jun 08

Identificar e eliminar ameaças em Aplicações Web e Mobile

Garanta a segurança de suas Aplicações Web

Garanta a segurança de suas Aplicações Web

As Aplicações Web estão cada vez mais presente no cotidiano das empresas, otimizando processos e reduzindo o tempo gasto em operações. Os sites que trabalham com comércio eletrônico, por exemplo, utilizam Aplicações Web e Mobile para consultar dados e executar as vendas. Sem dúvida, o desenvolvimento de aplicações representa uma evolução nos processos. O perigo, porém, é que algumas aplicações podem impactar na segurança do negócio que as utilizam, como explicamos no vídeo abaixo.

Isso acontece porque o desenvolvimento das aplicações visa a questão operacional e nem sempre verifica os aspectos de Segurança da Informação, e acaba deixando o negócio inseguro. Este tipo de ameaça pode ser mitigada com uma rigorosa Análise de Aplicações Web e Mobile, que busca, identifica e elimina vulnerabilidades que oferecem riscos relacionados à Segurança da Informação. A análise também pode ajudar a reduzir custos no ciclo de desenvolvimento de aplicações ao minimizar os riscos.

Com grande expertise no trabalho de Análise de Aplicações Web, a Estuário TI desenvolve pesquisas constantes para a identificação de vulnerabilidades desconhecidas e nunca antes publicadas. Além de encontrar, identificar e corrigir, a Estuário documenta as falhas encontradas no Wing, um software online de gestão de vulnerabilidade desenvolvido pela própria EstuárioTI. O Wing oferece a oportunidade de criar uma base de conhecimento sobre o estado da suas aplicações no momento do teste e compartilhar estas informações com colaboradores da empresa.

Por meio de um dashboard simples e intuitivo é possível ter uma visão ampla e detalhada dos resultados, atribuir quem deve fazer correções e acompanhar o status das tarefas, com gráficos e métricas. Faça o download do nosso Datasheet clicando aqui. Suas Aplicações estão seguras? Solicite uma Análise de Aplicações Web e Mobile da Estuário TI pelo email:

Screen Shot 2015-06-08 at 3.18.02 PM

ago 25

Framework MIMOSA é apresentado no Mind The Sec

Mimosa

O CTO da EstuárioTI, Rafael Silva, apresenta nesta quarta-feira a pesquisa “µMIMOSAWRITERROUTER – Abusing EPC on Cisco Router to collect data”, no Mind The Sec, que acontece nos dias 26 e 27 deste mês. O estudo, realizado em parceria com o pesquisador Joaquim Espinhara, é um framework que pode ser um bom aliado para detectar ameaças e fazer testes de intrusão em roteadores Cisco, em ambientes controlados.

“MIMOSA é capaz de capturar e exportar pacotes de roteadores Cisco, identificando informações sensíveis como credenciais de acesso, cartões de crédito e e-mails, além de ameaças na rede como worms, malwares, phishings, sites maliciosos e botnets“, explica Rafael Silva.

 

Framework abusa funcionalidade de roteadores Cisco

Framework abusa funcionalidade de roteadores Cisco

Esta é a quinta vez que MIMOSA é apresentada em conferências nacionais e internacionais de Segurança da Informação este ano. A primeira foi na Infiltrate Conference, em Miami (USA); na Confidence Conference, na Cracóvia (Polônia); na You Shot The Sheriff Conference, em São Paulo; e na Hack In The Box, em Amsterdam (Holanda), e agora, no Mind The Sec.

 

jul 27

Estuário TI participa de painel sobre empreendedorismo na Campus Party Recife

 

CTO da Estuário, TI, Felipe Maciel, fala sobre empreendedorismo

CEO da Estuário, TI, Felipe Maciel, fala sobre empreendedorismo

O CEO da EstuárioTI, Felipe Maciel, participou da quarta edição da Campus Party Recife, realizada na última semana, na Capital pernambucana. Ao lado de outros empresários da área de tecnologia, Felipe compôs um painel apresentado no Palco Lua, cujo tema foi “Produto ou Serviço: eis a questão”.

