ANEXO I TERMO DE REFERÊNCIA

Tamanho: px
Começar a partir da página:

Download "ANEXO I TERMO DE REFERÊNCIA"

Transcrição

1 ANEXO I TERMO DE REFERÊNCIA OBJETO CONTRATAÇÃO DE EMPRESA ESPECIALIZADA PARA ATIVIDADE TÉCNICA PARA EXECUÇÃO DE TESTES DE PENETRAÇÃO (PENTEST) E ANÁLISE DE VULNERABILIDADES DE SEGURANÇA Contratação de suporte para estruturação da segurança da informação, incluindo, diagnósticos, análises, avaliações e testes de penetração (Intrusão) com fornecimento de relatórios específicos de avaliação de vulnerabilidades expostas em aplicações no ambiente WEB. Será contratado banco de horas, onde através de OS (Ordem de Serviço) serão debitadas as horas devidas para cada análise. Antes de cada solicitação de OS a Contratada e a Contratante fecharão o escopo da análise, bem como definição das horas consumidas. Dentro das horas firmadas nas OS s estarão computadas todas as etapas dos testes, desde execução e apresentação dos relatórios. A OS somente será considerada aberta após fechamento do escopo e das horas consumidas, com aval das partes. TABELA DE COMPOSIÇÃO DOS ITENS Item Características Quantidade 1 Atividades Técnicas de Avaliação de Vulnerabilidade Teste de Penetração (Pentest) 1000 horas CT TR_PEN_Test_v5 29/08/2014 1/22

2 DESCRIÇÃO DETALHADA PARA TESTES DE PENETRAÇÃO (Pentest) 1.1. A atividade de Testes de Invasão poderá ser do tipo Externo e Interno e terá como objetivo principal identificar, mapear, documentar, controlar e corrigir possíveis vulnerabilidades nos sistemas, processos e ativos de infraestrutura tecnológica. Estes testes envolvem, necessariamente, o uso de técnicas e ferramentas específicas para tentar obter acesso não autorizado e privilegiado aos ativos e informações. Para a realização dos testes de invasão deverão ser observadas as orientações e técnicas emanadas pelos seguintes padrões internacionais, além de outros apresentados pela empresa contratada, caso haja, em seu portfólio, normativos que, comprovadamente, complementem os demonstrados abaixo: OSSTMM 3 (The Open Source Security Testing Methodology Manual); ISSAF/PTF (Information Systems Security Assessment Framework); NIST Special Publication (Technical Guide to Information Security Testing and Assessment); NIST Special Publication (Guideline on Network Security Testing); OWASP TESTING GUIDE The Open Web Application Security Project O teste de invasão deverá obedecer às seguintes fases: Planejamento; Descoberta; Ataque (exploração); Relatório de recomendações; CT TR_PEN_Test_v5 29/08/2014 2/22

3 Reunião para apresentação do relatório de recomendações e descrição das atividades executada durante o teste Reavaliação, novo teste pós remediação Relatório final pós remediação 1.3. A Contratada deverá observar que os testes, simulações de invasão ilícita e não autorizada a ativos e informações (Teste de Invasão), serão executados internamente (qualquer ponto da rede corporativa da Prefeitura da Cidade de São Paulo definido pela Contratada) ou externamente (através da Internet) Os alvos dos Testes de Invasão bem como as premissas e condições para realização dos mesmos serão, necessariamente, definidos e aprovados Todas as fases dos Testes de Invasão serão acompanhadas e supervisionadas a critério da CONTRATANTE Quaisquer atividades com suspeita de comprometimento de algum ambiente ou ativo deverá ser imediatamente reportada, antes de sua execução, haja vista a necessidade de manter a disponibilidade dos ambientes e serviços ativos Deverá ser utilizada, pelo menos, 01 (uma) ferramenta de análise de vulnerabilidade comercial e 01 (uma) ferramenta de análise de vulnerabilidade gratuita, além de técnicas manuais de análise de vulnerabilidade. As ferramentas deverão ser apresentadas para ciência e aprovação em sua utilização, antes de sua efetiva utilização, assim como a metodologia para análise manual de vulnerabilidades A ferramenta de análise de vulnerabilidade comercial deverá contemplar, ao menos, as seguintes características: CT TR_PEN_Test_v5 29/08/2014 3/22

4 Prover identificação e correlação de ameaças, além de avaliar o potencial risco das vulnerabilidades encontradas; Fornecer evidências de ativos não vulneráveis através de provas conclusivas como: Resultados de varreduras esperados e obtidos; Lista de ativos não analisados; Falhas nas varreduras; A solução de análise de vulnerabilidades não deve ser baseada na necessidade de instalação prévia de agentes no ambiente corporativo; Resultados de varredura enviados para o banco de dados através da rede corporativa devem ser criptografados; Fornecer cobertura de conteúdo para executar verificações com autenticação e sem autenticação; Suportar métricas de pontuação baseadas em risco; Suportar o armazenamento seguro de credenciais, para uso em varreduras autenticadas, usando as credenciais para se autenticar em sistemas Windows, UNIX ou qualquer ativo de infraestrutura, tais como dispositivos de rede, etc.; Permitir o acesso seguro ao back-end do banco de dados de modo a permitir a mineração de dados para possíveis relatórios personalizados que sejam solicitados; CT TR_PEN_Test_v5 29/08/2014 4/22

5 Deve ser certificado pelo EAL Common Criteria e validar a criptografia FIPS-140-2; O processo de varredura deve ter um impacto mínimo sobre a rede, não superior a 10 Mbps de tráfego; Permitir o ajuste de desempenho para adequar a quantidade de banda consumida na rede durante a varredura de análise de vulnerabilidades, tanto para a realização de varreduras que consumam menos recursos, como para a realização de varreduras mais rápidas que consomem mais recursos; A descrição de vulnerabilidade deve possuir no mínimo os seguintes detalhes: Nome Nível de Risco Intrusiva (sim / não) Descrição Observação Recomendação de Remediação Link do patch ou da correção Número CVE SANS / FBI referência Top 20 CT TR_PEN_Test_v5 29/08/2014 5/22

