Curso PenTest - Clavis Segurança da Informação

[Cloudy]

Gostaria de saber de vocês suas opiniões sobre esse tipo de curso oferecido por ai.


" A empresa Clavis Segurança da Informação (www.clavis.com.br) tem o prazer de anunciar a abertura da primeira turma de sua academia em 2008. Nos dias 14 à 18 de janeiro será realizado o curso PEN-TEST (Penetration Test - Teste de Invasão).

O Teste de Invasão é o processo de busca e identificação de vulnerabilidades de segurança em uma rede, sistema ou ferramenta, bem como a extensão em que as mesmas podem ser exploradas por indivíduos maliciosos. Ideais para determinar a postura atual de segurança de empresas/organizações e identificar problemas potenciais em processos e ativos críticos de negócios, os Testes de Invasão funcionam como ataques reais, que se utilizam das últimas técnicas e ferramentas adotadas por invasores, incluindo Engenharia Social. As técnicas ensinadas durante o curso seguem padrões utilizados internacionalmente como ISSAF, NIST SP800.42, OSSTMM e OWASP.

Curso PenTest (Penetration test - Teste de Invasão)
Início: 14 à 18 de Janeiro de 2008
Carga horária: 20 horas
Horário: 18hrs às 22hrs
Valor: R$ 960,00 ou 3 X R$ 320,00

Para matrículas efetuadas até 12 de dezembro de 2007 o valor será de R$ 768,00, parcelados em até 3X sem juros.

Devido a parceria firmada com o Centro de Treinamento UNIRIOTEC, o curso será ministrado na Universidade Federal do Estado do Rio de Janeiro (UNIRIO) - Av. Pasteur, 458 - térreo - Prédio da Escola de Informática Aplicada - URCA. O local possui segurança e estacionamento gratuito.

Outros cursos estão programados para o primeiro trimestre de 2008, entre eles: Forense Computacional e Hardening(Fortalecimento) de Servidores. Para maiores informações, acesse a página de nossa academia (www.clavis.com.br/cursos.htm) ou entre em contato conosco através de http://www.clavis.com.br/contato.php.

Agradecemos a atenção e aguardamos seu contato

...by Cloudy
: 09 Dezembro 2007, 14:54:55Ementa do curso:

1. Planejamento e preparação
1.1. Escopo do Teste
         1.1.1. Objetivo/Propósito
         1.1.2. Alvos
         1.1.3. Profundidade
         1.1.4. Exclusões
1.2. Perfil do atacante
         1.2.1. Tipos de testes
         1.2.2. Caixa preta, branca ou cinza?
1.3. Limitações de Tempo
         1.3.1. Restrições de Horário
         1.3.2. Duração do teste
1.4. Tratamento de questões especiais
         1.4.1. Sistema alvo caiu
         1.4.2. Dados sensíveis encontrados - Quem contactar?
1.5. Permissão
        1.5.1. Por escrito
        1.5.2. Assinada pelo responsável
1.6. Detalhes da Infraestrutura
1.7. Acordo de confidencialidade (NDA)
1.8. Equipamento e recursos necessários
1.9. Relatório de linha do tempo
1.10. Acesso a testes anteriores
1.11. Inspeção física

2. Obtenção de Informações
2.1. Whois
         2.1.1. Buscas na Internet
         2.1.2. Entradas DNS
         2.1.3. Engenharia Social
         2.1.4. Trashing (Dumpster Diving)
         2.1.5. Cópia de Website
2.2. Sondagem e mapeamento
         2.2.1. Busca por hosts vivos
         2.2.2. Varredura por portas e serviços
         2.2.3. Mapeamento de perímetro
         2.2.4. Identificando serviços críticos
         2.2.5. Fingerprinting de SO's e serviços
         2.2.6. Identificando rotas
2.3. Identificação de Vulnerabilidades
         2.3.1. Identificação de Serviços Vulneráveis
         2.3.2. Varredura por vulnerabilidades
         2.3.3. Senhas padrão
         2.3.4. Correlacionamento de vulnerabilidades
         2.3.5. Enumeração de vulnerabilidades encontradas
2.4. Classificação de vulnerabilidades (estimativa de impacto         provável)
         2.4.1. Identificação de circuitos de ataques e cenários para                    exploração
         2.4.2. Caminho de menor resistência
         2.4.3. Árvores de ataque