O debate, mediado pelo empresário Guga Gorenstein, abordou os principais questionamentos que acometem empreendedores, iniciantes ou experientes, na hora de começar um serviço e migrar para produto ou vice-versa. Se por um lado a prestação de serviço parece ser mais fácil de oferecer e captar clientes, o produto aparenta mais facilidade para escalar e gerar maior lucro em menor tempo. Porém ambos são cercado de variáveis e riscos.

Fábio Freire, fundador da FindUP, fala sa sua experiência.

Fábio Freire, fundador da FindUP, fala sa sua experiência com serviço e produto.

Para Felipe, o caminho deve ser feito com base em planejamento e análise de cenário. “Uma empresa não deve se limitar a ser apenas a produto ou serviço. A pessoa para empreender tem que ter conhecimento sobre o que vai fazer. (…) A gente começou como serviço e também virou produto. Vimos que criando o produto seria uma solução para alguns clientes”, explica.

Todo empreendedor sabe que tanto o serviço quanto o produto podem oferecer oportunidade, lucro e, claro, riscos. Muitas vezes a linha que os separa é tênue, por isso muitas empresas circulam pelos dois lados. É o caso da EstuárioTI que, a partir de demandas de serviços, desenvolveu dois produtos: El Pescador, uma plataforma educativa de combate ao phishing; e o Avisa.la, um serviço online de monitoramento de segurança e disponibilidade.

“A nossa expertise ainda é no serviço, mas já criamos dois produtos dentro da Estuário. A gente oferece os produtos para os clientes dos serviços e para os clientes de fora”, comenta Felipe.

Segundo Lucas Marinho, co-fundador da Guava, os dois modelos têm seu lado bom. “O produto você solta no mundo e tem que dar um empurrão, mas consegue descansar se automatizar. No caso do serviço, se você para de vender, para de ganhar. Porém com serviço você consegue produtificar e vender algo mais concreto para o cliente”.

O produto é feito para resolver um problema, diz Fábio Freire, fundador da FindUP. “Quando o cliente tem um problema, ele quer resolver. E aí o produto vira uma solução. E o ideal é que o problema seja resolvido de forma automatizada, sem você ter que colocar a mão”, orienta.

Américo Pereira,

Américo Pereira, da Escribo, alerta para a avaliação dos riscos que envolvem cada negócio.

Porém, criar um produto também envolve riscos, é preciso ter cuidado e verificar a viabilidade do negócio. Segundo Americo Amorim, da empresa Escribo, criar um produto pode ser muito arriscado. “É muito caro para criar um produto. Se você der a sorte de criar o produto certo, ótimo. Senão, você pode acabar gastando muito dinheiro e matar a sua empresa”, alerta.

Independente do formato, o grande desafio é descobrir a forma mais adequada de ingressar e se posicionar no mercado. Seja enquanto produto ou serviço, é fundamental oferecer soluções com qualidade técnica e compromisso para os clientes. E mesmo depois de solidificar uma base no mercado, nunca deixar de observar o cenário. Pode ser que o futuro reserve um lugar para a empresa no lado oposto ao de agora.

-> Assista o que rolou no debate:

abr 24

Pesquisa da Estuário TI percorre palestras internacionais

CTO da empresa, Rafael Silva, apresenta em diversos países palestra sobre abuso de funcionalidade de roteadores Cisco. Ação permite  coleta de dados em massa

Funcionalidade é encontrada em roteadores Cisco

Funcionalidade é encontrada em roteadores Cisco

Uma pesquisa desenvolvida pelo CTO da EstuárioTI, Rafael Silva, revelou que a partir de uma funcionalidade encontrada em roteadores Cisco, é possível capturar, analisar e exportar os dados que trafegam na rede. O estudo “µMIMOSAWRITERROUTER – Abusing EPC on Cisco Router to collect data”, realizado em parceria com o pesquisador Joaquim Espinhara, vai ser apresentando em conferências de Tecnologia e Segurança de quatro países até o fim de maio.

A apresentação da primeira versão de MIMOSA foi feita entre os dias 16 e 17 deste mês, durante a Infiltrate Conference, em Miami (USA), promovida pela Immunity. No envento, Rafael explicou que o trabalho resultou na criação de um framework, MIMOSA, que pode ser um bom aliado para detectar ameaças e fazer testes de intrusão em roteadores Cisco, em ambientes controlados.

