meu alunos e pessoas que assistem minhas palestras é a seguinte pergunta: qual é a melhor certificação na área de segurança da informação?

Há outras variantes sobre o mesmo tema, mas é sempre alguém querendo saber qual é a melhor certificação para se obter tanto para quem está entrando nessa área, quanto para quem quer crescer ainda mais.

Por conta de tantas dúvidas sobre o mesmo assunto, ainda mais na área de S.I., pensei em escrever esse artigo para clarear um pouco mais a questão.

Primeiro vou tentar elencar as certificações mais importantes para o mercado nesse momento, tanto para quem pensa em enfrentar o mercado tupiniquim, quanto para quem pensar em buscar outras oportunidades ao redor do mundo. Afinal, certificação reconhecida apenas nacionalmente, em plena era da globalização, é pura perda de tempo.

A maioria das certificações que procurarei abordar, são vendor neutral, mas algumas fugirão dessa regra, por mais que eu me esforce.

Um exemplo disso, são as certificações da CISCO. Por mais que queiramos fugir, a CISCO ainda detém uma imensa fatia do mercado de equipamentos de redes e infraestrutura. E esse fabricante, por saber o quanto a segurança de uma infraestrutura é importante para uma organização, desenvolveu um currículo bem interessante para os profissionais que já trabalham com CISCO e possuem pelo menos o CCNA. Partindo dessa certificação básica desse vendor, o profissional pode decidir por especializar-se em segurança de infraestrutura de redes, seguindo o padrão CISCO com as certificações CCNA Security, CCNP Security e CCIE Security.

Essas certificações, são bem interessantes quando pensamos no profissional que atua como analista de infraestrutura e deseja migrar para a área de segurança. Mas e para o profissional que administra redes? As certificações LPI, voltadas para Linux são muito boas, principalmente quando culminam na LPI 303, cujo foco é segurança em servidores Linux.

A LPI 303, aborda temas que possibilitam o profissional que atua com Linux, realizar o hardening e proteger seus servidores de acessos indevidos e ataques remotos e locais. Os temas abordados englobam desde criptografia de disco, à VPN e monitoramento com Nagios.

Eu costumo inclusive brincar, que se alguma empresa quer um profissional com conhecimento de infra e administração de redes, é só ver se o profissional tem o conhecimento prático e vivencial que é pedido para uma certificação LPI e CISCO conjugadas. Mas vamos em frente, pois o nosso foco aqui é segurança... E só falamos de quatro certificações até agora.

Quando alguém me pergunta qual a melhor certificação para conseguir entrar no mercado de SI, prontamente digo: ISO 27002. Essa é bem básica, fácil de tirar e precisa constar no currículo de todo profissional de segurança da informação. Mas deve-se ficar bem claro, que junto dessa certificação, o profissional deve ter um conhecimento extenso sobre a norma ISO 27001, para saber o porque de muita coisa da 27002. Mas ainda assim, essas certificações ainda são para níveis de gestão e consultoria apenas, sem conhecimento técnico muito forte como pré-requisito.

Outra certificação para quem já tem um pé em segurança, atuando com alguns controles como administrador de redes ou analista de infra (onde em muitas empresas é esse o profissional que faz tudo), é a Security+ da CompTIA, que aborda diversos temas sobre segurança e precisa da comprovação de dois anos de atuação na área. Considero essa certificação como um nível intermediário, preparatório para outras mais complexas.

Continuando ainda no nível de gestão, temos a CISM (Certified Information Security Manager) criada pela ISACA, que tem como foco os profissionais que atuarão como gerentes de SI, tomando as decisões mais burocráticas e de nível de gestão que envolvem a segurança numa organização.

Da ISACA também, com um bom nível de importância no mercado, temos a CISA (Certified Information Systems Auditor), possui um foco em auditoria, controles e segurança. Se o profissional pretende seguir o rumo da auditoria em TI e SI em geral, essa é uma certificação obrigatória.

Partindo agora para uma outra empresa certificadora, onde se encontram atualmente as certificações mais requisitadas pelo mercado de segurança, a (ISC)², cito três certificações como as mais interessantes para os profissionais que já atuam na área, mas precisam de um respaldo maior para ascenderem em suas carreiras: SSCP, CSSLP e CISSP.

A primeira dessas certificações, SSCP (Systems Security Certified Practitioner), tem como foco profissionais que atuem como analistas de segurança, administradores de rede e sistemas. A prova engloba parte dos domínios existentes no CBK (Common Body Knowledge), e que também fazem parte dos domínios cobrados na prova para a CISSP. É interessante para os profissionais que estão iniciando em segurança, que não se sentem seguros para realizar a prova para CISSP já de início, mas querem uma certificação respeitada internacionalmente na área.

