[Rio-pm] Fwd: Curso PenTest - Clavis Segurança da Informação
Marco A P D'Andrade
mdacwb em gmail.com
Sexta Dezembro 7 11:48:31 PST 2007
Pois é ... eu concordo que não fala nada de perl...
Falando nisso, quando será o proximo curso "de Perl" que vc vai dar :D
Em 07/12/07, Henrique Rabelo de Andrade<henrique.andrade em uniriotec.br> escreveu:
> tem o líder ministrando o curso, ué...
>
> eu achei legal divulgar na lista, mas foi mal se incomodou....
>
> []s
> Henrique.
>
>
>
>
>
> On Dec 7, 2007 4:18 PM, breno < breno em rio.pm.org> wrote:
> > Pô Henrique, o curso não tem nada de Perl (tá, usa alguns programas
> > feitos em Perl, mas até aí nada), acho nada a ver ficar fazendo
> > propaganda assim na lista, tanto que não comentei sobre qdo saiu... a
> > lista é pra ser usada para papos minimamente relacionados a Perl, né?
> > Se ao menos fosse um curso de Perl... :-)
> >
> > Galera, desculpem o off-topic... :-(
> >
> > []s
> >
> > -b
> >
> > On Dec 7, 2007 3:44 PM, Henrique Rabelo de Andrade
> >
> >
> >
> > <henrique.andrade em uniriotec.br > wrote:
> > >
> > >
> > > Divulgando curso do nosso líder
> > > =)
> > >
> > >
> > >
> > >
> > >
> > >
> > > ---------- Forwarded message ----------
> > >
> > > Prezados,
> > >
> > > A empresa Clavis Segurança da Informação ( www.clavis.com.br ) tem
> o
> > > prazer de anunciar a abertura da primeira turma de sua academia em 2008.
> > > Nos dias 14 à 18 de janeiro será realizado o curso PEN-TEST (Penetration
> > > Test - Teste de Invasão).
> > >
> > > O Teste de Invasão é o processo de busca e identificação de
> > > vulnerabilidades de segurança em uma rede, sistema ou ferramenta, bem
> > > como a extensão em que as mesmas podem ser exploradas por indivíduos
> > > maliciosos. Ideais para determinar a postura atual de segurança de
> > > empresas/organizações e identificar problemas potenciais em processos e
> > > ativos críticos de negócios, os Testes de Invasão funcionam como ataques
> > > reais, que se utilizam das últimas técnicas e ferramentas adotadas por
> > > invasores, incluindo Engenharia Social. As técnicas ensinadas durante o
> > > curso seguem padrões utilizados internacionalmente como ISSAF, NIST
> > > SP800.42, OSSTMM e OWASP.
> > >
> > > Curso PenTest (Penetration test - Teste de Invasão)
> > > Início: 14 à 18 de Janeiro de 2008
> > > Carga horária: 20 horas
> > > Horário: 18hrs às 22hrs
> > > Número de vagas: 13
> > > Valor: R$ 960,00 ou 3 X R$ 320,00
> > >
> > > Para matrículas efetuadas até 12 de dezembro de 2007 o valor será de R$
> > > 768,00, parcelados em até 3X sem juros.
> > >
> > > Devido a parceria firmada com o Centro de Treinamento UNIRIOTEC, o curso
> > > será ministrado na Universidade Federal do Estado do Rio de Janeiro
> > > (UNIRIO) - Av. Pasteur, 458 - térreo - Prédio da Escola de Informática
> > > Aplicada - URCA. O local possui segurança e estacionamento gratuito.
> > >
> > > Outros cursos estão programados para o primeiro trimestre de 2008, entre
> > > eles: Forense Computacional e Hardening(Fortalecimento) de Servidores.
> > > Para maiores informações, acesse a página de nossa Academia
> > > ( www.clavis.com.br/cursos.htm) ou entre em contato conosco através de
> > > http://www.clavis.com.br/contato.php .
> > >
> > > O curso será ministrado pelo Breno Guimarães de Oliveira, cujo
> > > mini-currículo pode ser localizado logo abaixo:
> > >
> > > Breno Guimarães de Oliveira é fundador e conselheiro do Grupo de
> > > Resposta a Incidentes de Segurança da Universidade Federal do Rio de
> > > Janeiro, e consultor sênior de segurança da Clavis Segurança da
> > > Informação. É criador do HIDS Labrador e autor de diversos artigos na
> > > área de metodologias de ataque e defesa de redes e sistemas digitais,
> > > sendo palestrante em eventos nacionais e internacionais. Já realizou
> > > numerosos testes de invasão e hardening em instituições dos setores
> > > públicos, privados e das forças armadas, e possui mais de 10 anos de
> > > experiência na área.
> > >
> > >
> > >
> > > Ementa do curso:
> > > 1. Planejamento e preparação
> > > 1.1. Escopo do Teste
> > > 1.1.1. Objetivo/Propósito
> > > 1.1.2. Alvos
> > > 1.1.3. Profundidade
> > > 1.1.4. Exclusões
> > > 1.2. Perfil do atacante
> > > 1.2.1. Tipos de testes
> > > 1.2.2. Caixa preta, branca ou cinza?