6 IAVA (Information Assurance Vulnerability Alert) Referência Realizar análise de vulnerabilidades segundo as seguintes tecnologias: XCCDF OVAL CVSS CVE CPE CCE Fornecer extensão para varredura de aplicações Web totalmente integrada a solução de análise de vulnerabilidades; Possuir capacidade de descoberta e geração de inventário de servidores e aplicações Web através do rastreamento (crawling) de servidores Web e seus conteúdos, a fim de identificar e analisar seu conteúdo, resultando em uma lista categorizada de servidores Web e os objetos que residem neles; Fornecer visualização da aplicação web através de relatório de 'mapa do site'; Fornecer análise detalhada de scripts e páginas estáticas descobertas em servidores web analisados que reflete as strings de CT TR_PEN_Test_v5 29/08/2014 6/22

7 conexão de banco de dados, endereços de , campos de formulário ocultos e outros itens potencialmente sensíveis; Suporte para Web 2.0 / JavaScript; Suportar autenticação para varredura de aplicações web protegidas por credenciais; Gerar relatórios que ilustrem: request made, injection point, response given; Fornecer suporte para Varredura em 'modo seguro' Deverá realizar testes de vulnerabilidades e invasão em endereços IP s, URL s, aplicações, ou outro ativo definido do ambiente computacional, composto por servidores, banco de dados, ativos de rede e outros equipamentos relacionados ao teste de invasão Deverá ser elaborado o PLANO DE TESTE DE PENETRAÇÃO, para cada teste que será realizado, contemplando as informações de PLANEJAMENTO do teste, tais como: Objetivos, premissas e escopo do teste, datas e horas dos testes, metodologia de análise de vulnerabilidades, descrição das ações realizadas, metodologias, vulnerabilidades encontradas, categorização e severidade das vulnerabilidades, possíveis problemas aplicáveis, recomendações e controles de segurança necessários para correção das vulnerabilidades, apresentação das evidências apuradas, fontes de pesquisa, referências e ferramentas utilizadas Também na fase de planejamento, deverão ser atendidas e apresentadas, no mínimo, as seguintes informações: CT TR_PEN_Test_v5 29/08/2014 7/22

8 Detalhes da infraestrutura alvo dos testes de invasão; Equipamentos e recursos demandados para este teste; Tipos de ataque; Prazos (janelas de tempo para execução dos testes); Pontos de contato da contratada (responsáveis para tratamento de questões não abordadas nos testes); Tipos de testes a serem realizados pelos especialistas em segurança da informação, devendo-se observar: Quanto à abordagem: Coletar informações sobre o ambiente corporativo, utilizando-se das seguintes técnicas; Técnica da caixa-preta (pouco ou nenhum conhecimento sobre o ambiente a ser avaliado. O ambiente deverá ser descoberto pelo especialista); Técnica da caixa branca (o avaliador tem acesso irrestrito a qualquer informação que possa ser relevante ao teste); Técnica da caixa cinza ou híbrida (conhecimento limitado sobre o alvo); Quanto à forma de publicidade: CT TR_PEN_Test_v5 29/08/2014 8/22

9 Teste informado; Teste não informado; Informações detalhadas dos testes em si; Na fase da DESCOBERTA deverão ser atendidos os seguintes quesitos e apresentado RELATÓRIO DE DESCOBERTA DE TESTE DE PENETRAÇÃO, entre outros: Coleta de informações, sendo classificadas em: Coleta passiva, onde deverá ser utilizada, no mínimo, as seguintes técnicas: Whois e nslookup (consultas DNS); Sites de busca; Listas de discussão; Blogs de colaboradores; Dumpster diving ou trashing; Informações livres; Packet sniffing passive eavesdropping ; Captura de banner. CT TR_PEN_Test_v5 29/08/2014 9/22

10 Coleta ativa, onde deverá ser utilizada, no mínimo, as seguintes técnicas: Port scanning (Mapeamento de rede); Varredura de vulnerabilidade A varredura de vulnerabilidade deverá verificar/identificar, entre outros: Hosts ativos na rede; Portas e serviços em execução; Serviços ativos e vulneráveis nos hosts; Sistemas operacionais; Vulnerabilidades associadas com sistemas operacionais e aplicações descobertas; Configurações feitas nos hosts sem observância de boas práticas em segurança computacional; Identificação de rotas e estimativa de impacto, caso estas sejam modificadas/desconfiguradas; Identificação de vetores de ataque e cenários para exploração; Vulnerabilidades Detectadas (CVE); CT TR_PEN_Test_v5 29/08/ /22

11 Vulnerabilidades de Alto Risco; Vulnerabilidades de Médio Risco; Vulnerabilidades de Baixo Risco; Informações a serem aplicadas na 3ª fase (fase de ataques); Dos serviços e aplicações web: Uso indevido de sistema de arquivos e arquivos temporários; Evasão de informação por configurações default de tratamento de erros; Tratamento indevido de entrada; Problemas relacionados à má configuração dos serviços; Gerenciamento inseguro de sessões web; Na fase de ATAQUE deverão ser apresentadas, dentro do RELATÓRIO DE ATAQUES DO TESTE DE PENETRAÇÃO, as seguintes informações: Confirmação ou refutação de a existência de vulnerabilidades; Documentação sobre o caminho utilizado para exploração, avaliação do impacto e prova da existência da vulnerabilidade; Obtenção de acesso e possível escalada de privilégios; CT TR_PEN_Test_v5 29/08/ /22

12 Deverão ser aplicados, no mínimo, os seguintes tipos de ataques: Violações do protocolo HTTP; SQL Injection; LDAP Injection; Cookie Tampering; Cross-Site Scripting (XSS); Directory Transversal; Buffer Overflow; OS Command Execution; Command Injection; Remote Code Inclusion; Server Side Includes (SSI) Injection; File disclosure; Information Leak; Zero day attacks; DDos (Distribuited Denial of Service); CT TR_PEN_Test_v5 29/08/ /22

