A sugestão de leitura para este fim-de-semana é o livro Gray Hat Hacking The Ethical Hackers Handbook, 3.ª Edição, da Editora McGraw Hill. Uma obra de referência para os que se interessam pelos temas relativos à intrusão em sistemas e à segurança informática.

O livro Gray Hat Hacking The Ethical Hackers Handbook, escrito em Inglês e que vai já na sua terceira edição, marca a estreia de mais uma Editora no Ticnologia, a McGraw Hill. A McGraw-Hill é uma Editora norte-americana, sedeada em Nova Iorque e foi fundada em 1909. É uma referência nas publicações técnico-científicas, passando pela Engenharia e Informática, à gestão de empresas e Economia, enciclopédias, etc. Uma estreia que se transforma numa agradável surpresa, pois se todos os livros da McGraw Hill possuírem o mesmo nível de excelência deste, certamente que a Editora irá cativar muitos leitores no nosso país.

Trata-se de uma obra muito completa e ideal para os estudiosos deste tema, quer pelo simples interesse na investigação, quer pelo aprofundar de conhecimentos. O objectivo desta obra não é ensinar-nos a ser hackers mais eficazes e astutos, mas permitir aos especialistas em segurança informática, conhecer os perigos reais que os seus sistemas enfrentam, e qual a melhor forma de os proteger face a essas novas ameaças. Não aprenderemos apenas quais as melhores ferramentas de software que teremos de utilizar, mas também quais as melhores tácticas, pois sem esta ultima vertente, por muito boas que sejam as ferramentas de hacking, de nada nos servirão se não adoptarmos a melhor estratégia. Conhecendo as técnicas e tácticas de quem nos ataca, melhor estamos preparados para nos defendermos delas, e é esse o mote principal desta obra.

A palavra “ética” não faz apenas parte do título do livro. Ao longo deste os autores vão nos transmitindo todo o sentido dessa palavra. Esta ética defendida no livro é o ponto de partida para a leitura da obra, e deverá fazer parte dos conhecimentos que nós iremos obter deste. O livro defende que ser hacker não significa fazer “mal” a alguém, penetrando nos seus sistemas informáticos, mas sim saber tapar os “buracos” que nos podem permitir fazê-lo.

A terceira edição de Gray Hat Hacking The Ethical Hackers Handbook vem actualizada em relação às edições anteriores, pois a tecnologia evolui todos os dias, assim como as técnicas de hacking e suas ferramentas. Foram adicionados nove novos capítulos, para além dos já existentes que foram actualizados.

O livro Gray Hat Hacking The Ethical Hackers Handbook, terceira edição, divide-se em cinco grandes partes:

Na Parte I, os autores fazem uma abordagem exaustiva aos fundamentos e éticas necessárias para se ser um Gray Hat Hacker. Mas o que é o Gray Hat? É isso mesmo que esta parte explica, nomeadamente as diferenças entre os três tipos de Hackers: White, Gray e Black. São também revistos os conceitos de vulnerabilidade e quais os modelos que podem ser utilizados para tirar partido dessas fragilidades.

Na Parte II, são apresentados os métodos mais avançados de penetração de sistemas, e quais as ferramentas utilizadas, que de acordo com os autores, mais nenhum livro publicado actualmente fala. Nesta parte teremos também contacto com os testes de penetração automáticos, quais os métodos para o fazer e também quais as ferramentas que devemos usar. Conceitos como engenharia social e ataques internos, são alguns dos pontos fortes desta parte do livro.

Na Parte III, iremos entrar no código que está por baixo destes conceitos, para que percebamos quais os componentes específicos de cada Sistema Operativo, ou suas aplicações, que podem ser explorados para nos permitir entrar. Nesta parte iremos também aprender os conceitos necessários em termos de programação, que nos serão necessários ao logo do resto do livro. Outros dos temas fortes desta parte são as formas como tirar partido dos buffer overflows e como identificar as vulnerabilidades avançadas do Windows ou mesmo do Linux (sim, porque o Linux contrariamente ao que muitos pensam, também possui vulnerabilidades) e como as explorar com detalhe. Como a tecnologia não pára de evoluir, iremos também conhecer os últimos tipos de ataques, como os SCADA, ou os que tiram partido das vulnerabilidades de protocolos muito em voga, como o VoIP.

