O que fazer para trabalhar com Segurança da Informação? Via crucis do Pentester

AGRADEÇA AO AUTOR COMPARTILHE!

Periodicamente eu recebo essa pergunta pelo meu site pessoal e achei que seria interessante falar sobre o assunto.

Por onde começar? Bem, se você me perguntar qual curso universitário deve fazer para seguir na área de segurança da informação, eu diria que Redes de computadores é o melhor caminho, pois você vai aprender e entender sobre como é o funcionamento da internet (redes em geral) e principalmente vai estudar sobre protocolos, que na minha opinião é a base para a área, mas lembrando que isso é apenas minha visão, muitas outras pessoas vão dizer que Ciência da computação é melhor e tantos outros cursos por aí, enquanto outras pessoas vão dizer que nem faculdade precisa fazer.

Entender os fundamentos da ISO 27002 e o restante da família ISO 27 também é um bom caminho a seguir, bem como outros padrões que existem por ai, como PCI DSS e Sox (Sarbanex-Oxley).

Onde saber mais sobre isso? Em relação a ISO você pode fazer um curso para tirar a certificação. Existem duas boas plataformas para fazer curso online, TI Exames (cupom PTI2018 = 12% de desconto!) e PMG Academy.

Entender sobre Direito Digital também é necessário. Para isso, procure por livros da Patrícia Peck, ela é sem dúvida uma das maiores autoridades no assunto aqui no Brasil.

Cursos de Pentest, onde fazer?

Existem vários sites com vários cursos abordando o assunto, vou recomendar aqui alguns cursos.

No site Udemy existem dezenas de cursos voltados para Ethical Hacking, eu recomendo muito o curso do Marcos Flávio que é um curso muito didático, embora não seja feito para pessoas que são leigas em Linux, mas é possível acompanhar e aprender muito com o curso.

cursos_001

Tem também o curso de pentest da eSecurity, eu já fiz esse curso há muitos anos atrás e me ajudou bastante a entender conceitos mais profissionais como, por exemplo, criação de relatórios.

Também voltado para segurança ofensiva temos o curso da Desec do Ricardo Longatto. Já vi diversos vídeos dele no Youtube e achei o conceito muito bom, acredito que o curso completo mantenha o mesmo nível de qualidade.

E claro, o famigerado curso da Offensive Security que, no momento, está custando U$ 800,00. Embora caro, o valor inclui o curso com uso dos laboratórios deles e um voucher para fazer a prova de certificação que dura 24 horas para comprometer um ambiente com mais ou menos 5 servidores e mais 24 horas para criar o relatório técnico sobre o pentest executado. Conheço algumas pessoas que fizeram a prova e todas dizem que o curso é incrivelmente bom, o conteúdo do curso você pode verificar no site oficial ou no link AQUI.

Onde treinar o conhecimento?

Você pode criar ambientes para treinamento, como o Metasploitable, ou fazer download de máquinas no site Vulnhub. Também pode usar o site Hack The Box para treinar, fiz uma postagem sobre ele AQUI. Fazer ambientes para treinamento é importante principalmente para verificar e validar o que acontece do outro lado, ou seja, do lado do cliente (ou vítima se assim preferir). Por exemplo, abaixo coloquei a imagem de um scan feito pelo Nmap no Shellzen, é possível verificar a “sujeira” que ele vai deixando nos logs, saber essas coisas é importante para, por exemplo, tentar burlar um firewall.

nmap-sujeira

Livros?

Bom, particularmente não gosto muito de comprar livros sobre ferramentas, pois tudo muda muito rapidamente, porém, temos o livro da Georgia Weidman, chamado “Teste de Invasão – Uma introdução prática ao hacking” que na minha opinião é uma leitura obrigatória para quem quer conhecer mais sobre pentest.

livro_001

livro_002

livro_003

É bom também sempre se manter informado, então vou listar alguns canais no Youtube e alguns Podcasts que costumo acompanhar.

canais_001

canais_002 canais_003 canais_004

Gosto de ouvir alguns Podcasts também relacionados com segurança da informação, como o SegurançaLegal e SegInfoCast.

Em relação a sites, gosto muito do conteúdo do site do Brian Krebs, que na verdade foi o que me motivou a criar o site shellzen, pois acho muito interessante a parte criminal da Segurança da Informação. O site do CERT Brasil também tem bastante conteúdo, inclusive estatísticas relacionadas com o crime virtual. Tem também o site do The Hacker News que sempre tem conteúdo muito atualizado e essa semana achei o site Defcon-Lab e achei o conteúdo também muito interessante.

E programação?

Bom, você não precisa ser o mestre da programação mas é preciso entender o básico. Conhecer de Shell Script, Power Shell e Python é sempre útil, principalmente Python, muitas das ferramentas utilizadas em pentest são feitas em Python.

Não é apenas de Linux que vive o pentest, é preciso conhecer o ambiente Windows também, grandes empresas usam Windows com Active Directory, WSUS e afins. É preciso estudar e entender essas plataformas, hackear um sistema Windows não é tão simples como parece, fazer testes agredindo um Windows XP de 1722 é muito fácil, agora comprometer um Windows 10 ou um Windows Server 2012 R2 já é mais complicado, então não fique preso em apenas entender o sistema Linux.

Conhecer de ambiente web também é preciso, então aprenda e estude como funciona um Nginx, Apache, Tomcat, etc. Crie servidores em sua máquina para isso, use Vagrant ou Docker para deixar o processo mais rápido e não comprometer seu tempo de estudos.

