Webinar #1 – Metasploit Framework – Apresentação da ferramenta, sua arquitetura e funcionalidades
O que é o Metasploit Framework?
O Metasploit Framework é uma ferramenta para desenvolvimento e lançamento de exploits muito utilizada em auditorias Teste de Invasão. O framework consiste em uma série de ferramentas, exploits e códigos que podem ser utilizados através de diferentes interfaces.
Webinar #2 – Análise Forense Computacional em Tráfego de Rede
O que é Análise Forense?
A análise forense computacional consiste em um conjunto de técnicas para coleta e exame de evidências digitais, reconstrução de dados e ataques, identificação e rastreamento de atividades.
Este Webinar foi ministrado pro Henrique Ribeiro Soares. Henrique graduou-se em Ciência da Computação (2010) pela UFRJ, onde cursa seu mestrado em Informática na área de Redes de Computadores e Sistemas Distribuídos no PPGI/UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO).
Este Webinar foi realizado com a mesmainfraestrutura de um treinamento EAD da Academia Clavis. É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.
Webinar #3 – Principais Ameaças a Aplicações Web – Top 10 do OWASP
Como foi o Webinar?
O objetivo deste webinar foi apresentar as mais críticas ameaças à aplicações web. Foram demonstradas maneiras de identificar, explorar e mitigar algumas ameaças. O webinar teve como base o Top 10 do OWASP.
Este Webinar foi realizado com a mesmainfraestrutura de um treinamento EAD da Academia Clavis. É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.
Webinar #4 – Teste de Invasão com o Nmap Scripting Engine
Sobre o NMAP
NMAP (“Network Mapper”) é um software livre para exploração de rede ou auditorias de segurança. Muitos administradores de rede o acham útil para tarefas como inventário de rede, gerenciar serviços agendados de atualização e monitoramento de serviços e disponibilidade de serviços. (tradução livre de http://nmap.org/).
A ferramenta Nmap também é muito utilizada em auditorias teste de invasão, principalmente na fase de reconhecimento e obtenção de informações. Ela realiza varreduras que identificam estado de portas, serviços em execução, sistemas operacionais dentre outras informações relevantes para esse tipo de auditoria.
Durante o webinar foram apresentadas várias técnicas de varredura que podem ser feitas com o NMAP. A variação de técnicas deste tipo serve para burlar filtros e sensores visando ter uma varredura mais precisa e sem gerar ruído no alvo. Foram apresentados também cenários simulando a fase de obtenção de informações em um teste de invasão visando demonstrar que tipo de informações podem ser obtidas com esta ferramenta.
Este Webinar foi realizado com a mesmainfraestrutura de um treinamento EAD da Academia Clavis. É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.
Webinar #5 – Auditorias Teste de Invasão para Proteção de Redes Corporativas
Qual o objetivo deste novo webinar da Clavis Segurança da Informação?
O objetivo deste webinar foi demonstrar a importância da auditoria do tipo Teste de Invasão na prevenção de incidentes e na proteção contra ataques a redes, sistemas e aplicações web. Durante o webinar foram demonstradas as principais técnicas para auditorias Testes de invasão (penetration tests, ou simplesmente pentests). Essas técnicas são simulações controladas de um ataque real a uma rede, sistema ou ferramenta, visando avaliar a segurança do mesmo. Tais simulações ajudam a identificar pro-ativamente falhas e brechas de segurança que possam ocasionar algum impacto em organizações públicas e privadas.Este é um dos inúmeros assuntos abordados na Formação Auditor em Teste de Invasão de 100 horas da Academia Clavis Segurança da Informação.
Durante este webinar foram apresentadas várias ferramentas para determinadas funções, além disso, para cada etapa de um teste de invasão foi demonstrado na prática o uso de uma determinada ferramenta, a saber:
Obtenção de Informações – SET
Foi apresentado um exemplo de modelagem e execução de ataque de engenharia social. Ideal para obtenção de informações em testes de invasão.
Varreduras – Nessus
Foi demonstrado um exemplo de configuração de scan, assim como um relatório gerado pela ferramenta.
Invasão – Metasploit Framework
Foi apresentado um estudo de caso de lançamento de exploit a uma máquina vulnerável e obtenção de um shell para execução de código.
Mantendo Acesso – Meterpreter
Foi demonstrada a implantação de um backdoor em uma máquina comprometida.
Cobrindo Rastros – Steghide
Foi apresentada uma maneira de esconder arquivos dentro de outros para evitar a detecção da intrusão.
Este Webinar foi realizado com a mesmainfraestrutura de um treinamento EAD da Academia Clavis. É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.
Webinar #6 – Teste de Invasão a Redes Sem Fio – Protocolo WEP
Qual o objetivo deste novo webinar da Clavis Segurança da Informação?
