Publicação de iT.eam

Quem no Departamento Pessoal nunca assumiu o papel de detetive para desvendar desafios tecnológicos diários? 🚀 Ao nos depararmos com mensagens como "Aplicativo Bloqueado pelo Segurança do Java", sabemos que agir rapidamente é essencial! Com a impossibilidade de aguardar o suporte de TI, é o momento perfeito para demonstrar suas habilidades investigativas e sua capacidade de solucionar problemas! Compartilhe esse espírito investigativo conosco! 1️⃣ Abrir o Painel de Controle do Java: Clique no menu Iniciar e procure por "Java" para encontrar o Painel de Controle do Java. Abra o Painel de Controle do Java. 2️⃣ Acessar a Aba de Segurança: No painel aberto, clique na aba "Segurança". 3️⃣ Adicionar um Site à Lista de Exceções: No nível de segurança, clique no botão "Editar Lista de Sites..." para abrir a lista de exceções. Clique em "Adicionar" e insira https://lnkd.in/dWMxPsQN Após adicionar a URL, clique em "OK" para salvar.

Bom dia rede =) (Vagas encerradas) Esta semana estou abrindo (gratuitamente) 5 vagas para profissionais Opentowork na área de Segurança da informação (Níveis: Analista Jr, PL, SR, especialista, coordenador, gerente e diretor) A ideia é juntos fazermos uma avaliação do seu perfil profissional e corrigirmos pontos falhos otimizando suas próximas entrevistas. Vamos revisar o teu CV e faremos uma call de 40 minutos simulando uma entrevista técnica. Juntos somos mais fortes. #cibersecurity #blackcode

Após alguns meses focado em demandas desafiadoras no trabalho, retomei meus estudos em cibersegurança, reafirmando meu compromisso com a especialização nesta área dinâmica. Meu primeiro treinamento em pentest, realizado na 4Linux entre 2018 e 2019, foi um divisor de águas. Desde então, nunca mais parei de realizar testes de penetração em ambientes controlados e, em projetos contratados, conduzi testes black box com resultados positivos para os clientes. Recentemente, finalizei um teste e recebi a aprovação, reforçando a importância de os administradores de sistemas estarem bem informados sobre segurança. Hoje, sabemos que as vulnerabilidades não são apenas sistêmicas, mas também humanas. Colaboradores e profissionais podem, sem querer, comprometer a segurança em meio a demandas urgentes. Desde que iniciei minha jornada como sysadmin, sempre priorizei a segurança, mesmo que isso tenha causado algumas divergências. A mensagem que deixo para meus colegas é clara: mantenham-se firmes em suas práticas de segurança. Não abram mão dos seus princípios; a responsabilidade recai sobre nós. Vamos construir ambientes seguros juntos! 🙏💪🏻

"Se eu tivesse 8 horas para cortar uma árvore, gastaria 6 afiando o machado." . . O processo de conquistar a shell de um host na rede é sempre desafiador, e, definitivamente, não existe uma receita de bolo para isso. Mas existem procedimentos que podem ajudar nessa tarefa, como ter checklists, realizar um bom processo de enumeração e, principalmente, manter a mente aberta para pensar fora da caixa. Particularmente, gosto de me guiar por estes passos: 1- Identificar o sistema operacional 2- Identificar possíveis versões do software / aplicação / sistemas 3- Buscar por vulnerabilidades conhecidas 4- Buscar por vulnerabilidades ainda não conhecidas 5- Se possível, tentar outros tipos de ataque (Como Brute-Force) Nos dois primeiros passos, o foco é na enumeração manual do host, seus serviços e sistema operacional, complementado de scripts do Nmap ou módulos auxiliares no Metasploit, que podem trazer ainda mais informações. Em seguida, buscamos por vulnerabilidades que se apliquem ao serviço e ao sistema operacional descoberto. E por isso precisamos de um bom levantamento de informações. Primeiramente procuramos por vulnerabilidades existentes (Resolve a maior parte dos casos), e, caso estivermos lidando com sistemas próprios de empresas, precisamos estar abertos a buscar por vulnerabilidades ainda desconhecidas. Por fim, se aplicável ao ambiente, podemos tentar descobrir credenciais através de ataques de força-bruta. Informações descobertas na enumeração ou em outras partes do pentest podem ser úteis aqui. Como Pentesters, precisamos ter a certeza do que estamos fazendo e é essa a maior diferença entre grandes profissionais e os comuns. Um exploit executado errado pode "quebrar" uma máquina, ou nos fazer ser detectados e perdemos um excelente vetor de entrada. Se ainda não encontrou as informações necessárias, há apenas um caminho: Try Harder. Faça levantamentos e entenda o cenário. Nem sempre precisamos de um exploit para conquistar a shell. Mantenha a mente aberta, há uma porta de entrada, e sua função é encontrá-la. E foi assim que, com muito trabalho, conquistei mais uma insígnia. E você, quais os passos costuma seguir ao analisar e explorar vulnerabilidades em uma máquina? #KeepLearning #DCPT #DesecSecurity

Recentemente, finalizei o curso "Introdução ao Pentest na Prática" da Desec Security e gostaria de compartilhar algumas habilidades adquiridas. Durante o curso, pude revisar alguns conceitos e aprender novas habilidades essenciais para a prática de Pentest, como: • Mapeamento de hosts e serviços com Nmap • Bruteforce de serviços web e FTP • Análise de WAFs e tecnologias web • Exploração de vulnerabilidades, como SQL Injection e RCE • Pós-exploração e escalação de privilégios em ambientes Linux Também aprendi a redigir relatórios profissionais, incluindo a fase de Reteste, garantindo que as vulnerabilidades sejam revisadas e corrigidas.