“MIMOSA é capaz de capturar e exportar pacotes de dados, identificar informações sensíveis como credenciais de acesso, cartões de crédito e e-mails, além de ameaças na rede como worms, malwares, phishings, sites maliciosos e botnets“, explica Silva. De acordo com ele, o framework é funcional para serviços de threat intelligence, para identificar informações sensíveis e até fazer teste de intrusão (pentest).

A próxima palestra será na Confidence Conference, na Cracóvia (Polônia), que será realizada nos dias 25 e 26 de maio. No dia 28, MIMOSA será apresentada na You Shot The Sheriff Conference, em Sao Paulo. Em seguida, o trabalho será exposto na Hack In The Box, em Amsterdam (Holanda), que ocorre entre os dias 26 e 29 de maio.

 

ago 22

El Pescador – Phishing com educação

Phishing com Educação

 

A EstuárioTI acaba de lançar “El Pescador“, a primeira plataforma de phishing educativo no Brasil. Phishing (pescar em inglês) é um modelo sofisticado de ataque feito por meio de emails maliciosos, que têm como objetivo “pescar” dados sensíveis dos usuários ou invadir computadores. Nesse sentido, El Pescador chega ao mercado para oferecer campanhas de phishing com o intuito de educar os usuários a não sofrer esse tipo de ataque.

Após o envio da campanha, o gestor tem acesso a um relatório on-line com diversas informações (e-mail, nome, versão do navegador, etc) de quem foi vítima do nosso ataque. Em seguida, todas as vítimas são direcionadas para um processo educativo com vídeos e uma grande documentação sobre o tema.“, explica o CTO da EstuárioTI, Rafael Silva.

Para mais informações, acesse http://www.elpescador.com.br

jan 09

Vaga: Administrador de Sistemas / SysAdmin

A EstuarioTI está procurando um(a) Administrador(a) de Sistemas (SysAdmin) para somar junto a equipe. Quer trabalhar muito? Com projetos interessantes? Participar de uma empresa nova, divertida, ágil e ainda ganhar bem por isso? Envie seu CV e um texto char buff [140];  explicando porque você deveria ser contratado para:
jobs


_Responsabilidades




    

  • [important]Construir, administrar e manter infra-estruturas e serviços de TI seguros.[/important]
    • 

  • [important]Implantar, administrar, monitorar e manter ambientes com vários sistemas operacionais, servidores, serviços e ativos de rede.[/important]
    • 

  • [important]Manter-se constantemente pensando em como melhorar a performance e manter a segurança e a disponibilidade sistemas administrados.[/important]
    • 

  • [important]Analisar, isolar e resolver problemas. Um Leão por hora.[/important]
    • 

  • [important]Monitorar serviços, redes e servidores para garantir a segurança e disponibilidade.[/important]
    • 

  • [important]Documentar todos os procedimentos e ações de suporte.[/important]
    • 





    

  • [important]Executar e verificar tarefas de suporte tais como: Backups, regras de firewall e aplicação de atualizações e Correções.[/important]
    • 









_Conhecimentos necessários






    

  • [important]Experiência com administração de redes.[/important]
    • 

  • [important]Experiência no gerenciamento e administração de servidores Linux/Unix.[/important]
    • 

  • [important]Experiência com o uso, implementação, gerenciamento e manutenção de: MySQL, PostrgreSQL, Nginx, Apache, DNS, OpenVPN, DHCP, Tomcat, Jboss, iptables, Rails, NFS e quase tudo que o possa ser colocado em produção.[/important]
    • 

  • [important]Experiência em desenvolvimento de scripts: Bash, Ruby, Perl, Python, etc.[/important]
    • 

  • [important]Inglês (leitura/escrita) Fluente.[/important]
    • 





_Características pessoais necessárias






    

  • [important]Excelente capacidade de comunicação verbal e escrita.[/important]
    • 

  • [important]Bastante desejo e capacidade de aprender e ensinar[/important]
    • 

  • [important]Capacidade de persistir na resolução de dificuldades.[/important]
    • 

  • [important]Gostar de ler e pesquisar, ser fuçador.[/important]
    • 

  • [important]Bom humor :)[/important]
    • 





_Agrega ao camarote




    

  • [important]Experiência em infra-estrutura na nuvem (idealmente AWS).[/important]
    • 