Já a CSSLP, Certified Secure Software Lifecycle Professional, é uma das primeiras certificações no mundo a abordar o tema desenvolvimento seguro. Não há foco na codificação, ou limitação no que diz respeito às linguagens que suporta, pois é mais global, focando em todo o ciclo de produção de um software e validando em cada ponto, os princípios de segurança existentes.

Há pouquíssimos profissionais dessa área no mercado atualmente, e é uma excelente oportunidade para quem trabalha com desenvolvimento e quer migrar para segurança da informação, pois permitirá coadunar sua experiência prévia, com os novos conceitos aprendidos sobre segurança, e de uma maneira que está de acordo com as necessidades atuais do mercado.

Agora, chegamos na certificação mais importante para o mercado de segurança, a CISSP. Devemos manter em mente, que ela não é uma certificação técnica e nem tem esse objetivo. No entanto, ela requer um conhecimento bem amplo quanto as soluções existentes nos diversos domínios do CBK desenvolvido pela (ISC)². Tais domínios abordados na prova são:

• Access Control
• Application Development Security
• Business Continuity and Disaster Recovery Planning
• Cryptography
• Information Security Governance and Risk Management
• Legal, Regulations, Investigations and Compliance
• Operations Security
• Physical (Environmental) Security
• Security Architecture and Design
• Telecommunications and Network Security 

A prova, até ano passado, era aplicada apenas em papel, e em inglês. No entanto, do final do ano passado pra cá, tivemos ótimas notícias, inclusive uma que deixou à todos felizes esse mês (setembro/2011): as provas desde o final do ano passado já são aplicadas em português, e partir de outubro de 2011, elas também poderão ser realizadas em alguns centros credenciados pela VUE e Prometric.

Essas duas decisões são importantes para, em primeiro lugar, focar a avaliação nos domínios, e não no nível de proficiência que o profissional tem da língua inglesa. E em segundo, porque antes haviam poucas vagas nas poucas vezes em que a prova era aplicada aqui no Brasil, inclusive forçando que os profissionais se deslocassem para São Paulo, gastando com deslocamento e hospedagem para realizar a prova, e ainda assim corriam o risco de não conseguir vagas para a prova, já que sempre eram poucas. E uma das coisas interessantes, é que antes era necessário aguardar algumas semanas, e agora com a prova no formato eletrônico, o resultado sai assim que o candidato finaliza a prova.

Agora, quem quiser realizar essa prova, prepare-se para a maratona, pois são em média 250 perguntas, mas sem uma solução muito definida do tipo “qual a flag de resposta quando é enviado uma pacote com a flag null ativa para uma porta aberta?”. Na prova da CISSP, as questões são sempre contextualizadas, cobrando uma solução que melhor se encaixe naquele cenário específico. Por isso, alguns anos de experiência na área de segurança, além de ser um dos pré-requisitos para obter a certificação, também auxiliará o profissional à responder as questões de forma mais concisa e coerente.

Essa certificação, CISSP, é pré-requisito para quem quer sair do Brasil e conseguir uma vaga lá fora na área de segurança da informação. E aqui no Brasil, como ainda são poucos os profissionais com esse certificado, ainda é possível conseguir bons salários comparados com outras áreas de atuação em nosso país (faixa salarial de 10.000,00 à 20.000,00 dependendo do nível de gestão em que o profissional atue).

Para quem quiser saber um puco mais sobre os domínios abordados nas provas das certificações da (ISC)², é interessante acessar o seguinte link:

 https://www.isc2.org/previews/Default.aspx

Agora vamos partir para certificações mais técnicas, e analisar algumas das oferecidas pela SANS, EC-Council, ISECOM, Offensive Security e Immunity.

A SANS, através da entidade certificadora conhecida como GIAC (Global Information Assurance Certification), oferece dezenas de certificações para a área de segurança da informação. Vou falar apenas de algumas delas.

As certificações oferecidas pela SANS são altamente reconhecidas no mercado internacional, mas ainda estão em processo de valorização aqui no Brasil. Portanto, se quer uma certificação conceituada e tem como objetivo sair do Brasil ou atuar em uma multinacional, as certificações GIAC são uma excelente pedida.

Elas são agrupadas em categorias, que são as seguintes, atualmente:

• Security Administration
• Audit
• Management
• Operations
• Software Security and/or Secure Coding
• Forensics
• Legal
• Expert

Entre essas categorias, podemos contar com dezenas de certificações, as quais destaco a seguir, como sendo as mais interessantes na parte técnica referente à segurança, de acordo com a área de atuação desejada pelo profissional.