Na Parte IV os autores vão ainda mais fundo no tema, aprofundando conceitos em termos de ethical hacking que muitos profissionais de segurança ainda não entendem hoje em dia. Nesta secção do livro iremos aprender quais são as ferramentas de análise passiva ou activa e quais os métodos; como identificar vulnerabilidades no código fonte de um programa; como fazer reverse-engeneering a software e como fazer a desassemblagem de compontes, etc.

A quinta (V) e última parte deste livro é dedicada à análise de Malware, como desenvolver o nosso próprio malware, e quais as técnicas e métodos que devemos dominar para o fazer.

Autores:

Allen Harper: CISSP, PCI QSA, é o presidente e dono da empresa N2NetSecurity, na Carolina do Norte. Foi fuzileiro durante 20 anos no corpo de Marines dos EUA e trabalhou como analista de segurança no Departamento do Tesouro dos EUA, assim como noutras empresas americanas. Actualmente dedica-se à participação em palestras e congressos.

Shon Harris, CISSP, é autora, consultora de segurança e professor, para além de ser a presidente da empresa Logical Security. Foi Engenheira na Força Aérea norte-americana, e já publicou vários livros e artigos dentro da área da segurança de sistemas de informação.

Jonathan Ness, CHFI, é Engenheiro de software de segurança no Security Response Center  da Microsoft (MSRC). Presta também serviços na área da segurança informática na área militar, numa unidade militar norte-americana.

Chris Eagle é professor no Departamento de Ciências Computacionais na Escola Superior Naval em Monterey na Califórnia. Trabalha nesta área há mais de 25 anos, e os seus interesses de investigação vão desde aos ataques via rede informática aos estudos forenses na área computacional.

Gideon Lenkey, CISSP, é presidente e co-fundados da RA Security Systems, uma empresa sedeada nem Nova Jersey, que se especializou na área de testes de segurança em sistemas de informação para grandes infra-estruturas de empresas de TI. Presa também formação no FBI, tendo o seu trabalho sido várias vezes reconhecido por esta policia especial.

Terron Williams, NSA IAM-IEM, CEH, CSSLP, trabalha na Electricity como Engenheiro de testes sénior, com o principal foco na segurança da rede. Trabalhou também na Nortel na área da segurança dos sistemas de VoIP.

Capítulos (em inglês):

Parte I: Introduction to Ethical Disclosure

• Capítulo 1 - Ethics of Ethical Hacking
• Capítulo 2 - Ethical Hacking and the Legal System
• Capítulo 3 - Proper and Ethical Disclosure

Parte II: Penetration Testing and Tools

• Capítulo 4 - Social Engineering Attacks
• Capítulo 5 - Physical Penetration Attacks
• Capítulo 6 - Insider Attacks
• Capítulo 7 - Using the BackTrack Linux Distribution
• Capítulo 8 - Using Metasploit
• Capítulo 9 - Managing a Penetration Test

Parte III: Exploiting

• Capítulo 10 - Programming Survival Skills
• Capítulo 11 - Basic Linux Exploits
• Capítulo 12 - Advanced Linux Exploits
• Capítulo 13 - Shellcode Strategies
• Capítulo14 - Writing Linux Shellcode
• Capítulo15 - Windows Exploits
• Capítulo16 - Understanding and Detecting Content-Type Attacks
• Capítulo 17 - Web Application Security Vulnerabilities
• Capítulo 18 - VoIP Attacks
• Capítulo19 - SCADA Attacks

Parte IV: Vulnerability Analysis

• Capítulo 20 - Passive Analysis
• Capítulo 21 - Advanced Static Analysis with IDA Pro
• Capítulo 22 - Advanced Reverse Engineering
• Capítulo 23 - Client-Side Browser Exploits
• Capítulo 24 - Exploiting the Windows Access Control Model
• Capítulo 25 - Intelligent Fuzzing with Sulley
• Capítulo 26 - From Vulnerability to Exploit
• Capítulo 27 - Closing the Holes: Mitigation

Parte V: Malware Analysis

• Capítulo 28 - Collecting Malware and Initial Analysis
• Capítulo 29 - Hacking Malware

Autores: Allen Harper, Shon Harris, Jonathan Ness, Chris Eagle, Gideon Lenkey, Terron Williams

Data: Janeiro 2011

Pág: 720

ISBN: 0071742557 / 9780071742559

Lojas online (Wook; McGraw Hill)