O universo hacker não para, e você também não pode parar! É muito comum nos perguntarem: "Qual nível de conhecimento é necessário para iniciar o curso Novo Pentest Profissional?!" E nós afirmarmos com orgulho: Independente do seu nível de conhecimento, nós transformaremos você em um hacker mais que preparado para o mercado de trabalho! Esse é nosso compromisso com você! Agora é sua vez! E aí, topa esse desafio? Então bora com a gente! Acesse agora mesmo e confira todos os detalhes: https://lnkd.in/emYRTnR

🛡️📚 Finalizei recentemente o curso autoinstrucional Segurança em Tecnologia da Informação com carga horária de 12 horas, no período de 01/07/2024 a 01/07/2024, e gostaria de compartilhar um pouco sobre essa experiência. Durante o curso, aprofundei meus conhecimentos sobre os princípios fundamentais de segurança, incluindo criptografia, controle de acesso e a importância da gestão de riscos. Foi uma oportunidade valiosa para entender melhor as ameaças e vulnerabilidades que podem afetar sistemas e dados, e como mitigá-las eficazmente. A experiência foi enriquecedora e me proporcionou novas perspectivas e habilidades que serão essenciais para minha carreira como desenvolvedor full-stack. Estou mais preparado para enfrentar os desafios da segurança da informação e garantir a integridade dos sistemas em que trabalho. 🚀🔐 #Certificação #SegurançaDaInformação #Tecnologia #DesenvolvedorFullStack #AprendizadoContinuo #SegurançaEmTI

Interessante como resolver um problema pode trazer outros. Esses novos problemas nos dão a oportunidade de ficar muito bravo e de exercitar antigos conhecimentos. O post dessa semana fala justamente sobre esse tipo de oportunidade.

🔐 Iniciei estudos em segurança da informação e já estou aplicando no trabalho Nos últimos meses, decidi me aprofundar na área de segurança da informação. Como desenvolvedores, sabemos da importância de criar sistemas seguros, mas, com a correria do dia a dia – entrega de novas features, correções de bugs, arquitetura, entre outros – muitas vezes acabamos deixando a segurança em segundo plano. Admito que estou encantado com a área e as possibilidades que ela nos oferece. Enquanto estudo tópicos mais aprofundados, como redes, sistemas operacionais e programação de baixo nível, já comecei a aplicar esse novo conhecimento no meu trabalho, adotando um olhar mais crítico e cuidadoso em relação aos sistemas com os quais trabalho. Recentemente, realizei uma análise de riscos de segurança em alguns fluxos e endpoints da arquitetura backend do sistema que eu e o Alessandro Fuhr de Mello estamos desenvolvendo na Brava Proteção contra Incêndios. O resultado foi um relatório técnico seguindo uma estrutura simples, mas objetiva: 📍 Mapeamento da Situação: Identifiquei em quais páginas e fluxos de usuário -as vulnerabilidades poderiam surgir, inclusive por meio de exploração direta via API. 🔎 Identificação da Vulnerabilidade: Mostrei como tanto um fluxo inadequado do usuário quanto uma exploração da API poderiam levar à criação e edição inesperadas de dados. ⚠️ Análise de Riscos: Expliquei como essas falhas impactavam a integridade e a disponibilidade dos dados, violando dois pilares fundamentais da Tríade CID (Confidencialidade, Integridade e Disponibilidade). ➡️ Sugestão de Solução: Apresentei uma solução paliativa imediata, além de propor uma implementação mais robusta e segura para uma análise futura mais detalhada. Essa experiência reforçou ainda mais meu desejo de atuar diretamente com Segurança da Informação e Desenvolvimento Seguro. E você? Já observou pontos de vulnerabilidades durante o desenvolvimento dos seus sistemas?

Ao começar a se aventurar no desenvolvimento de exploits, é comum encontrar materiais que apresentam as proteções desabilitadas. Isso facilita a compreensão dos conceitos fundamentais e permite focar na exploração das vulnerabilidades em si. Por exemplo, o código vulnerável muitas vezes é disponibilizado com a opção de gerar os símbolos de debug, simplificando o processo de análise e depuração. Embora essa abordagem seja valiosa para estabelecer uma base sólida de conhecimento, é importante ressaltar que a vida real apresenta desafios adicionais. Na prática, é improvável encontrar sistemas com as proteções desativadas ou com debug symbols prontamente disponíveis. Portanto, é de extrema importância desenvolver habilidades para identificar e explorar vulnerabilidades em ambientes mais realistas. Uma maneira eficaz de adquirir experiência é trabalhar com aplicações que tenham sido afetadas por Vulnerabilities and Exposures (CVEs) conhecidas. Isso permite colocar os conhecimentos teóricos em prática, enfrentando situações reais e lidando com as complexidades típicas do mundo da segurança da informação. Lembre-se de que a resolução desses desafios nem sempre será fácil e exigirá persistência, habilidades analíticas e uma abordagem sistemática. Ao enfrentar um problema, é recomendável fazer anotações detalhadas, dividir o desafio em partes menores e realizar pesquisas para encontrar soluções. A capacidade de resolver problemas de forma independente e abordar questões complexas de maneira estruturada são habilidades essenciais para quem deseja se destacar no campo da segurança da informação e desenvolvimento de exploits. #debugsymbols #exploits #hacking