  • [important]Experiência com apliances focados em segurança.[/important]
    • 

  • [important]Experiência em desenvolvimento de software em qualquer linguagem/plataforma.[/important]
    • 

  • [important]Experiência em segurança da informação (Certificações, Consultorias, Conferências, etc)[/important]
    • 





_Benefícios






    

  • [important]Salário compatível com mercado nacional.[/important]
    • 

  • [important]Ambiente de trabalho moderno e confortável. [/important]
    • 

  • [important]Valorização do trabalho bem feito, em dinheiro, sempre que possível.[/important]
    • 

  • [important]Horários flexíveis e Home Office.[/important]
    • 

  • [important]Muito trabalho e zueira sem limites.[/important]
    • 





						
						
						
		

		
			    
    	




 


                



		
	

    
    			    	

        	
            

            	jul
                23
                            

                    

            
		        

			
				Curso Segurança em Aplicações Web – Uma abordagem Prática            
			        

		
					    
    		
				

						
							
												
								
Curso Segurança em Aplicações Web – Uma abordagem Prática
Curso Segurança em Aplicações Web – Uma abordagem Prática




Garanta sua vaga no Eventick




Você vai aprender como identificar, explorar e corrigir as principais vulnerabilidades de uma aplicação web. Durante o curso, vamos focar na prática de como descobrir novas vulnerabilidades usando ferramentas automatizadas e realizando análise manual onde a maioria das vulnerabilidades são encontradas.


Sobre o Curso:


Mais e mais empresas estão aproveitando o poder da web, capacitando seus colaboradores, clientes, parceiros e fornecedores para realizar negócios em aplicações web facilmente disponíveis na internet. Hoje, vulnerabilidades em aplicações web são as mais exploradas durante uma tentativa de invasão. Este curso fornece o conhecimento para identificar, explorar e corrigir vulnerabilidades em aplicações web.


Publico Alvo:


O treinamento é voltado para programadores web, técnicos, analistas de segurança e administradores de redes e/ou sistemas.


Onde:



Exibir mapa ampliado


 


Inicio em:


19/08/2013 até 23/08/2013

Das 19:00 até as 22:00hrs


Quanto:


[important]R$699,00 – Pode ser dividido em até 10x no Visa, Master, Diners, American Express, HiperCard e Elo.[/important]


[warning]Desconto de 10% para transferências direto em conta corrente ou boleto bancário. Clique aqui![/warning]


[notice]Entrega de certificado no último dia do curso. Sexta 23/08/2013.[/notice]


Pré Requisitos para o curso:


[notice]Trazer o notebook pessoal. Não disponibilizamos máquinas ou notebooks.[/notice]


[notice]Conhecimentos básicos de TCP/IP[/notice]


[notice]Conhecimentos básicos de sistemas UNIX/Linux.[/notice]




Ementa do Curso:


Tecnologias Web


– Protocolo HTTP

– Requests e Responses

– Gerenciamento de sessões e Cookies

– Autenticações HTTP

– HTTPS

– Encoding

– Funcionalidades Client-Side

– Funcionalidades Server-Side

– HTTP Proxy


Vulnerabilidades em Serviços Web

– Mensagens de erro e exceções (Path disclosure)

– Listagem de diretórios (Directory Indexing)

– Restrições de métodos HTTP

– Varreduras de diretórios (scanners)

– Banners


Controles Client-Side

– Formulários, Javascript, HTML

– Campos Hidden

– Engenharia reversa em Applets Java e Flash

Vulnerabilidades Web

– Local file inclusions (LFI)

– Remote file inclusions (RFI)

– Path Traversal e Null Bytes

– Upload de arquivos (Formulários, WebDav …)

– Injeção de comandos do sistema operacional

– SQL Injection

– Blind SQL Injection

– Filtragens Client-Side

– Ferramentas úteis

::Burp Suite


Atacando outros usuários

– Cross Site Scripting (XSS)

:: Reflected e Stored

– Cross Site Request Forgeries (XSRF)

– HTTP Header Injection

– Redirecionamento de URL

Atacando mecanismos de autenticação

– Ataques de força bruta e dicionários

– Enumeração automatizada de usuários

– Recuperação de senhas

– Captcha bypass


Atacando gerenciamento de sessões

– Session Fixation

– Session Token Prediction

– Session hijack


Descobrindo vulnerabilidades

– Fuzzing Web App

– Scanners de vulnerabilidades Web

– Scanners específicos

– Automatizações com scripts


Referência: The Web Application Hacker’s Handbook


						
						
						
		

		
			    
    	




 


                



		
	

    
    			    	

        	
            

            	mar
                12
                            

                    

            
		        

			
				Curso – Pentest Hands ON!            
			        

