Lendo algumas reportagens e falando com alguns amigos que foram no excelente Seginfo, organizado pelo pessoal da Clavis, ficou claro para mim algumas coisas:

O pessoal do governo federal entende muito pouco sobre o que é e como funciona segurança da informação. Eles não perceberam que estamos em uma era de compartilhamento e fácil acesso ao conhecimento. Um adolescente de 13 anos com um micro, uma conexão internet e nada para fazer em uma terça à tarde pode derrubar um site do governo porque o seu administrador fez um curso  de hacker ético via livros da banca de jornal, e ele, o menino de 13 anos aprendeu lendo um tutorial que acabou de ser criado e por alguém que entende do assunto. 🙂

Os profissionais brasileiros de segurança da informação são capazes sim de assegurar empresas e governos, mas para isso eles devem receber pelo trabalho, vocês não concordam ? O governo quer ajuda do pessoal de SI sem pagar ou contratando uma consultoria do sobrinho do deputado federal fulano de tal que ganhou uma licitação ?! É aquela velha história do tiozinho que cobrou R$ 10 mil reais para dar uma martelada em um prego. Conhecimento de qualidade custa caro, mas os nossos governantes não estão acostumados a isso.

E por último, infelizmente a grande maioria dos cursos de segurança da informação ministrados no Brasil não ensinam os seus alunos a realizarem os ataques, mas sim a se defenderem deles. Já participei de vários cursos e posso garantir que são poucos os cursos que ensinam o aluno a atacar, deixando claro que não é culpa do instrutor, mas sim das regras que a instituição de ensino prega tendo como base o termo ética. Eu parto do princípio das artes marciais, você precisa saber atacar o seu oponente para saber como se defender, correto ? E por que o mesmo não é aplicado, aqui no Brasil, para segurança ? Medo de treinar uma horda de crackers destruidores do mal que derrubarão todos os sites e empresas brasileiras ?

Não posso tirar a razão das empresas de treinamento já que não há leis contra crimes digitais em nosso país, mesmo assim, eu prego um treinamento de segurança completo, que ensine ao aluno como atacar e como se defender.

Vai a dica, a empresa de ensino ou profissional de segurança da informação que criar um treinamento deste tipo, ataque e defesa, vai ganhar um bom dinheiro, durante um período e é claro, criar uma horda, de bons profissionais de segurança.

Compartilhar:

Este post tem 21 comentários

  1. É Gust, eu me formei em segurança e não aprendi uma linha de como atacar, em 3 anos de faculdade. Ajustificativa foi, como vc mencionou, a ética. Aprendi normas, boas práticas, ouvi situações, mas não vivi nada disso… concordo com seu ponto de vista, pra uma pessoa saber se defender com eficiência ela deve saber como é feito um ataque eficaz.

  2. Até as empresas se adequarem a este tipo de curso, o ideal é pesquisar bastante e fazer cursos EAD de fora do Brasil.

    O que eu recomendo é criar um pequeno lab em casa com VirtualBox ou Vmware, arrumar sistemas com falhas(tanto sistemas operacionais quanto aplicativos) , baixar livros e artigos sobre pentest, exploing, etc e ir treinando.

    Sem esquecer que, achar falhas hoje em dia pode dar uma boa grana.

  3. O que nos resta é apelar para os tutoriais rsrsrs
    fazer o que né? =(

  4. Na minha opinião, como você vai se defender se nem sabe qual o tipo de ataque que irá receber !!!

    Abraços !!!

  5. Olha, eu concordo em partes, tipo, existem diversos cursos focados em Pentesting, porem cursos de Segurança é voltados para configurar aplicativos aonde ira auxiliar na segurança.
    Dificilmente em cusos de Pentesting você vai aprender a configurar um Sistema de IDS/IPS e IPtables (vai muito alem de apenas um IPtables -A INPUT -p tcp –dport 22 -j DROP).