Faça estudos, tenha uma conta no Shodan para estudar ambientes, fazer testes e verificar possibilidades. Eu tenho uma conta no Shodan e, se não me engano, paguei U$49,00 para acesso por toda a vida com direito de usar sua API que pode ser facilmente integrada com ferramentas como Maltego, Metasploit e Recon-NG. Quando chegou ao grande público a Botnet Mirai e sua destruição em massa eu comecei a fazer alguns testes, estava fazendo uma varredura em alguns ranges de IP do Brasil, fiz um script com Nmap para varrer os ranges de IP em busca da porta 23 aberta e depois jogava esse resultado no Hydra para validar se conseguia acessar o dispositivo usando uma wordlist simples. Crie um servidor na Digital Ocean apenas para isso… Infelizmente tive que interromper a pesquisa, pois acabei caindo no range de IP de uma grande universidade e isso poderia implicar em medidas judiciais.

Um outro experiento que fiz foi criar servidores Linux, também na Digital Ocean, e deixar a senha do usuário root bem fácil, como password ou 123456, por exemplo. Queria verificar o que os hackers fazem quando acessam um servidor, ainda vou postar esse estudo aqui no site.

Mantenho também um Bot no Twitter chamado DjulianBot que fica enviando a cada hora os valores do dólar, bitcoin e litecoin. Fiz inicialmente em PHP e depois mudei para Python, estou pensando em criar mais atividades para esse bot, é uma forma de treinar a habilidade em programação e de fato criar algo com um objetivo.

twitter_bot

Metodologias

O pentest é executado com base em metodologias. Claro que muitas vezes elas não são seguidas 100%, mas é preciso conhecer e entender para ter um norte para começar um pentest, hackear coisas aleatórias de madrugada é muito fácil, agora fazer algo com base em estudos e principalmente conseguir extrair informações e traduzi-las para pessoas leigas é que é o complicado. No site OWASP tem referencias sobre as principais metodologias utilizadas para um pentest, algumas mais simples, outras mais complicadas e fechadas, mas é sempre bom entender. Atualmente tenho pesquisado muito sobre a metodologia “Kill Chain“, que tem como foco a simulação de um ataque persistente, também conhecido como APT.

Onde estão as vulnerabilidades?

Eu costumo acompanhar em dois sites: o CX Security e o Security Focus, todos os dias são descobertas novas vulnerabilidades.

E o mercado de trabalho?

Bom, se você acha que sabendo essas coisas vai arrumar um emprego facilmente, sinto informar que a resposta é não.

Também não adianta procurar por vagas como hacker, pentester ou ethical hacker. As vagas de segurança estão como analista de segurança da informação Junior, Pleno ou Sênior.

Como entrar no mercado?

Bem, a grande maioria entra vindo de outras áreas, como analista de redes ou sysadmin. Lembra que falei do curso de redes de computadores no começo da postagem? Pois é, dificilmente você vai entrar em uma empresa como analista de segurança da informação sem nunca ter trabalha na área de TI em alguma outra coisa. E também não adianta muito você ficar por aí hackeando sistemas de empresas e depois enviando e-mail falando que eles tem um problema e que você é a única pessoa que pode ajuda-los, particularmente conheço apenas uma pessoa que conseguiu emprego assim.

Faça um perfil no Linkedin, seja ativo, seja sério, coloque os cursos que você já fez, converse com as pessoas, já falei com várias pessoas no Linkedin e a grande maioria é bem aberta a manter contatos, inclusive dando dicas valiosas.

Crie um site, faça postagens, estudos e tudo mais, isso ajuda a identificar se o candidato é sério mesmo ou quer apenas brincar de hacker do Anonymous.

Escreva direito, acho incrível a capacidade dos jovens de escrever errado. Fico vendo postagens no Facebook e comentários em vídeos no Youtube e chega a dar medo a quantidade de erros de português. Como você vai fazer uma apresentação em PPT para sua liderança escrevendo tudo errado? Saiba falar em público! O perfil de hacker obscuro que não tem capacidades sociais como o Elliot em Mr Robot não funciona no mundo real. O analista de segurança precisa falar bem, pois muitas vezes será preciso fazer apresentações ou treinamentos para pessoas leigas em TI. Tenha sempre em mente a frase de Albert Einstein:

Se você não consegue explicar algo de modo simples é porque não entendeu bem a coisa“.

Consegue explicar para um leigo o que é cache? Handshake? DDOS? Botnet? Malware? Você precisa ter essa capacidade.

Seja político. Muito do trabalho de um analista de segurança da informação é convencer gerentes e líderes de que tal coisa precisa ser melhorada. Possivelmente você vai ficar grande parte do seu tempo em burocracias, criando documentos, políticas de segurança, conversando com fornecedores, etc.

Vá em eventos de segurança. Acho que a época nunca foi tão boa para isso, existem muitos pelo Brasil, como o Security Leaders e RoadSec.

Muitas vagas no mercado ditas serem de analista de segurança da informação são, na verdade, de SysAdmin, em que pedem pessoas com conhecimentos em firewall, endpoint, etc.

Estude ferramentas do mercado, como Palo Alto, Fortinet, SolarWinds, F5, Kaspersky, etc.

Quais ferramentas? Gateways, firewall, SIEM, DLP, Endpoint ,etc. Existem muitas por aí, tanto open source como pagas.

Espero que essa postagem tenha ajudado. Utilize a área de comentários abaixo para complementos e perguntas.

Desejo Sucesso!

AGRADEÇA AO AUTOR COMPARTILHE!

2 Comentários

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">