A disseminação das redes sem fio, tanto em ambiente empresarial quanto doméstico, é cada dia maior. Por outro lado a preocupação com a segurança não tem acompanhado este crescimento. O protocolo de segurança WEP foi a primeira tentativa de garantir a segurança das informações que trafegam em uma rede sem fio, e apesar de ser considerada obsoleta, ainda é bastante utilizada, principalmente em ambientes mais antigos ou com menor preocupação com segurança.
Durante o webinar foram apresentadas características de redes sem fio e detalhes do protocolo WEP, mostrando mais especificamente as falhas que tornam redes que utilizam esse protocolo inseguras. Alguns dos principais ataques foram mostrados, concluindo inclusive com a observação de que a boa prática de segurança é a escolha de outro protocolo devido ao grande número de brechas apresentado pelo protocolo WEP.
Este Webinar foi realizado com a mesmainfraestrutura de um treinamento EAD da Academia Clavis. É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.
Webinar #7 – Segurança em Desenvolvimento de Software – Secure Development Lifecycle (SDL)
Qual o objetivo deste novo webinar da Clavis Segurança da Informação?
Este webinar teve como objetivo apresentar os desafios para se garantir a segurança de software e uma abordagem baseado em processo para inserir atividades e práticas de segurança de software no desenvolvimento de aplicações. Entre os tópicos abordados foram framework de modelo de maturidade OpenSAMM e o Microsoft SDL (Secure Development Lifecycle).Através da abordagem do Secure Development Lifecycle (SDL), temos uma visão geral das fases componentes, as principais metodologias utilizadas no mercado e uma base para as estratégias de uso empregadas pelas organizações. Foi abordado também como é feita a análise de riscos em aplicações, tratando desde o desenvolvimento da análise a técnicas para identificar até quantificar os riscos envolvidos (Análise de Risco).
Este Webinar foi realizado com a mesmainfraestrutura de um treinamento EAD da Academia Clavis. É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.
Webinar #8 – Ataques em Aplicações Web – Edição XSS – Stored, Reflected e DOM based
O que é um XSS?
O XSS (do inglês, Cross Site Scripting) tem se mostrado uma das principais falhas de segurança em aplicações web. Esse tipo de falha acontece quando a aplicação inclui dados fornecidos pelo usuário numa requisição sem que tais dados recebam o devido tratamento.
E como foi o Webinar sobre Ataques em aplicações web – Edição XSS – Stored, Reflected e DOM based)?
Este webinar apresentou exemplos práticos de ataques utilizando os 3 tipos conhecidos de XSS (Stored, Reflected e DOM based), além de dicas para identificar tal vulnerabilidade e maneiras de mitigá-la.
Qual foi o objetivo deste novo webinar da Clavis Segurança da Informação?
Este webinar teve o objetivo de mostrar ao especialista em TI as formalidades e os procedimentos legais de investigação penal, com foco nos crimes cometidos por meios eletrônicos. Foram abordadas os princípios, normas constitucionais e a legislação correlata.
O palestrante dessa edição, Walter Aranha Capanema, é advogado, consultor, coordenador do Projeto “Combate ao Spam”, Professor de Direito Administrativo Direito Processual Civil (processo eletrônico), Direito Penal (crimes contra a propriedade imaterial), Metodologia da Pesquisa e Didática da Escola da Magistratura do Estado do Rio de Janeiro (EMERJ); de Direito Público dos Cursos de Pós-Graduação em Direito Público e Direito Imobiliário da Universidade Estácio de Sá (UNESA); de Direito do Estado da Universidade do Estado do Rio de Janeiro (UERJ) e dos Cursos de Direito Eletrônico e Processo Eletrônico da OAB/RJ, da Caixa de Assistência dos Advogados do Rio de Janeiro (CAARJ) e da Escola Superior da Advocacia (ESA). É Secretário-Geral da 1ª Comissão de Direito e Tecnologia da Informação da OAB-RJ para o biênio 2010-2012, e membro da Comissão dos Crimes de Alta Tecnologia da OAB-SP, onde dirige a Coordenadoria de Crimes contra a Privacidade e a Intimidade. Integra também o capítulo brasileiro da Cloud Security Alliance BR.
Webinar #10 – Captura (grampo) e Análise de Tráfego em Redes de Computadores
Qual o objetivo deste novo webinar da Clavis Segurança da Informação?
Este webinar teve como objetivo demonstrar como realizar a captura de pacotes trafegando em redes de computadores (grampo digital) através de ferramentas específicas (sniffers) para esta finalidade utilizando, quando necessário, a sintaxe adequada para cada protocolo e a análise e extração de dados (carving) dos arquivos de tráfego gerados. Foram utilizadas ferramentas específicas tais como: Wireshark, Tcpxtract e Chaosreader – resultando na descoberta de informações de identificação (login/senha) utilizadas em protocolos sem criptografia e arquivos (imagens, documentos, etc) enviados através dos mais diversos tipos de serviços na Internet.Este Webinar foi realizado com a mesmainfraestrutura de um treinamento EAD da Academia Clavis. É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.