Tenho falado aqui continuamente que, apesar deste blog tratar bastante sobre segurança da informação e algumas vezes até sobre invasões de sistemas, não aprovo a prática de invadir computadores (se é que alguém nesse mundo liga para o que eu aprovo ou deixo de aprovar ;o)). Mesmo correndo o risco de me tornar muito repetitivo, quero deixar claro mais uma vez que o objetivo desse blog é puramente educacional. Costumo fazer posts com informações para pessoas que estão iniciando na área de TI, outros com dicas de ferramentas e aplicativos que julgo serem interessantes; alguns posts servem como material de referência às palestras que tenho feito voluntariamente e algumas postagens são específicas para meus alunos, como complemento as atividades vistas em aula.
Em contrapartida, é fato que para aprender a se defender é preciso entender como os ataques acontecem, e aqui reside a motivação educacional das invasões. Nenhum dos assuntos aqui abordados é novidade para quem já está na área de TI há algum tempo. Pelo contrário, quem atua na área de segurança em TI sabe que todos os exemplos expostos aqui são amplamente difundidos e estudados nas escolas técnicas, universidades, cursos e afins. Muito do que exponho aqui inclusive, aprendi durante minha formação acadêmica (que infelizmente não foi barata), e nisso reside minha necessidade de "compartilhar informação", pois nem todos têm acesso a ela. Além disso, também recebi muita ajuda durante minha formação, tanto de professores quanto de outros colegas e até mesmo de profissionais que eu sequer conheci, mas que participaram voluntariamente de uma pesquisa sobre metodologias de Pentest que utilizei no meu artigo da Pós Graduação.
Esse compartilhamento de informações é também um dos motivos pelos quais mantenho as palestras gratuitas, pois quanto mais pessoas estiverem criando senhas seguras, expondo menos informações sensíveis, utilizando mais "Bom Senso" e sendo mais criteriosos na navegação, menos casos de invasões bem sucedidas serão computadas, menos hoaxes se espalharão pela web, mais "limpa" vai ficando a grande rede. É utópico pensar que dada a gama de ataques aos quais estamos expostos, esse trabalho de formiguinha vai trazer algum resultado? Talvez, mas como costumo comentar, se entre mil pessoas que me ouviram, uma mudou seus hábitos relacionados a segurança digital, então a missão foi cumprida.
Voltando ao assunto principal, "Ok, não é legal invadir computadores alheios, mas então como praticar?" Resposta: Em ambientes controlados!!! Existem várias iniciativas no sentido de disponibilizar máquinas virtuais com diversas vulnerabilidades, de forma que você possa testar as ferramentas num ambiente controlado que não trará dano a nenhum computador ou rede de terceiros. No blog "Mundo Tecnológico" do Diego Piffaretti, tem uma bela compilação de projetos que incentivam essa prática da invasão como método de aprendizagem para que você possa testar e aprimorar seus conhecimentos. Inclusive com projetos do OWASP, que é referência em segurana de aplicações web. Algumas dessas máquinas eu trabalho em aula com meus alunos, vale a pena baixar e testar.
Segue novamente o link do blog:
http://mundotecnologico.net/2012/10/04/montando-um-laboratorio-completo-para-pentest/
Aqui o link para o Virtual Hacking Lab no Source Forge:
http://sourceforge.net/projects/virtualhacking/files/os/
Esteja sempre consciente dos seus atos e bons estudos.
t+
Cristiano
"It's nothing but a network layer 8 issue" - "There's no place like 127.0.0.1"
Cristiano
"It's nothing but a network layer 8 issue" - "There's no place like 127.0.0.1"
Nenhum comentário:
Postar um comentário