13 Dos (Denial of Service); Contra protocolo TCP; Ataques contra a aplicação Os ataques de negação de serviços, contra protocolo TCP e em nível da aplicação deverão, cada qual, explorar/demonstrar/utilizar as seguintes técnicas: Para ataques de negação de serviços: Bugs em serviços, aplicativos e sistemas operacionais; SYN flooding; Fragmentação de pacotes de IP; Smurf e fraggle; Teardrop, nuke e land Para ataques contra o protocolo TCP: Sequestro de conexões; Prognóstico de número de sequência do protocolo TCP; Ataque de Mitnick; Source routing Para ataques em nível da aplicação: CT TR_PEN_Test_v5 29/08/ /22

14 Buffer Overflow ; Problemas com o SNMP; Vírus, worms e cavalos de Tróia Injeção de Código; Ataques XSS (Cross-site Script); Comprometimento do acesso remoto; Manutenção de acesso; Encobrimento de rastros da invasão; Para testes de invasão direcionados, especificamente, aos serviços prestados via WEB, tanto Intranet quanto Internet, deverão ser observados e aplicados, os seguintes testes baseados na publicação OWASP TESTING GUIDE 3.0 (The Open Web Application Security Project): Para testes de coleta de informações, aplicar padrão: OWASP-IG- 001, OWASP-IG-002, OWASPIG-003, OWASP-IG-004, OWASP-IG- 005 e OWASP-IG-006; Para testes de gerenciamento de configuração, aplicar padrão: OWASP-CM-001, OWASP-CM-002, OWASP-CM-003, OWASP-CM- 004, OWASP-CM-005, OWASP-CM-006, OWASP-CM-007, OWASPCM-008; CT TR_PEN_Test_v5 29/08/ /22

15 Para testes de autenticação, aplicar padrão: OWASP-AT-001, OWASP-AT-002, OWASP-AT-003,OWASP-AT-004, OWASP-AT-005, OWASP-AT-006, OWASP-AT-007, OWASP-AT-008, OWASP-AT-009 e OWASP-AT-010; Para testes de gerenciamento de sessão, aplicar padrão: OWASP- SM-001, OWASP-SM-001, OWASP-SM-002, OWASP-SM-003, OWASP-SM-004, OWASPSM-005; Para testes de autorização, aplicar padrão: OWASP-AZ-001, OWASP-AZ-002 e OWASP-AZ-003; Para testes de negócio lógico, aplicar padrão: OWASP-BL-001; Para testes de validação de dados, aplicar padrão: OWASP-DV- 001; OWASPDV-002, OWASPDV-003, OWASP-DV-004, OWASP-DV- 005, OWASP-DV-006, OWASP-DV-007, OWASP-DV-008, OWASPDV- 009, OWASP-DV-010, OWASP-DV-011, OWASP-DV-012, OWASP-DV- 013, OWASP-DV-014, OWASPDV-015 e OWASP-DV-016; Para testes de negação de serviços, aplicar padrão: OWASP-DS- 001, OWASP-DS-002, OWASPDS-003, OWASP-DS-004, OWASP-DS- 005, OWASP-DS-006, OWASP-DS-007 e OWASP-DS-008; Para testes de serviços web, aplicar padrão: OWASP-WS-001, OWASP-WS-002, OWASP-WS-003, OWASP-WS-004, OWASP-WS-005, OWASP-WS-006 e OWASP-WS Observa-se que o resultado de cada teste deverá vir acompanhado de relatórios contendo: Referência-base (Whitepaper); CT TR_PEN_Test_v5 29/08/ /22

16 1.17. Ameaças encontradas; Riscos levantados ao ambiente computacional; Contramedidas para mitigar as ameaças encontradas Após a entrega do relatório RELATÓRIO DE ATAQUES DO TESTE DE PENETRAÇÃO, a CONTRATANTE terá até 60 dias para aplicar as ações corretivas das vulnerabilidades relatadas, após esse prazo a CONTRATADA terá 10 dias para refazer o ataque e emitir novo relatório ( RELATÓRIO FINAL DO TESTE DE PENETRAÇÃO ), apontando a remediação ou não das vulnerabilidades. 2. ATIVIDADES DE APOIO 2.1. PLANO DE TRABALHO com o detalhamento do escopo dos testes e cronograma de execução; 2.2. RELATÓRIOS DE ACOMPANHAMENTO SEMANAIS do plano de trabalho; 2.3. APRESENTAÇÃO INICIAL das ações a serem aplicadas pela Contratada; 3. DEVERES E RESPONSABILIDADES DA CONTRATANTE 3.1. Proporcionar todas as facilidades para a Contratada executar o fornecimento do objeto do presente Termo de Referência, permitindo o acesso dos profissionais da Contratada às suas dependências. Esses profissionais ficarão sujeitos a todas as normas internas da CONTRATANTE, principalmente as de segurança, inclusive àquelas CT TR_PEN_Test_v5 29/08/ /22

17 referentes à identificação, trajes, trânsito e permanência em suas dependências; 3.2. Promover o acompanhamento e a fiscalização da execução do objeto do presente Termo de Referência, sob o aspecto quantitativo e qualitativo, anotando em registro próprio as falhas detectadas; 3.3. Comunicar prontamente à Contratada qualquer anormalidade na execução do objeto, podendo recusar o recebimento, caso não esteja de acordo com as especificações e condições estabelecidas no presente Termo de Referência; 3.4. Fornecer à Contratada todo tipo de informação interna essencial à realização dos fornecimentos e dos serviços; 3.5. Conferir toda a documentação técnica gerada e apresentada durante a execução dos serviços, efetuando o seu atesto quando esta estiver em conformidade com os padrões de informação e qualidade exigidos; 3.6. Homologar os serviços prestados, quando estes estiverem de acordo com o especificado no Termo de Referência; 3.7. Efetuar o pagamento à Contratada; 4. DEVERES E RESPONSABILIDADES DA CONTRATADA 4.1. Atender a todas as condições descritas no presente Termo de Referência e respectivo Contrato; 4.2. Manter as condições de habilitação e qualificação exigidas durante toda a vigência do Contrato; CT TR_PEN_Test_v5 29/08/ /22

