[OFF-TOPIC] ASTI - Agência de Segurança em Tecnologia da Informação

[andrehorta]

Prezados

Peço licença para utilizar esse fórum para criação deste tópico, mas creio que seja de interesse de vários aqui. Estou criando a ASTI - Agência de Segurança em Tecnologia da Informação, a qual terá como objetivo vender "consultoria" para grandes indústrias do Brasil, no sentido de proteção contra invasões.

Já conversei com clientes em potenciais, todos indústrias que faturam bilhões por ano, empresas essas que 1 minuto com um sistema de produção fora do ar gera milhões de prejuízo, e todos demonstraram MUITO interesse em testar suas proteções contra invasores ( no popular hacker). O trabalho consiste em:

1) Invadir e tirar um sistema do ar de dentro e de fora da rede da empresa;

2) Prestar consultoria para proteger e corrigir falhas;

Alguns aqui sabem que já tenho uma empresa em Belo Horizonte e não tenho conhecimento nem interesse em aprender a invadir sistemas, sendo assim, estou recrutando profissionais com conhecimentos para fazê-lo. Lembrando que não iremos praticar crimes, pois estaremos sendo contratados pelos clientes.

Considerações:

A) Os contratos serão "gordos" e os agentes de segurança da ASTI receberão pagamentos (em bitcoin, real ou dólar) de acordo com seu nível de conhecimento, além de bônus e com certeza muito acima da maioria das empresas de TI paga para funcionários;

B) Não serão considerados funcionários, serão considerados agentes de alto nível;

C) Somente precisarão sair de sua residência quando for necessário ir até o cliente para realizar o trabalho.

D) Preciso dar uma resposta rápida aos potenciais clientes, indicações são bem vindas.

E) Será realizado teste de invasão para entrar na agência, de forma discreta.

F) Se algum crítico dizer que estou viajando, sinto muito, mas só estou atendendo uma demanda de mercado, SÓ isso...

Agentes interessados entrem em contato via MP, dúvidas postem aqui.

[augustocroppo]

Prezados

Peço licença para utilizar esse fórum para criação deste tópico, mas creio que seja de interesse de vários aqui. Estou criando a ASTI - Agência de Segurança em Tecnologia da Informação, a qual terá como objetivo vender "consultoria" para grandes indústrias do Brasil, no sentido de proteção contra invasões.

(...)

E) Será realizado teste de invasão para entrar na agência, de forma discreta.

(...)

Parabens pela iniciativa Andre!

Coincidemente eu estava planejando abrir uma empresa de consultoria para assuntos de seguranca tecnologica. Tenho mais de 15 anos de experiencia em TI com especializacao em varias areas. Parte da minha experiencia foi obtida em Londres quando morei na Inglaterra por quase cinco anos. Seguranca em TI e uma de minhas especializacoes.

Pode elaborar mais sobre o item E? Pois sinto lhe informar que "invasao" nao e facil de realizar. Ha muitos rumores sobre a possibilidade de "invadir" um computador ou um sistema.

[kautela]

Estou caminhando na área, talvez posso ajudar ")
http://drupal.org/files/issues/watchdog-ok.png Cursos Concluidos
CLAVIS - Teste de Invasão em Redes e Sistemas
CLAVIS - Auditoria de Segurança em Aplicações Web.
OYS - Monitoramento e Detecção de Intrusão.
NETTS - CCNA Network.

Andre, crie um topico no forum istf.com.br, tem muita gente qualificada la.
Para mim, o melhor forense computacional atualmente e o Luiz Viera > hackproofing.blogspot.com.br
um dos donos e professor da OYS Academy


@Off-topic
andrehorta, te respeito bastante viu, se tu ja nao e rico, vai ficar rápido...
toda hora vejo você aqui no fórum com uma nova idéia, e todas inovadoras, sempre trazendo coisas boas para o mercado de bitcoins aqui no brasil e idéias boas como a acima! parabéns

[augustocroppo]

Andre, esta e a segunda vez que lhe faco uma pergunta e voce nao responde...

Gostaria de sua resposta quanto a questao lancada:

Pode elaborar mais sobre o item E?

[andrehorta]

Andre, esta e a segunda vez que lhe faco uma pergunta e voce nao responde...

Gostaria de sua resposta quanto a questao lancada:

Pode elaborar mais sobre o item E?

Desculpem, estou trabalhando todos dias até as 22:00 da noite (inclusive fds).

E) Exemplos de testes:

Dado um IP invadir a máquina e pegar um arquivo e colocar virus)
Invasão social (enviar um executável por e-mail, simular um usuário abrindo, pegar um arquivo da máquina e colocar virus)

O que acha? Lembrando que não sou especialista em segurança, sou empresário.

[augustocroppo]

Desculpem, estou trabalhando todos dias até as 22:00 da noite (inclusive fds).

E) Exemplos de testes:

Dado um IP invadir a máquina e pegar um arquivo e colocar virus)
Invasão social (enviar um executável por e-mail, simular um usuário abrindo, pegar um arquivo da máquina e colocar virus)

O que acha? Lembrando que não sou especialista em segurança, sou empresário.