Para quem atua ou quer atuar com resposta à incidentes:

• GCIA - GIAC Certified Intrusion Analyst
• GCIH - GIAC Certified Incident Handler

 

Para quem deseja atuar com teste de invasão e avaliações de segurança:

• GPEN - GIAC Penetration Tester
• GWAPT - GIAC Certified Web Application Penetration Tester
• GAWN - GIAC Assessing Wireless Networks

 

Para quem deseja atuar com forense computacional e análise de malware:

• GCFE - GIAC Certified Forensic Examiner
• GCFA - GIAC Certified Forensic Analyst
• GREM - GIAC Certified Reverse Engineering Malware

Desde 2005 surgiu uma controvérsia com relação às certificações da SANS, mas nada que comprometesse sua credibilidade no mercado. Essa organização, decidiu facilitar o processo de obtenção de suas certificações criando dois níveis, o Silver e o Gold. Para tirar uma certificação no nível Silver, basta o profissional realizar as provas de múltiplas escolhas necessárias para aquela área específica. No entanto, se o profissional quiser ser um certificado Gold, ele precisa finalizar o desafio prático apresentado, para comprovar sua aquisição de conhecimento aplicado à situações práticas.

A Ec-Council, outra entidade que oferece certificações para a área de segurança, também possui reconhecimento internacional, inclusive com a chancela do Pentágono (órgão de defesa americano). Suas certificações tem ganhado um reconhecimento maior no mercado brasileiro, e possuem um foco mais técnico do que gerencial.

Apesar da Ec-Council oferecer mais de uma dezena de certificações, vou abordar apenas quatro delas, com foco mais técnico e próximo das necessidades de um profissional de segurança. São elas: ECSA, CEH, LPT e CHFI.

Para quem está iniciando em segurança, está bem cru mesmo e quer entender o que um analista de segurança faz e quais suas atribuições, aconselho a certifica ECSA (Ec-Council Security Analyst), que aborda os temas básicos da atuação com segurança da informações e os controles de segurança que precisam ser implementados, para tornar uma infraestrutura mais segura. Agora, não esperem demais dessa certificação, pois ela é inicial e introdutória no assunto de segurança, não sendo indicada para profissionais que já atuem na área e tenham experiência de alguns anos.

Para quem quer algo um pouco mais aprofundado, a CEH (Certified Ethical hacker) é mais interessante, pois já aborda a questão das avaliações de segurança, como teste de invasão e auditoria de segurança em redes e sistemas. É reconhecida internacionalmente, mas na minha opinião peca por não ter uma avaliação prática, com desafios do tipo “capture the flag”. Entretanto, ainda assim é uma certificação interessante que força o aluno a estudar bastante os conceitos de segurança e testes.

Atualmente, reunindo a certificação ECSA e CEH, caso o profissional tenha experiência e atuação com testes de invasão, ele pode reunir as documentações comprobatórias necessárias de sua experiência, e requerer à Ec-Council a certificação LPT (Licensed Penetration Tester), que certifica o profissional como sendo um pentester reconhecido por uma organização internacional, a Ec-Council.

Confesso que dessas certificações da Ec-Council, aqui no Brasil só vi em vagas  de empregos, a solicitação da CEH e da CHFI, a próxima a ser comentada.

A CHFI (Certified Hacking Forensic Investigator), já possui um foco bem específico, que é a forense computacional. É bem interessante o conteúdo cobrado, desde que o profissional saiba como aplicá-lo, pois como todas as outras provas da Ec-Council, é tudo teórico com múltiplas escolhas. No entanto, o nível técnico dessa certificação é superior aos das citadas anteriormente, pois pressupõe um conhecimento prévio do que é abordados nas três certificações anteriores. Afinal, como um investigador poderá encontrar indícios se não conhece como deve ser um ambiente seguro, como normalmente ele pode ser comprometido, e quais as ferramentas e métodos utilizados numa invasão? Logo, podemos assumir que a CHFI é uma reunião dos conhecimentos necessários para as certificações anteriores mais o conhecimento investigativo, necessário para a recriação de cenários complexos através da descobertas de indícios e evidências, em sistemas Windows, Linux, MAC, imagens, roteadores, redes, e etc.

As três organizações restantes, ISECOM, Offensive Security e Immunity, oferecem poucas certificações, mas nem por isso são menos importantes.

A ISECOM é responsável pela manutenção e suporte à OSSTMM, uma metodologia internacionalmente aceita como muito adequada para a realização de testes de invasão. O que é interessante é que essa metodologia foi tão bem aceita no mercado, que estuda-se a possibilidade de transformá-la em uma norma ISO, específica para os testes de segurança. Portanto, qualquer uma das duas certificações dessa entidade, OPSA e OPST (OSSTMM Professional Security Analyst e OSSTMM Professional Security Tester), é interessante para quem quiser já estar preparado para essa mudança radical, tornando essa metodologia um padrão adotado internacionalmente.

A primeira certificação OPSA, é mais voltada para analistas de segurança, administradores de rede com foco em segurança e CSO’s, que precisam ter um conhecimento mais aprofundado que a média sobre uma metodologia de testes de segurança, mas sem necessariamente precisar realizar esses testes ou avaliações de forma mais especializada.