		
					    
    		
				

						
							
												
								

[like xfbml=false action=recommend layout=standard div=true]






Garanta sua vaga no Eventick Curso Pentest Hands ON!


 Garanta sua vaga no Eventick



Sobre o Curso


Este curso oferece as principais técnicas para a condução de um pentest (Teste de Intrusão) remoto nos dias atuais. O curso é 100% prático e aborda novos e antigos métodos, técnicas e ferramentas que são utilizadas na condução de um pentest  remoto. Para isso, serão utilizados laboratórios reais (on-line), sem as famosas máquinas virtuais cheias de vulnerabilidades viciadas e que não condizem com a realidade.


Os resultados dos testes serão baseados em cenários reais, que irão certificar o aluno a conduzir um pentest e produzir um relatório comercial. No final do curso o aluno sairá capacitado para realizar um pentest remoto e identificar vulnerabilidades e ameaças, descobrindo os riscos e níveis de criticidade em cada vulnerabilidade ou ataque remoto no ambiente testado.


Também vai conhecer formas de confeccionar um trojan para capturar e analisar informações sensíveis, além de aprender a subverter os antivírus mais modernos e atualizados e outras técnicas previstas em nossa ementa. Além das velhas técnicas de information gathering (coleta de informação), identificação de vulnerabilidades e exploração, o aluno vai aprender os ataques mais atuais como ataques de Client Side:


    

  • Browsers
    • 

  • Java
    • 

  • Flash
    • 

  • Phishing
    • 

  • Clickjacking
    • 



 


Onde:


Rua João Cauás, 51, Casa Forte Recife/PE.




Exibir mapa ampliado


Inicio em:


08/04/2013 até 12/04/2013

Das 19:00 até as 22:00hrs


Quanto:


R$699,00 – Pode ser dividido em até 10x no Visa, Master, Diners, American Express, HiperCard e Elo.


[important]Desconto de 15% para transferências direto em conta corrente. Clique aqui![/important]


[notice]Entrega de certificado no último dia do curso. Sexta 12/04/2013.[/notice]


Pré Requisitos para o curso:


[notice]Trazer o notebook pessoal. Não disponibilizamos máquinas ou notebooks.[/notice]


[notice]Conhecimentos básicos de TCP/IP[/notice]


[notice]Conhecimentos básicos de sistemas UNIX/Linux.[/notice]


 Garanta sua vaga no Eventick




Ementa do Curso:


Intro e Preparação


Escopo

Intro

Objetivo/Propósito

Ambiente REAL do Curso

Profundidade / Largura

Escopo Negativo


Tipos de testes

Perfil do teste.

Black, white ou gray box,


Regras

Horário

Duração

DDOS

Fuga do escopo

Dados Sensíveis


NDA

O que é?

Aspectos Jurídicos.


Information Gathering


Whois

DNS queries e transferencia de zonas

Google Hacking

Análise do escopo

Tools

Nmap

Maltego

SubDomainer

DnsMap


PortScanning

Portas, protocolos e serviços

Handshake

Hosts ativos e portas

Técnicas de Portscans

Nmap (NSE)

SuperScan

Detectando Serviços

Banner Grabbing

OS fingerprint


Engenharia Social

Tipos de Ataques, Phishing, Telefone, Email, Redes Sociais

Phone Talk Script

SET (Social Engineer Toolkit)


Aplicações Web

Owasp top 10

Upload Forms

Ruby on Rails

Web Shells, PHP, java, .net/asp


Ataques Remotos

Server-Site e Client-Side

Escalação de Privílegios

Metasploit

Browser Exploiting (Client Side)

Phishing

Reverse Shell

BruteForce

Reuso de Senha

Quebra de Senhas

Windows command line Hacking


Trojans / Rootkits

Intro

Old School

New School

Criando um Trojan

Sniffing


Antivirus

Como funciona?