3. Invasão
3.1. Quebrando senhas
3.2. Ataques a aplicações Web
         3.2.1. Injeção de SQL
         3.2.2. Buffer Overflow
         3.2.3. Cross-site Scripting (XSS)
         3.2.4. Execução Remota de Código
         3.2.5. Vulnerabilidades de Strings de Formatação
         3.2.6. Autenticação e Autorização Fracas (enumeração,senhas,SIDs)
3.3. Ataques de negação de serviço
3.4. Testar em ambiente controlado
3.5. Usar contra o(s) alvo(s)
3.6. Confirmar/refutar vulnerabilidade em questão
3.7. Documentar resultados
3.8. Escalada de Privilégios
         3.8.1. Repetir passos anteriores em ambiente local
3.9. Enumeração posterior
         3.9.1. Quebra offline de senhas
         3.9.2. Sniffing e análise de tráfego
         3.9.3. Exploração de sessões e senhas através de cookies
         3.9.4. Obtenção de endereços de email
         3.9.5. Identificação de rotas e redes
         3.9.6. Mapeamento de redes internas
         3.9.7. Repetição das etapas anteriores a partir deste ponto
3.10. Mantendo Acesso
         3.10.1. Canais secretos
         3.10.2. Backdoors
         3.10.3. rootkits
3.11. Apagando Rastros
         3.11.1. Escondendo arquivos
         3.11.2. Limpando Logs
         3.11.3. Vencer Verificadores de Integridade
         3.11.4. Burlar antivirus
3.12. Segurança Física
         3.12.1. Pontos de rede
         3.12.2. Informações expostas
         3.12.3. Conversas de funcionários
         3.12.4. Janelas, fechaduras e portas de acesso
         3.12.5. Pontos de entrada
         3.12.6. Guardas/Recepcionistas
         3.12.7. Lixo

4. Finalizando
4.1. Sumário Executivo
4.2. Gerando relatório
4.3. Limpeza do Sistema
: 09 Dezembro 2007, 15:08:53Sobre o Instrutor:

  Breno Guimarães de Oliveira é fundador e conselheiro do Grupo de Resposta a Incidentes de Segurança da Universidade Federal do Rio de Janeiro, e consultor sênior de segurança da Clavis Segurança da Informação. É criador do HIDS Labrador e autor de diversos artigos na área de metodologias de ataque e defesa de redes e sistemas digitais, sendo palestrante em eventos nacionais e internacionais. Já realizou numerosos testes de invasão e hardening em instituições dos setores públicos, privados e das forças armadas, e possui mais de 10 anos de experiência na área.


...by Cloudy

[Reeves]

Gostaria de saber de vocês suas opiniões sobre esse tipo de curso oferecido por ai.

muitos são servem para nada..
grande maioria só "bases" ou material antigo...

masss...
esse ai de cima, ministrado pelo Breno Guimarães
parece uma boa!  :D

seja como for..
montar um bom grupo de pen-test
da dinheiro e um bom dinheiro 
então, pode-se dizer que é um bom foco, o deste curso!
vou dar uma olhada em mais informações em seu site.

[OnlyOne]

o conteudo parece bom
mas o preço.....

[lcs]

Eu li o conteúdo programatico do curso e percebi que fora algumas coisas mais técnicas , tudo se encontra em livros sobre segurança digital.
Na minha opinião cursos somente são uteis quando faz o aluno botar a mão na massa, fazer o negocio acontecer..Pelo que entendi o curso se baseia numa palestra? algo do tipo.
Eu não faria.. iria atras de livros.

[Cloudy]

Mas de certa forma o curso dá a parte prática na mão. Além disso tem o tão cobiçado diploma no final do curso.

E como o OnlyOne disse, o investimento é grande. Meu medo é não sair do básicão que se lê em qualquer lugar na net.

...by Cloudy

[OnlyOne]

se vc puder testar o q o curso propoe em uma situaçao real ......... ai vc pode pensar seriamente a respeito
hehehehe

[lcs]

    tipo eu imagino que se você quiser diploma procure uma certificação ou alguma escola renomada como a impacta por exemplo.

     Eu tb tremi ao ver o valor.. 1 barão assim num eh mole não. prefiro encarar uma mcp ou ccnp coisas do tipo.

[rog]

eu so imagine o cara que na base nao entende nada ao assunto

em 20 horas sera que da para ensinar tudo que o curso descreve ?

eu acredito que deve ser mais uma distribuçao de apostilas com algumas explicaçoes ao vivo

rog

[KEst]

Ta mais para Guia do Hacker Brasileiro, huhsuhsus;
Isto ai é enganação para newbie;
Tudo que se estuda, o bom é que um iniciante já vai começar estudando sem se preocupar em procurar material, e já vai testar tecnicas antigas que eu tbm não conheço;
seria bom fazer para conhecer as tecnicas bem antigas, duvido que este seja um white hat brasileiro, mas não estamos aqui para discutir sobre isto e sim pelo curso então sem floods;

KEst

[Anonymous]

aff , ai que merda 

uhuuhauhahuhua

/dev/null

[Be.Cool]

@tempest
acho q você nã leu o q o KEst flw 
cuidado com o q posta....

sem +