18 4.3. Responder pelas despesas relativas a encargos trabalhistas, seguro de acidentes, contribuições previdenciárias, impostos e quaisquer outras que forem devidas e referentes aos serviços executados por seus empregados, uma vez que estes não têm nenhum vínculo empregatício com a CONTRATANTE; 4.4. Abster-se, qualquer que seja a hipótese, de veicular publicidade ou qualquer outra informação acerca das atividades objeto do Contrato, sem prévia autorização da CONTRATANTE; 4.5. Dar ciência, imediatamente e por escrito, de qualquer anormalidade que verificar na execução do objeto bem como prestar esclarecimentos que forem solicitadas; 4.6. Manter sigilo absoluto sobre informações, dados e documentos provenientes da execução do Contrato e também às demais informações internas da CONTRATANTE a que a CONTRATATA tiver conhecimento; 4.7. Elaborar e apresentar documentação técnica dos fornecimentos e serviços executados nas datas agendadas, visando sua homologação pela CONTRATANTE; 4.8. Alocar profissionais devidamente capacitados e habilitados para os serviços contratados; 4.9. A equipe de profissionais envolvida para exercer as funções, deve possuir as seguintes certificações ou equivalentes: Certificação CISSP Certified Information Systems Security Professional; CT TR_PEN_Test_v5 29/08/ /22

19 Certificação CISM - Certified Information Security Manager; Certificação CEH - Certified Ethical Hacker; Certificação GISP GIAC Information Security Professional; Certificação GCIH GIAC Certified Incident Handler; Certificação GCIA GIAC Certified Intrusion Analyst; Certificação CRISC - Certified in Risk and Information Systems Control; Certificação ITIL Foundation Information Technology Infrastructure Library; 5. PRAZO 5.1. O prazo máximo para início dos serviços é de 30 dias a contar da data de assinatura do Contrato; 5.2. O prazo para conclusão das Ordens de Serviço (OS), incluindo, diagnósticos, análises, avaliações e testes com fornecimento de relatórios específicos de avaliação de vulnerabilidades do ambiente relacionados neste Termo de Referência é de no máximo 30 dias a partir do início das atividades, podendo a CONTRATADA iniciar suas análises em até 5 dias úteis após abertura da OS. 6. ACEITE O aceite será emitido pela Contrata em até 5 dias corridos a partir da entrega CT TR_PEN_Test_v5 29/08/ /22

20 do RELATÓRIO FINAL DO TESTE DE PENETRAÇÃO. 7. PAGAMENTO A CONTRATANTE pagará a CONTRATADA pela Ordem de Serviço (OS) executada, em até 30 dias após recebimento da fatura e aprovação com a emissão do TERMO DE ACEITE emitido pela Contratante. 8. PENALIDADES Caso haja atraso na entrega do relatório final, haverá multa de 1% por dia de atraso, calculado sobre o valor do contrato global. 9. ATESTADO A CONTRATADA deverá apresentar Atestado de Capacidade Técnica, passado em papel timbrado, emitido por entidade pública ou privada, que demonstre o correto cumprimento de obrigações da mesma natureza do objeto do presente Edital. Todos os atestados deverão ser emitidos por empresa que possuam no mínimo 300 servidores em seu ambiente. 10. VALIDADE DO CONTRATO O contrato terá validade de 36 meses, podendo ser renovado até o limite legal da Lei CONFIDENCIALIDADE A CONTRATADA deverá zelar pelo sigilo de quaisquer informações referentes à estrutura, sistemas, usuários, contribuintes, topologia, e ao modo de funcionamento e tratamento das informações da CONTRATANTE, durante e após fim do contrato, salvo se houver autorização expressa da Contratante CT TR_PEN_Test_v5 29/08/ /22

21 para divulgação; A CONTRATADA deverá assinar contrato de sigilo das informações geradas e acessadas durante todo o processo de análise A não observância desse qualquer fato poderá ser considerada espionagem e será motivo de processo civil e criminal conforme legislação vigente. CT TR_PEN_Test_v5 29/08/ /22

22 ANEXO II ORDEM DE SERVIÇO Nº PRESTAÇÃO DE SERVIÇOS DE EXECUÇÃO DE TESTES DE PENETRAÇÃO (PENTEST) E ANÁLISE DE VULNERABILIDADES DE SEGURANÇA CONTRATO Nº... PREGÃO /99 A presente ordem de serviço é celebrada em conformidade com o procedimento para PRESTAÇÃO DE SERVIÇOS DE EXECUÇÃO DE TESTES DE PENETRAÇÃO (PENTEST) E ANÁLISE DE VULNERABILIDADES DE SEGURANÇA, previstos no Contrato Nº..., firmado entre a EMPRESA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO DO MUNICÍPIO DE SÃO PAULO PRODAM-S/A -SP e a CONTRATADA, em vigor desde de de, sendo incorporada ao mesmo por referência. Quantidade de Período horas Início Fim Valor Total TOTAL GERAL Para efeito do cumprimento desta ORDEM DE SERVIÇO a CONTRATANTE indica o seguinte responsável: Nome: Gerência: Unidade: Matrícula: Endereço: Telefone: Fax: São Paulo, de de 20 CONTRATANTE CONTRATADA CT TR_PEN_Test_v5 29/08/ /22

Soluções de Segurança da Informação para o mundo corporativo

Soluções de Segurança da Informação para o mundo corporativo Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias rafael@clavis.com.br Conceitos

Leia mais

Se preocupe com o que é importante, que a gente se preocupa com a segurança.