    Muitas pessoas pensam em fazer um curso especializado em segurança com a intenção de aprender médotos de invasão de computadores, porem se parar para pensar são coisas distintas dentro da mesma área, não podemos comparar Segurança com Pentesting.

    Abraço á Todos!

  6. Claro que da para comprar Segurançacom Pentesting. Basta você saber onde os pontos se cruzam. No SI nao existem areas diferentes, mas sim pontos que se ligam, ou seja, uma rede 🙂
    Se tu começa em uma ponta tu consegue chegar em outra do outro lado, passando no meio de tudo. Então da para comprar sim cara, basta querer.
    Sobre o ensino de ataques em Instituições, eles ainda se preocupam em pirataria… entao ataques eles devem expulsar do recinto. 🙂
    parabens GuGa!

  7. Victor, acho que não fui claro quando disse a respeito da comparação.

    Como disse acima, são duas coisas distintas na mesma área, não é que ambas as coisas não se cruzam e sim que são objetivos totalmente diferente, um realiza o ataque e o outro se protege do ataque.

    Muitas pessoas pensam que para se defender precisa saber atacar, esta idéia auxilia o conhecimento e a atuação do profissional e não na segurança propriamente dita.

    Curso de Segurança é para se proteger, você ira aprender as utilizar ferramentas para segurança da sua rede e não para invasão, Pententing você aprende os métodos de invasão e não se segurança.

    Posso dizer que aprendi um pouco de Pentesting nas aulas de Segurança (porem o básico do básico do básico!) aprendi a realizar um scan com Wire Shark de Nmap.

    Da mesma forma que li nos Livros de Pentesting, aonde os médulos de segurança são Basico do basico do basico, somente para se proteger na hora de atacar.

    O que muitas pessoas pensam é que vão aprender a invadir em um curso de segurança, aonde acaba se deparando seomente com segurança e recursos minimos referente á invasão.

    O bom profissional não é aquele que aprende com o professor, e sim aquele que adquiri a base e se aprofunda no assunto sózinho.

    Dificilmente ira encontrar um curso que lhe encine tudo, até mesmo o melhor certificado Hacker não encina IDS/IPS, Módulos de proteção no Kernel, etc.

    Aconselho alguem que queira trabalhar com Segurança, faça um curso de Segurança e outro de Pentesting e não apenas para por ai, sempre se atualizar e sempre estudar por conta.

    Infelismente professores não encinam tudo e sim a base para começar a estudar sobre o assunto.

    Abraço!

  8. Cara o Brasil ta cheio de Profissionais Titulados em Segurança que não sabe nada de Segurança é até engraçado isso não! Conheço alguns bacharéis da área de SI com COBIT, ITIL Vxx, ISO 2700x, que faz você pensar “nossa esse é o CARA”. Mas na pratica. Bom a meu ver a defesa complementa o ataque, e virse e versa. Como eu poderei me defender bem se eu não sei o que significa “nmap -v – -script=sbm-check-vulns host” e acredite tem gente que não sabe! Claro independente da ferramenta né, mas como alguém que trabalhe com segurança nunca ouviu falar do Nmap, Nessus, Metasploit ou Matego, consegue trabalhar. Vocês podem até descordar, segurança nem sempre esta vinculado a normas Normas.