Já a OPST, tem um foco mais aprofundado, na realização de testes de segurança, fazendo com que essa seja a escolha mais acertada para os profissionais que atuem diretamente realizando essas avaliações e investigações, tais como Pentesters e Investigadores Forense.

Agora, na área de segurança, apesar de ainda não ter o devido reconhecimento do mercado aqui no Brasil, as certificações que realmente atestam se o profissional está pronto para atuar na prática com testes de invasão são: OSCP e OSCE. Sem desmerecer as demais certificações, acredito que essas duas são as que mais se aproximam de um ambiente real encontrado por um profissional ao realizar um testes de invasão.

O foco de ambas as certificações, é comprovar na prática a aquisição dos conhecimentos transmitidos ao estudante ao longo do período que o mesmo tem acesso ao LAB, fornecido pela Offensive Security, organização mantenedora do Backtrack, distribuição sobre a qual toda a certificação é baseada.

A diferença entre ambas certificações, OSCP (Offensive Security Certified Professional) e OSCE (Offensive Security Certified Expert), está no treinamento que é realizado e na prova que culminam esses treinamentos.

Para a OSCP, o treinamento realizado é o PWB (Pentesting with Backtrack) com duração de 30, 60 ou 90 dias de acesso, depende de quanto o aluno quiser pagar pelo tempo de acesso ao LAB. A prova é exclusivamente prática, onde o aluno tem 24h corridas para realizar a entrada na rede cedida para avaliação pela Offensive Security, e alcançar os objetivos propostos, de acordo com os conteúdos estudados e praticados no LAB.

E para alcançar a OSCE, o aluno precisa inscrever-se no treinamento CTP (Cracking the Perimeter), que funciona nos mesmos moldes do PWD, com acesso ao LAB por um determinado número de dias, acesso à apostila e vídeos com as técnicas explicadas detalhadamente, que culminarão numa avaliação bem mais avançada que a primeira: 48h corridas para a realização das práticas com um relatório final de tudo o que foi feito. Nesse nível, o aluno não apenas empregará técnicas de exploração, mas analisará vulnerabilidades, como elas poderão ser exploradas e precisará desenvolver seus próprios exploits para explorar as vulnerabilidades encontradas (um adendo: os exploits desenvolvidos precisam ser enviados ao final da avaliação).

Portanto, deve estar claro para vocês porque essas certificações ainda não possuem o devido reconhecimento no mercado de segurança, pois para dominar o processo de testes de invasão e testes de segurança no nível solicitado por essas certificações, o profissional precisa ter um nível técnico bem alto.

A certificação que deixei para o final, não é a menos importante, mas sim a mais trabalhosa de se conquistar, pois demanda um nível técnico razoavelmente alto para o que a certificação se propõe.

Essa certificação é a NOP (Network Offensive Professional), criada pela Immunity Sec., desenvolvedora do Immunity Canvas e Immunity Debugger, importantes ferramentas para profissionais de segurança.

Em primeiro lugar, a prova é de graça, e não se paga nada para tirar a certificação, a não ser a passagem de avião os EUA (!!!). A partir daí, na sede da Immunity, o postulando terá pouco mais de 30 minutos para fazer o seguinte: receber dois PE's (executáveis Windows), com vulnerabilidades que deverão ser detectadas através do processo de debugging e fuzzing, utilizando ferramentas da própria Immunity, como é o caso de seu Debugger. Detectando as vulnerabilidades, é necessário dentro do prazo estipulado (lembre-se, pouco mais de 30 minutos no total), desenvolver um exploit, nada muito rebuscado, que faça a exploração dessa vulnerabilidades e alcance um determinado resultado como definido pelos aplicadores da prova.

Através dessa pequena análise de algumas das certificações existentes, podemos perceber quantas possibilidade temos diante de nós. A escolha de qual certificação é melhor, sempre vai depender da área onde o profissional deseja atuar, bem como a empresa onde já trabalha ou busca uma vaga.

Obviamente que a maioria dessas certificações é barata e pode ser tirada facilmente. Algumas são mais fáceis, como citadas ao longo do texto, mas outras demandam meses de preparação, mesmo que o profissional já atue na área e tenha alguns anos de experiência. No entanto, mesmo que o tempo e dinheiro empregados sejam em grande quantidade algumas vezes, podem acreditar: vale muito à pena. Mas obviamente que vale mais ainda à pena, quando o profissional além do papel timbrado, tenha a prática e vivência necessárias para impor-se no mercado como profissional respeitado e que realmente sabe o que está fazendo.

Espero que, de alguma forma, esse artigo possa ter tornado o caminho de vocês em busca das certificações em segurança, ainda mais claro.