Se preocupe com o que é importante, que a gente se preocupa com a segurança. Se preocupe com o que é importante, que a gente se preocupa com a segurança. Os firewalls convencionais e os IPS (Intrusion Prevention System) não são capazes de detectar e bloquear ataques na camada de

Leia mais

ATIVIDADES PRÁTICAS SUPERVISIONADAS

ATIVIDADES PRÁTICAS SUPERVISIONADAS ATIVIDADES PRÁTICAS SUPERVISIONADAS 5ª. Série Segurança de Redes CST em Redes de Computadores A Atividade Prática Supervisionada (ATPS) é um procedimento metodológico de ensino-aprendizagem desenvolvido

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Proposta Comercial Curso: Ethical Hacking

Proposta Comercial Curso: Ethical Hacking Proposta Comercial Curso: Ethical Hacking Proposta 1307DVPA/2012 A DATA SECURITY LTDA A DATA SECURITY é formada por profissionais com mais de 15 anos no mercado de segurança da informação com âmbito acadêmico

Leia mais

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers Ataques e Intrusões Professor André Cardia andre@andrecardia.pro.br msn: andre.cardia@gmail.com Ataques e Intrusões O termo genérico para quem realiza um ataque é Hacker. Essa generalização, tem, porém,

Leia mais

Riscos, Ameaças e Vulnerabilidades. Aécio Costa

Riscos, Ameaças e Vulnerabilidades. Aécio Costa Riscos, Ameaças e Vulnerabilidades Aécio Costa Riscos, Ameaças e Vulnerabilidades Independente do meio ou forma pela qual a informação é manuseada, armazenada, transmitida e descartada, é recomendável

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion Principais tecnologias front-end HTML CSS JAVASCRIPT AJAX JQUERY FLASH JAVA APPLET Linguagens que executam no cliente HTML

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Ferramentas e Diferentes tipos de Ataques Objetivo: Fundamentar as diferentes técnicas de ataques hackers e suas ferramentas.

Ferramentas e Diferentes tipos de Ataques Objetivo: Fundamentar as diferentes técnicas de ataques hackers e suas ferramentas. 02/12/2014 Tipos de Ataque Segurança em Redes de Computadores Emanuel Rebouças, MBA Disciplina: SEGURANÇA EM REDES DE COMPUTADORES / Módulo: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Copyright 2014 AGENDA Ferramentas

Leia mais

Daniel Moreno. Novatec

Daniel Moreno. Novatec Daniel Moreno Novatec Novatec Editora Ltda. 2015. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta obra, mesmo parcial, por qualquer processo, sem prévia

Leia mais

Ementa Completa. Introdução

Ementa Completa. Introdução Ementa Completa Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades Autorização Non-Disclosure

Leia mais

Penetration Testing Workshop

Penetration Testing Workshop Penetration Testing Workshop Information Security FCUL 9 Maio 2013 Workshop FCUL Marco Vaz, CISSP, CISA, ISO27001LA, ITILv3 Expert Consultant Partner (mv@integrity.pt) Herman Duarte, OSCP, Associate CISSP,

Leia mais

Weber Ress weber@weberress.com

Weber Ress weber@weberress.com Weber Ress weber@weberress.com SDL Security Development Lifecycle SD 3 +C Security by Design Security by Default Security in Deployment Communications SDL Processo de desenvolvimento clássico Processo

Leia mais

AVDS Vulnerability Management System

AVDS Vulnerability Management System DATA: Agosto, 2012 AVDS Vulnerability Management System White Paper Brazil Introdução Beyond Security tem o prazer de apresentar a nossa solução para Gestão Automática de Vulnerabilidade na núvem. Como

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Tópicos Motivação; Características; Histórico; Tipos de detecção de intrusão; Detecção de intrusão baseada na rede; Detecção

Leia mais

Segurança em Redes e Sistemas. Segurança da Informação

Segurança em Redes e Sistemas. Segurança da Informação Segurança em Redes e Sistemas Segurança da Informação Rafael Roque rra@cin.ufpe.br Eduardo Feitosa elf@cin.ufpe.br Djamel Sadok jamel@cin.ufpe.br Agenda Conceitos Gerenciamento e Avaliação de Riscos Políticas

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Os riscos que rondam as organizações

Os riscos que rondam as organizações Os riscos que rondam as organizações Os potenciais atacantes O termo genérico para identificar quem realiza o ataque em um sistema computacional é hacker. Os hackers, por sua definição original, são aqueles

Leia mais

Curso Pentest Profissional

Curso Pentest Profissional Ementa Oficial do Curso Pentest Profissional Capítulo 01 Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades

Leia mais

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA SOLUÇÃO SISTÊMICA BASEADA EM CÓDIGO ABERTO PARA DEFESA E MITIGAÇÃO DE ATAQUES À APLICAÇÕES WEB. DANIEL ALMEIDA DE PAULA BRASÍLIA

Leia mais

TERMO DE REFERÊNCIA. 1. Objeto. 2. Antecedentes. 3. Objeto da Licitação

TERMO DE REFERÊNCIA. 1. Objeto. 2. Antecedentes. 3. Objeto da Licitação TERMO DE REFERÊNCIA 1. Objeto 1.1. Contratação de empresa especializada em auditoria de tecnologia da informação e comunicações, com foco em segurança da informação na análise de quatro domínios: Processos

Leia mais

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações.

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações. Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque CAPITULO 4- Segurança de Aplicações. Fragilidades na camada de aplicação Hoje em dia existe um número de aplicativos imenso, então

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Desafios e Soluções em Detecção de Intrusão

Desafios e Soluções em Detecção de Intrusão Empresa FIREWALLS Desafios e Soluções em Detecção de Intrusão Matriz: Bauru/SP Filial 1: Florianopolis/SC O que é a Firewalls? - Empresa Especializada em Segurança; - Profissionais Certificados; - Atenta

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Quando você conecta sua rede doméstica ou corporativa a internet, tudo o que está além da sua rede é literalmente o fim do mundo

Leia mais

Payment Card Industry (PCI)

Payment Card Industry (PCI) Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos para o Scanning de Segurança Version 1.1 Portuguese Distribuição: Setembro de 2006 Índice

Leia mais

Segurança de Sistemas

Segurança de Sistemas Segurança de Sistemas SISINFO Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira quintino@umc.br Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege

Leia mais

Segurança de Sistemas

Segurança de Sistemas Segurança de Sistemas SISINFO Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira quintino@umc.br Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege

Leia mais

Ataques para obtenção de informações

Ataques para obtenção de informações Ataques para obtenção de informações Técnicas: Dumpster diving ou Trashing Engenharia Social Eavesdropping ou Packet Sniffing Scanning War dialing Firewalking Ataques para obtenção de informações Dumpster

Leia mais

TOCI08 Segurança em Redes de Computadores Módulo 04: Análise de Riscos e Pré-Análise

TOCI08 Segurança em Redes de Computadores Módulo 04: Análise de Riscos e Pré-Análise TOCI08 Segurança em Redes de Computadores Módulo 04: Análise de Riscos e Pré-Análise Prof. M.Sc. Charles Christian Miers e-mail: charles@joinville.udesc.br Análise de Riscos Considerações sobre Análise

Leia mais

Teste de Invasão de Rede

Teste de Invasão de Rede Teste de Invasão de Rede Fernando José Karl, AMBCI, CISSP, CISM fernando.karl@gmail.com 03/03/12 UNISINOS 2012-1 1 Alerta Invadir redes é crime previsto em códigos penais de diversos países. Esta disciplina

Leia mais

Para cada questão responda se a afirmativa está certa ou errada, JUSTIFICANDO:

Para cada questão responda se a afirmativa está certa ou errada, JUSTIFICANDO: Exercícios de Segurança de Informação Ameaças lógicas Para cada questão responda se a afirmativa está certa ou errada, JUSTIFICANDO: 1) Vírus de macro infectam arquivos criados por softwares que utilizam

Leia mais

Conviso Security Training Ementa dos Treinamentos

Conviso Security Training Ementa dos Treinamentos Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este

Leia mais

O processo de ataque em uma rede de computadores. Jacson R.C. Silva

O processo de ataque em uma rede de computadores. Jacson R.C. Silva <jacsonrcsilva@gmail.com> O processo de ataque em uma rede de computadores Jacson R.C. Silva Inicialmente, se conscientizando... É importante ter em mente os passos que correspondem a um ataque Porém,

Leia mais

Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão Características Funciona como um alarme. Detecção com base em algum tipo de conhecimento: Assinaturas de ataques. Aprendizado de uma rede neural. Detecção com base em comportamento

Leia mais

Diretoria Executiva de Controles Internos e Risco Operacional

Diretoria Executiva de Controles Internos e Risco Operacional Diretoria Executiva de Controles Internos e Risco Operacional Seminário de Segurança da Informação 2014 Painel "A dinâmica do cenário de ameaças à rede interna frente a um contexto GRC e às novas ferramentas

Leia mais

Gestão da Segurança da Informação

Gestão da Segurança da Informação Gestão da Segurança da Informação Mercado Google perde 0.000001% de dados após raio apagar data center O Google emitiu uma nota após um dos seus data centers na Bélgica passar por um apagão inesperado.

Leia mais

MINISTÉRIO DA FAZENDA

MINISTÉRIO DA FAZENDA MINISTÉRIO DA FAZENDA Procuradoria-Geral da Fazenda Nacional PGFN Departamento de Gestão Corporativa - DGC Coordenação-Geral de Tecnologia da Informação - CTI CATÁLOGO DE SERVIÇOS DE TECNOLOGIA Infraestrutura

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Segurança em Web Aula 1

Segurança em Web Aula 1 Open Web Application Security Project Segurança em Web Aula 1 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Sobre o Instrutor Objetivos do Curso

Leia mais

Políticas de Segurança de Sistemas

Políticas de Segurança de Sistemas Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Anexo III: Solução de Rede Local - LAN (Local Area Network)

Anexo III: Solução de Rede Local - LAN (Local Area Network) Anexo III: Solução de Rede Local - LAN (Local Area Network) 1. Objeto: 1.1. Contratação de uma Solução de rede de comunicação local (LAN) para interligar diferentes localidades físicas e os segmentos de

Leia mais

GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade

GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade sobre o Autor Bacharel em Análise de Sistemas pela Universidade de Ribeirão Preto e Pós-graduado em Segurança da Informação pelo ITA Instituto

Leia mais

Tratamento de Incidentes de Segurança em Redes de Computadores. GRA - Grupo de Resposta a Ataques

Tratamento de Incidentes de Segurança em Redes de Computadores. GRA - Grupo de Resposta a Ataques Tratamento de Incidentes de Segurança em Redes de Computadores GRA - Grupo de Resposta a Ataques Palestrante: Indiana Belianka Kosloski de Medeiros 30/09/2004 ASPECTOS GERENCIAIS ESTRUTURA DE SEGURANÇA

Leia mais

Gerência de Redes e Serviços de Comunicação Multimídia

Gerência de Redes e Serviços de Comunicação Multimídia UNISUL 2013 / 1 Universidade do Sul de Santa Catarina Engenharia Elétrica - Telemática 1 Gerência de Redes e Serviços de Comunicação Multimídia Aula 3 Gerenciamento de Redes Cenário exemplo Detecção de

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Segurança de Rede Prof. João Bosco M. Sobral 1

Segurança de Rede Prof. João Bosco M. Sobral 1 1 Sinopse do capítulo Problemas de segurança para o campus. Soluções de segurança. Protegendo os dispositivos físicos. Protegendo a interface administrativa. Protegendo a comunicação entre roteadores.