  9. Uma coisa é vc saber ler o manual de uma ferramenta e saber utilizá-la. Ela foi criada JUSTAMENTE para ser utilizada, então NINGUEM pode achar que é algo demais usar algo pronto. OUTRA coisa é você compreender os princípios e ser capaz de CRIAR as suas próprias ferramentas!
    Vejam a diferença: Um engenheiro não é um cara que sabe dirigir um carro, é o cara que PROJETOU o carro! Por outro lado, uma vez que o engenheiro projetou, veio um OPERÁRIO e, usando as ferramentas adequadas, montou o carro… Da mesma forma em TI, tem o cara que PROJETA e um MONTE de carinhas que usam as ferramentas prontas e, inocentemente, se julgam “hackeres”!
    Um bom analista de segurança da informação deve conheçer os princípios envolvidos. Saber tomar as decisões corretas, CRIAR planos e projetos, PROJETAR novas ferramentas, tecnicas e etc. Usar ferramentas? Isso é fichinha… Mesmo se o cara não souber oq faz a tal sintax do NMAP(mencionada pelo Arley), ele pode olhar o manual da ferramenta e em minutos saberá, além do que ela faz, o PORQUE acontece dessa forma e oq realmente acontece nos bastidores… Enquanto que o velho carinha que passa o dia brincando com o nmap não tem nem ideia do que há nos bastidores, está limitado a fazer APENAS oq a ferramenta oferece… Pense nisso!
    Dirigir um carro não é NADA demais, ele foi criado JUSTAMENTE para ser dirigido! Não ache que usar uma ferramenta tbm seja nada…
    Porém, projetar já é outra história…

  10. Isso mesmo Vulgo Toc!
    Para reforçar minha opinião…
    É mais facil quebrar uma senha Wireless do que protejer o Wireless dentro da sua rede.
    Esta cheio de “How to” para utilizar ferramentas de Pentesting, pode não ser muito avançado, mais o foco dos testes é para saber o que foi projetado para segurar ataques esta funcionando ou não.
    Pelo menos na minha graduação e pós aprendi a utilizar ferramentas de Scan para analise de regras que criei e não para fim de invasão.
    E outra, se o cara quer ser especialista em segurança tem que estudar por conta e ralar para aprender, se não é considerado um técnico BOQUETA.
    Pelo menos até hoje ninguem me impediu de aprender a fundo a utilização do Nmap, Wire Shark ou Net Cat.

  11. Sim concordo plenamente com que o gustavo disse porem se o individuo quiser mesmo, da sempre pra buscas material de qualidade na internet voltado a pentesting, da pra comprar livros, como esse do Metasploit que eu acabei de comprar e claro montar um labzinho com as VM’s pra ir testando o que aprendeu, a outra parte se aprende trabalhando né…

  12. eu penso que não é culpa das instituições em não ensina metodos de ataques, mais sim do governo. acredito que se uma instituição tiver ensinando metodos de invasão em uma das diciplinas não irá obter a certificação MEC para ensinar. as instituições são obrigadas a seguir as exigencias do MEC caso contrario não terá autorização de ensino.

    Na instituição em que eu estive ensinou uns metodos de invasão para a turma em que eu estava, mais foram metodos arcaicos que não são usados mais por conta das correções de segurança.

    mais concordo com você, deve-se conhecer os metodos de invasão para se defender.

    é como na vida real, quando um bandido entra na casa do vizinho pela janela nós colocamos grades nas nossas janelas, quando o bandido pula o muro do outro vizinho nós almentamos os nossos muros e adicionamos cerca eletrica, etc…

  13. Concordo com você vulgo, você não entendeu o que eu quis dizer, Curso de segurança deve ensinar a atacar e não só a se defender
    Não adianta o cara ficar sé na teoria, o cara tem que pratica é só assim que se aprende! Independente de ferramenta hoje o conhecimento esta acessível a todos aqueles que o busca, como o Gustavo disse; muitos cursos dão mais ênfase a defesa do que ataque, em muitos casos o ataque é a melhor defesa, “do que adianta engenheiro apenas projetar o carro, se ele não vai testá-lo, é claro que tem as pessoas certas para isso, mas veja meu ponto de vista, se o próprio engenheiro testa o carro que projetou, ele mesmo pode propor melhorias e não ficar apenas analisando elatérios de terceiros. Ou seja os Profissionais de SI, tem que correr atrás e aprender atacar sim, como ele pode realmente saber se sua solução funcionar, os COBITS, ITILS E 2700X que conheço se quer saber montar um micro para testes e olha que não são poucos, ou seja os cursos que eles fizeram foram deficientes nesse aspecto, então o carinha que estuda o dia inteiro o Nmap ou outra ferramenta qualquer, tem grandes possibilidades de quebrar as soluções desenvolvidas por eles. Os últimos acontecimento nos prova isso. O Profissional tem que entender de ataque e (.)