> > > 1.3. Limitações de Tempo
> > > 1.3.1. Restrições de Horário
> > > 1.3.2. Duração do teste
> > > 1.4. Tratamento de questões especiais
> > > 1.4.1. Sistema alvo caiu
> > > 1.4.2. Dados sensíveis encontrados - Quem contactar?
> > > 1.5. Permissão
> > > 1.5.1. Por escrito
> > > 1.5.2. Assinada pelo responsável
> > > 1.6. Detalhes da Infraestrutura
> > > 1.7. Acordo de confidencialidade (NDA)
> > > 1.8. Equipamento e recursos necessários
> > > 1.9. Relatório de linha do tempo
> > > 1.10. Acesso a testes anteriores
> > > 1.11. Inspeção física
> > >
> > > 2. Obtenção de Informações
> > > 2.1. Whois
> > > 2.1.1. Buscas na Internet
> > > 2.1.2. Entradas DNS
> > > 2.1.3. Engenharia Social
> > > 2.1.4. Trashing (Dumpster Diving)
> > > 2.1.5. Cópia de Website
> > > 2.2. Sondagem e mapeamento
> > > 2.2.1. Busca por hosts vivos
> > > 2.2.2. Varredura por portas e serviços
> > > 2.2.3. Mapeamento de perímetro
> > > 2.2.4. Identificando serviços críticos
> > > 2.2.5. Fingerprinting de SO's e serviços
> > > 2.2.6 . Identificando rotas
> > > 2.3. Identificação de Vulnerabilidades
> > > 2.3.1. Identificação de Serviços Vulneráveis
> > > 2.3.2. Varredura por vulnerabilidades
> > > 2.3.3. Senhas padrão
> > > 2.3.4 . Correlacionamento de vulnerabilidades
> > > 2.3.5. Enumeração de vulnerabilidades encontradas
> > > 2.4. Classificação de vulnerabilidades (estimativa de impacto
> > > provável)
> > > 2.4.1. Identificação de circuitos de ataques e cenários para
> > > exploração
> > > 2.4.2. Caminho de menor resistência
> > > 2.4.3. Árvores de ataque
> > >
> > > 3. Invasão
> > > 3.1. Quebrando senhas
> > > 3.2. Ataques a aplicações Web
> > > 3.2.1. Injeção de SQL
> > > 3.2.2. Buffer Overflow
> > > 3.2.3. Cross-site Scripting (XSS)
> > > 3.2.4. Execução Remota de Código
> > > 3.2.5. Vulnerabilidades de Strings de Formatação
> > > 3.2.6. Autenticação e Autorização Fracas
> (enumeração,senhas,SIDs)
> > > 3.3. Ataques de negação de serviço
> > > 3.4. Testar em ambiente controlado
> > > 3.5. Usar contra o(s) alvo(s)
> > > 3.6. Confirmar/refutar vulnerabilidade em questão
> > > 3.7. Documentar resultados
> > > 3.8. Escalada de Privilégios
> > > 3.8.1. Repetir passos anteriores em ambiente local
> > > 3.9. Enumeração posterior
> > > 3.9.1. Quebra offline de senhas
> > > 3.9.2. Sniffing e análise de tráfego
> > > 3.9.3. Exploração de sessões e senhas através de cookies
> > > 3.9.4. Obtenção de endereços de email
> > > 3.9.5. Identificação de rotas e redes
> > > 3.9.6. Mapeamento de redes internas
> > > 3.9.7. Repetição das etapas anteriores a partir deste ponto
> > > 3.10. Mantendo Acesso
> > > 3.10.1. Canais secretos
> > > 3.10.2. Backdoors
> > > 3.10.3. rootkits
> > > 3.11. Apagando Rastros
> > > 3.11.1. Escondendo arquivos
> > > 3.11.2. Limpando Logs
> > > 3.11.3. Vencer Verificadores de Integridade
> > > 3.11.4. Burlar antivirus
> > > 3.12. Segurança Física
> > > 3.12.1. Pontos de rede
> > > 3.12.2. Informações expostas
> > > 3.12.3. Conversas de funcionários
> > > 3.12.4. Janelas, fechaduras e portas de acesso
> > > 3.12.5. Pontos de entrada
> > > 3.12.6. Guardas/Recepcionistas
> > > 3.12.7. Lixo
> > >
> > > 4. Finalizando
> > > 4.1. Sumário Executivo
> > > 4.2. Gerando relatório
> > > 4.3. Limpeza do Sistema
> > >
> > >
> > > --
> > > Henrique Rabelo de Andrade
> > >
> > >
> > > --
> > > Henrique Rabelo de Andrade
> > >
> > >
> > > --
> > > Henrique Rabelo de Andrade
> > > _______________________________________________
> > > Rio-pm mailing list
> > > Rio-pm em pm.org
> > > http://mail.pm.org/mailman/listinfo/rio-pm
> > >
> > _______________________________________________
> > Rio-pm mailing list
> > Rio-pm em pm.org
> > http://mail.pm.org/mailman/listinfo/rio-pm
> >
>
>
>
> --
> Henrique Rabelo de Andrade
> _______________________________________________
> Rio-pm mailing list
> Rio-pm em pm.org
> http://mail.pm.org/mailman/listinfo/rio-pm
>
Mais detalhes sobre a lista de discussão Rio-pm