Leia mais

PROPOSTA TÉCNICA/PLANILHA DE AVALIAÇÃO (com Alteração 01)

PROPOSTA TÉCNICA/PLANILHA DE AVALIAÇÃO (com Alteração 01) CONCORRÊNCIA DIRAD/CPLIC Nº 001/2010 ANEXO II 1 PROPOSTA TÉCNICA/PLANILHA DE AVALIAÇÃO (com Alteração 01) I - Atestados, certidões e comprovantes I.1 Todos os documentos, atestados e certificados deverão

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Gerenciamento de Redes de Computadores. Introdução ao Gerenciamento de Redes

Gerenciamento de Redes de Computadores. Introdução ao Gerenciamento de Redes Introdução ao Gerenciamento de Redes O que é Gerenciamento de Redes? O gerenciamento de rede inclui a disponibilização, a integração e a coordenação de elementos de hardware, software e humanos, para monitorar,

Leia mais

Sobre Nós. NossaVisão

Sobre Nós. NossaVisão 2015 Sobre Nós 1 ArtsSec foi fundada por um grupo de profissionais dedicados à segurança da informação a fim de proporcionar soluções criativas e de alto valor aos seus clientes. A empresa surgiu em 2012,

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Especificações da oferta Remote Infrastructure Monitoring

Especificações da oferta Remote Infrastructure Monitoring Visão geral do Serviço Especificações da oferta Remote Infrastructure Monitoring Este serviço oferece o Dell Remote Infrastructure Monitoring ("Serviço" ou "Serviços" RIM), como apresentado mais especificamente

Leia mais

SEG. EM SISTEMAS E REDES. 03. Vulnerabilidades em redes. Prof. Ulisses Cotta Cavalca

SEG. EM SISTEMAS E REDES. 03. Vulnerabilidades em redes. Prof. Ulisses Cotta Cavalca <ulisses.cotta@gmail.com> SEG. EM SISTEMAS E REDES 03. Vulnerabilidades em redes Prof. Ulisses Cotta Cavalca Belo Horizonte/MG 2015 SUMÁRIO 1) Vulnerabilidades em redes 2) Dicionário de vulnerabilidades

Leia mais

Daniel Caçador dmcacador@montepio.pt

Daniel Caçador dmcacador@montepio.pt Daniel Caçador dmcacador@montepio.pt Google Fixes Gmail Cross-site Request Forgery Vulnerability Netcraft, 30 Set 2007 Military Hackers hit US Defense office vnunet.com, 26 Abril, 2002 3 Factos : Grande

Leia mais

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Conectando-se à Internet com Segurança Soluções mais simples. Sistemas de Segurança de Perímetro Zona Desmilitarizada (DMZ) Roteador de

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

Metodologias pentest. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Metodologias pentest. Prof. Nataniel Vieira nataniel.vieira@gmail.com Metodologias pentest Prof. Nataniel Vieira nataniel.vieira@gmail.com Sumário Metodologias Abordagens existentes Fases de um pentest Principais técnicas Principais ferramentas Aplicações alvo 2 Hacking

Leia mais

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança + Conformidade Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança e Conformidade via Software-as-a-Service (SaaS) Hoje em dia, é essencial para as empresas administrarem riscos de segurança

Leia mais

Aula 13 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL

Aula 13 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL Aula 13 Mecanismos de Proteção Fernando José Karl, AMBCI, CISSP, CISM, ITIL Agenda ü Mecanismos de Proteção ü Antivírus ü Antimalware ü Antivírus ü Um sistema de sistema de antivírus detecta códigos maliciosos

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação 1 Agenda Segurança em Comunicações Protocolos de Segurança VPN 2 1 Comunicações Origem Destino Meio Protocolo 3 Ataques Interceptação Modificação Interrupção Fabricação 4 2 Interceptação

Leia mais

Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6

Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6 Padrão: Padrão de Segurança de Dados (DSS) Requisito: 6.6 Data: Fevereiro de 2008 Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6 Data de liberação:

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

PEN TEST Afinal, o que é?

PEN TEST Afinal, o que é? PEN TEST Afinal, o que é? Paulo Renato Security Specialist & GNU/Linux LPIC 1 LPIC 2 NCLA DCTS VSP-4 VSTP-4 Apresentação Paulo Renato Lopes Seixas - Especialista em projetos de redes corporativas e ambientes

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 17/IN01/DSIC/GSIPR 00 09/ABR/13 1/10 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações ATUAÇÃO E ADEQUAÇÕES PARA PROFISSIONAIS DA ÁREA

Leia mais

SUMÁRIO. Cercando a instituição. 1 Perfil... 7 O que é perfil?... 8 Por que o perfil é necessário?... 9

SUMÁRIO. Cercando a instituição. 1 Perfil... 7 O que é perfil?... 8 Por que o perfil é necessário?... 9 SUMÁRIO Parte I Cercando a instituição Estudo de caso............................................. 2 ETUQDA É tudo uma questão de anonimato........................ 2 A-Tor-mentando as pessoas do bem...............................

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca <ulisses.cotta@gmail.com> SEG. EM SISTEMAS E REDES 02. Vulnerabilidades em sistemas Prof. Ulisses Cotta Cavalca Belo Horizonte/MG 2015 SUMÁRIO 1) Introdução 2) Vulnerabilidades em sistemas 1. INTRODUÇÃO

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação 1 Agenda Ameaças 2 1 AMEAÇAS 3 Atacantes (Hackers) O hacker norueguês que ficou famoso por criar programas que quebram as proteções contra cópias de DVDs aparentemente atacou de

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

TERMO DE REFERÊNCIA SERVIÇOS DE SUPORTE TÉCNICO EM SISTEMA DE COLABORAÇÃO ZIMBRA 1. OBJETO

TERMO DE REFERÊNCIA SERVIÇOS DE SUPORTE TÉCNICO EM SISTEMA DE COLABORAÇÃO ZIMBRA 1. OBJETO TERMO DE REFERÊNCIA SERVIÇOS DE SUPORTE TÉCNICO EM SISTEMA DE COLABORAÇÃO ZIMBRA 1. OBJETO 1.1. Prestação de serviços de suporte técnico em sistema de colaboração ZIMBRA. 2. DESCRIÇÃO GERAL DOS SERVIÇOS

Leia mais

Negação de Serviço, Negação de Serviço Distribuída e Botnets

Negação de Serviço, Negação de Serviço Distribuída e Botnets Negação de Serviço, Negação de Serviço Distribuída e Botnets Gabriel Augusto Amim Sab, Rafael Cardoso Ferreira e Rafael Gonsalves Rozendo Engenharia de Computação e Informação - UFRJ EEL878 Redes de Computadores

Leia mais

Cisco ASA Firewall Guia Prático

Cisco ASA Firewall Guia Prático Cisco ASA Firewall Guia Prático 2014 v1.0 Renato Pesca 1 Sumário 2 Topologia... 3 3 Preparação do Appliance... 3 3.1 Configurações de Rede... 7 3.2 Configurações de Rotas... 8 3.3 Root Básico... 9 3.4

Leia mais

Copyright 2012 EMC Corporation. Todos os direitos reservados.