  14. Atacar é MUITO mais FACIL do que defender. Só que há na net são script kiddies, que pegam as ferramentas prontas, colocam o IP e manda executar.
    Vejo o pessoal ai falar no T50, LOIC e etc. Isso sim QUALQUER criança faz, abrir uma ferramenta e executar.
    Só vejo o pessoal falando mal dos provedores/governo e etc, mas até agora não vi NENHUM propondo uma possível solução…
    Se atacar é mais importante, pq TODOS aqui “sabem” atacar, mas NINGUEM fala em como se defender?

    Se defender significar CRIAR soluções, projetar, implementar/Programar.
    Atacar significar abrir o metasploit e ficar na espectativa dele, sozinho, rodar um shell para vc.

    Eu mesmo já cansei de criar ferramentas para explorar falhas divulgadas, mas até hoje nunca criei um modulo para o PAM, para o Snort ou etc, a fim de “se defender”.
    Já cansei de criar backdoor, desde a época do delphi, passando por VB, depois em Java e até modular em C. Mas até hoje, nunca criei uma solução que melhore o mecanismo de UAC do Windows ou que melhore o controle de acesso mandatório(MAC) do linux, como o SELINUX…

    Agora, as instituições de ensino, se forem ensinar a DE FATO se defender, DEVEM aprofundar no DESENVOLVIMENTO das soluções, senão tbm não é defender!

    Se quer aprender a atacar, estude e desenvolva métodos. Aprender uma receita de bolo de um professor não vai lhe ajudar EM NADA.

  15. Srsrs esse assunto rende.

  16. To vendo que eu escrevi algo controverso —

  17. Segurança com Pentest não tem nada a ver ! Uma coisa é uma coisa, outra coisa é outra coisa.

    Pentest serve para encontrar vulnerabilidades e serem corrigidas. Segurança vai muito além disso. O pentest é apenas uma parte da segurança, podemos dizer que ate pequena.

    Segurança da Informação vai além disso. Por tanto Vitor acho melhor rever os seus conceitos em Segurança da Informação e Pentest

  18. Pessoal, esse papo não acaba nunca. Se tivemos numa presidência desse país uma pessoa que até perdeu um dos dedos pela falta de segurança no ambiente de trabalho…. sim, ué, ou você acha que aquele dedo, ficou estressado e resolveu ir embora… kkkkk

    Infelizmente, não querendo ser dramático… 90% dos cursos de “segurança” não passam de um show de slides…. sei disso porque já tive (forçado) a ministrar aulas, onde o material era uma presentação em PPT com anotações impressas…. e o ambiente era preparado para que tudo aquilo ali funcionasse…. e depois os alunos saiam “estupefados” como que tudo funcionou 100%.

    Só fiz isso uma vez, e porque eu não sabia… depois não quis mais… quem tem que mentir para o povo não sou eu…. e sim os políticos lá em Brasilia…

    Mas essa é nossa realidade, infelizmente a grande maioria dos cursos de segurança é uma piada.

    Se você tirar um fim de semana, mas com muita disciplina…. vc aprende mais que muita gente ai… na Web sabemos (ou deveríamos) onde achar os bons materiais…. e acreditem, eles não estão dentro de salas de aula. Ainda vai demorar muito, e talvez nem chegue.

    É isso.

    Valeuzzzzzzzzzzzzzz

  19. Estou fazendo curso de segurança de informação na uninove e até agora aprendi tudo de matemática, noções de empreendedorismo , como montar uma empresa, pasmem! Mas não ensinaram bulhufas de segurança ou ataque.

Deixe uma resposta

Fechar Menu