Interessante, porem improvavel. O que voce sugere e parte dos rumores sobre seguranca em TI. Nao ha como invadir um computador apenas utilizando o IP. Para tal evento acontecer e necessario que o dispositivo o qual utiliza aquele IP ofereca um servico de autenticacao para conexoes externas. Por exemplo, um simples computador com MS Windows instalado e conectado a Internet e impossivel de ser invadido, exceto se o MS Windows tem algum servico ativo o qual permita receber pedidos de conexao externa. Alem disto, o invasor precisa adivinhar o nome de usuario e senha requerido para a autenticacao. E mesmo que a autenticacao seja ultrapassada, o invasor so pode alterar dados no sistema se a autenticacao fornece a ele credenciais de adminstrador.

Resumindo, o seu teste e impossivel e nao representa os riscos de seguranca existentes para computadores pessoais, muito menos para redes.

Invasão social (enviar um executável por e-mail, simular um usuário abrindo, pegar um arquivo da máquina e colocar virus)

Este e um teste bastante provavel e representa um dos mais comuns riscos de seguranca em TI. Muitas empresas tem a rede comprometida porque os empregados abrem arquivos executaveis que recebem por email sem qualquer receio. Quando trabalhei na Prefeitura de Campinas este era o principal problema de toda a rede do poder publico municipal. Porem, pior que isto e quando os usuarios trazem dispositivos de armazenagem pessoal infectado e conectam no computador da empresa. Este foi um dos principais desafios do meu ultimo trabalho em Londres.

Outro risco que voce nao esta relevando e a famosa engenharia social. Este e o maior dos riscos, embora nao seja o mais comum.

Vou aguardar seu comentario para que possamos elaborar mais sobre este assunto. Aprecio sua iniciativa e espero que sua empresa forneca um servico de consultoria de forma apropriada.

[andrehorta]

Obrigado pela contribuição!

[kautela]

Interessante, porem improvavel. O que voce sugere e parte dos rumores sobre seguranca em TI. Nao ha como invadir um computador apenas utilizando o IP. Para tal evento acontecer e necessario que o dispositivo o qual utiliza aquele IP ofereca um servico de autenticacao para conexoes externas. Por exemplo, um simples computador com MS Windows instalado e conectado a Internet e impossivel de ser invadido, exceto se o MS Windows tem algum servico ativo o qual permita receber pedidos de conexao externa. Alem disto, o invasor precisa adivinhar o nome de usuario e senha requerido para a autenticacao. E mesmo que a autenticacao seja ultrapassada, o invasor so pode alterar dados no sistema se a autenticacao fornece a ele credenciais de adminstrador.

Resumindo, o seu teste e impossivel e nao representa os riscos de seguranca existentes para computadores pessoais, muito menos para redes.

Bom... vamos analisar...

Nao ha como invadir um computador apenas utilizando o IP.

Meia verdade, sabendo apenas o IP nao quer dizer que ja esta invadido, tem N variáveis no jogo, SO que esta rodando na maquina, dos servicos, etc...
Porem, um ataque muito comum hoje e o DDoS, que e preciso apenas pegar o IP do alvo.
e uma empresa de grande porte que nao pode parar, precisa amenizar ao máximo esses problemas, testando seus servidores e ja se precavendo.

Para tal evento acontecer e necessario que o dispositivo o qual utiliza aquele IP ofereca um servico de autenticacao para conexoes externas.

Nao, para invadir um servidor nao precisa estar obrigatoriamente rodando um servidor de autenticação, se a distro for antiga e o hacker tiver um exploit, ja era.

o invasor precisa adivinhar o nome de usuario e senha requerido para a autenticacao

Adivinhar usuario e senha e realmente dificil, mas ele pode usar um Brute Force para testar a complexidade das senhas

E mesmo que a autenticacao seja ultrapassada, o invasor so pode alterar dados no sistema se a autenticacao fornece a ele credenciais de adminstrador.

depende, posso entrar como usuário sem permissão e rodar um exploit de escalacao de privilégios e terminar em root ou administrador

Resumindo...
Acho que um bom PenTest nao deixa escapar nada, testar todas as possíveis e impossíveis possibilidade de se invadir um sistema.
Vale TUDO, para conseguir o objetivo.

[DanielBTC]

Mais uma vez parabens pela iniciativa Andre !
Até o nome, ASTI, foi muito bem escolhido. Te desejo muito sucesso! =)
A área de segurança está em plena expansão seguindo o aumento do numero de tentativas de invasão e a sofisticação dos ataques atuais.

Mas achar profissionais bons nessa area é meio complicado mesmo, voce pode usar o seu primeiro
contratado como um auxiliar para bolar um esquema de recrutamento dos outros profissionais.

Ele cuidaria de colocar no ar o seu pentest server com os serviços certos no ar e muito bem configurados!
O cara poderia deixar o curriculo dele lá no servidor caso conseguisse invadir heheheh

Um Windows ligado não é um bom caso de teste.

Até mesmo por que, quem quer invadir um sistema desses? Ele não tem nada a 'oferecer' então não é um bom 'alvo'.


Se eu fosse da area de segurança iria adorar trabalhar por Bitcoins =)