Copyright 2012 EMC Corporation. Todos os direitos reservados. 1 IMPLEMENTAÇÃO DO GERENCIAMENTO DE SEGURANÇA AVANÇADA Gerenciando riscos para um mundo digital confiável e sustentável Nak Y. Kwak Brazil & SOLA nak.kwak@rsa.com 2 Agenda Corporação avançada Ameaças avançadas

Leia mais

Aula 14 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL

Aula 14 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL Aula 14 Mecanismos de Proteção Fernando José Karl, AMBCI, CISSP, CISM, ITIL Agenda ü Mecanismos de Proteção ü Antivírus ü Antimalware ü Antivírus ü Um sistema de sistema de antivírus detecta códigos maliciosos

Leia mais

Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS

Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS Tiago da S. Pasa 1 1 Faculdade de Tecnologia Senac Pelotas(FATEC) Rua Gonçalves Chaves, 602 Centro CEP: 96.015-560 Pelotas RS Brasil Curso

Leia mais

Indústria de Cartão de Pagamento (PCI)

Indústria de Cartão de Pagamento (PCI) Indústria de Cartão de Pagamento (PCI) Procedimentos para Scanning de Segurança Administração de Risco Região América Latina e Caribe Indústria de Cartão de Pagamento Procedimentos para Scanning de Segurança

Leia mais

INFORMÁTICA PARA CONCURSOS

INFORMÁTICA PARA CONCURSOS INFORMÁTICA PARA CONCURSOS Prof. BRUNO GUILHEN Vídeo Aula VESTCON MÓDULO I - INTERNET Aula 01 O processo de Navegação na Internet. A CONEXÃO USUÁRIO PROVEDOR EMPRESA DE TELECOM On-Line A conexão pode ser

Leia mais

ANEXO I TERMO DE REFERÊNCIA. Ata de Registro de Preços para Subscrição de Software Sistema Operacional da Plataforma Linux.

ANEXO I TERMO DE REFERÊNCIA. Ata de Registro de Preços para Subscrição de Software Sistema Operacional da Plataforma Linux. ANEXO I TERMO DE REFERÊNCIA Ata de Registro de Preços para Subscrição de Software Sistema Operacional da Plataforma Linux. DIT/GIS TR ARP Licenças de Software Sistema Operacional Linux.doc 1/ 6 TERMO DE

Leia mais

Baseline de Segurança da Informação

Baseline de Segurança da Informação Diretoria de Segurança Corporativa Superintendência de Segurança da Informação Baseline de Segurança da Informação Avaliação de Fornecedor E-mail Marketing SUMÁRIO: 1. SEGURANÇA DA REDE:... 3 2. PATCHES

Leia mais

Campus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com /

Campus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / Campus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA EM REDES Aula N : 04 Tema:

Leia mais

ISP Redundancy e IPS Utilizando Check Point Security Gateway. Resumo

ISP Redundancy e IPS Utilizando Check Point Security Gateway. Resumo ISP Redundancy e IPS Utilizando Check Point Security Gateway Radamés Bett Curso de Especialização em Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, outubro de 2010 Resumo

Leia mais

3 Ataques e Intrusões

3 Ataques e Intrusões 3 Ataques e Intrusões Para se avaliar a eficácia e precisão de um sistema de detecção de intrusões é necessário testá-lo contra uma ampla amostra de ataques e intrusões reais. Parte integrante do projeto

Leia mais

APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN www.brunoguilhen.com.br. Prof. BRUNO GUILHEN

APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN www.brunoguilhen.com.br. Prof. BRUNO GUILHEN APRESENTAÇÃO DO CURSO Prof. BRUNO GUILHEN www.brunoguilhen.com.br Prof. BRUNO GUILHEN MÓDULO I - INTERNET Aula 01 O processo de Navegação na Internet. O processo de Navegação na Internet A CONEXÃO USUÁRIO

Leia mais

Teste de Invasão de Rede

Teste de Invasão de Rede Teste de Invasão de Rede Fernando José Karl, CISSP fernando.karl@gmail.com 25/3/2011 UNISINOS 2011-1 1 Alerta Invadir redes é crime previsto em códigos penais de diversos países. Esta disciplina não tem

Leia mais

1. Descrição dos Serviços de Implantação da SOLUÇÃO

1. Descrição dos Serviços de Implantação da SOLUÇÃO Este documento descreve os serviços que devem ser realizados para a Implantação da Solução de CRM (Customer Relationship Management), doravante chamada SOLUÇÃO, nos ambientes computacionais de testes,

Leia mais

Objetivos deste capítulo

Objetivos deste capítulo 1 Objetivos deste capítulo Identificar a finalidade de uma política de segurança. Identificar os componentes de uma política de segurança de rede. Identificar como implementar uma política de segurança

Leia mais

Segurança de Redes. Introdução

Segurança de Redes. Introdução Segurança de Redes Introdução Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Apresentação Ementa Conceitos de Segurança. Segurança de Dados, Informações

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Segurança de Sistemas

Segurança de Sistemas Faculdade de Tecnologia Senac Curso de Análise e Desenvolvimento de Sistemas Segurança de Sistemas Edécio Fernando Iepsen (edeciofernando@gmail.com) Segurança em Desenvolvimento de Software Segurança do

Leia mais

Gerência de Redes de Computadores Gerência de Redes de Computadores As redes estão ficando cada vez mais importantes para as empresas Não são mais infra-estrutura dispensável: são de missão crítica, ou

Leia mais