Antivirus Bypass

Metasploit and packers.


Documentação

Captura de Evidencias

Coleta de informações

Criptografia dos dados

Relatório Fisico / Online


						
						
						
		

		
			    
    	




 


                



		
	

    
    			    	

        	
            

            	jul
                18
                            

                    

            
		        

			
				Palestra Chesf Security Day            
			        

		
					    
    		
				

						
							
												
								
No dia 28 de Junho, a @EstuárioTI foi convidada para participar do evento Chesf Security Day. Foi uma grande iniciativa da Chesf em criar um evento na área de Segurança da Informação, aberto para o público. O evento contou com mais de 120 participantes. A palestra foi sobre os “Novos ataques em aplicações Web.


                                                    Security Day – Chesf






View more PowerPoint from Estuário TI




Folder do Evento:




Chesf Security Day
Chesf Security Day








 


						
						
						
		

		
			    
    	




 


                



		
	

    
    			    	

        	
            

            	jun
                20
                            

                    

            
		        

			
				O importante é empreender!            
			        

		
					    
    		
				

						
							
												
								


 


Primeiro quero começar este texto agradecendo meu sócio Rafael Silva pelo incentivo e a oportunidade dada de fazê-lo, quando ele me pediu para começar a escrever no blog, fiquei muito feliz mas também meio preocupado, pois sempre tive dificuldades para me expressar e principalmente colocar meus pensamentos no papel, isso me fez lembrar um professor meu da época da universidade chamado Hugo, da cadeira de Teoria da Administração 2, uma vez ele me disse: “Felipe eu sei que você sabe do assunto…mas você não sabe colocar no papel” isso para mim foi um grande estímulo para tentar ler e escrever mais.


Certo  dia conversando com meu pai ele me contou que “dinheiro não é problema, é solução“. É claro que tais palavras, vindas dele, me deixaram meio desconfiado. Só depois entendi o que ele queria dizer. O que é uma empresa senão a solução de um problema? Uma empresa só existe se, em algum lugar, houver um problema a ser resolvido. Pode ser entregar energia às casas das pessoas, transportar pessoas pelo ar, ou até criar um forum sobre segurança da informação. Se há um problema, em algum lugar, há alguém interessado em pagar para ele ser resolvido. Alguém sempre paga a conta, seja o cliente diretamente, ou terceiros como em casos de publicidade e patrocínios.


O Melhor de tudo isso é que ainda há um tipo muito especial de pessoa, e parece que aqui no Brasil isso está crescendo bastante, são os chamados investidores, aqueles que possuem os recursos que faltam a você. Um investidor é um cara que fica feliz em abrir a carteira e colocar dinheiro na sua mão, se você conseguir provar para ele que resolverá um belo problema com esses recursos e devolver mais dinheiro na mão dele no futuro. Ele fornecerá o capital de que você precisa.




Tudo isso, é para dizer que falta de dinheiro não impede ninguém de ser empreendedor. Nós mesmo da EstuárioTI somos prova disso, começamos com irrisórias quantias no cofre e com muito trabalho e determinação estamos buscando nosso lugar no mercado. Você pode começar pequeno e ir juntando um pé de meia, pode buscar dinheiro arranjando um sócio, um investidor ou até um fundo de investimento. Se a idéia for boa, em algum lugar, alguém pagará por ela.


Vemos diariamente histórias de empresas em que ninguém acreditava muito, mas provaram-se verdadeiras máquinas de ganhar dinheiro. Ninguém sabia como o Google, o Facebook e agora o Instagram ganhariam dinheiro quando eles surgiram, mas o fato é que essas empresas ocuparam um papel no mercado, e investidores, patrocinadores e parceiros ficaram felizes (e muuuuito) em colocar dinheiro neles. Na minha opnião se você escolhe um setor porque vê que pode ganhar dinheiro nele de alguma forma, vá em frente! Mas se escolhe porque ouviu falar que era bom investir, cuidado. Novamente, a história está repleta de “bolhas”, em que as pessoas investiram demais em uma área para depois descobrirem que todo mundo teve a mesma idéia.


Por Felipe Maciel