Encontro XIX: Invadindo o SQL Server? DBA Vs. Hacker

(1)

Encontro XIX: Invadindo o SQL

Server ? DBA Vs. Hacker

Luan.Maciel - @luansql

Lenon.Leite - @lenonleite

Ricardo.Kalil - @ricardokalil

(2)

“What Happens

in #Vegas Stay

in #Vegas”

(3)

About Me – Luan.Moreno

CEO e Fundador da One Way Solution Data Architect in SQL Server MCSE Data Platform MCT Microsoft Certified Trainer MVP em SQL Server

(4)

About Me – Lenon.Leite

Desenvolvedor Web PHP CMS – Wordpress, Joomla e Drupal Consultor em Segurança One Way Solution Membro do ASHACK Atualmente na Hepta-Novintec

(5)

About Pass – Chapter SQLServerDF

The PASS community encompasses everyone who uses the Microsoft SQL Server or Business Intelligence Platforms. This includes database administrators, application developers, Business Intelligence professionals, information technology professionals, executives, consultants, educators, instructors, and students.

The Professional Association for SQL Server (PASS) is the only independent, user-run, not-for-profit association dedicated to the SQL Server community helping its members Connect, Share, and Learn by:

– Facilitating member networking and exchange of information through our websites, Chapters, annual Summits, regional and local events, and virtual communities

– Working with Microsoft to influence the evolution of SQL Server products and services

– Delivering high quality, up-to-date, technical content, presentations, and other educational material for professional development

(6)

Agenda

• Segurança

–

Informação

–

Aplicação

–

SQL Server

–

Atualidade

• Ataques

–

Aplicações

–

Rede

–

SQL Server

&

(7)

(8)

Segurança da Informação

Cibernetic War

Industrial Spionage

WikiLeaks

Anonymous no Mundo

NSA

Penetration Test

(9)

Cibernetic War

Guerra de Máquinas e Softwares Sistemas de Bordo, Marcapassos, Usinas Nucleares… CiberBunker Vs. SpamHaus DDoS por DNS

(10)

Industrial Spionage

Segredo da Coca-Cola ? EX – Mercado Imobiliário, PM de São Paulo Dados Críticos EX – Petrobás Vs. Estados Unidos

(11)

Wiki-Leaks

Sem Fins Lucrativos Fontes Anônimas – Informações Confidenciais Governo ou Grandes Empresas Julian Assange

(12)

Anonymous no Mundo

Comunidade Online Ataques – CFOAB, Caixa, Ministério dos Esportes Projeto Chanology Vingar Julian Assange Operação DarkNet Operação MegaUpload

(13)

NSA – National Security Agency

Organização de Inteligência Monitoramento Global dos Acontecimentos Espionagem de Dados Mundiais Telefone e Internet Olhos Fechados ?

(14)

Penetration Test

“The Art of Think Like a Criminal” Testes de Penetração Overt Vs. Covert Kali Linux MetaSploit When Shit Happens

(15)

(16)

Segurança da Aplicação

Quantidade de Sistemas no Ambiente

Desenvolvedores

Ambiente

(17)

(18)

Segurança no SQL Server

IP na Internet

Vulnerabilidade

(19)

(20)

Segurança na Atualidade

Estatísticas

Prejuízos em Geral

Back-Hat - Cracker

White-Hat - Hacker

ASHACK

(21)

Tipos de Ataques

Ataque

Aplicação

Ataque

na Rede

Ataque

no SQL

(22)

Ataque em Aplicações

RFI SQLI -Get e Post FileUp Load XSS LFI

DDOS TransVersionDirectional Brute

(23)

Ataque em Rede

PSpoof Main The Middle Sniffing Brute Force

(24)

Ataque no SQL Server

Sniffing

SA

Portas

1433 e

1434

SQL

Browser

Brute

Force

(25)

Cenário de Ataque

SQLI Get e Post

LFI

FileUpload

XSS

&

Aplicação

Detecting SQL Server

Porta

1433, 1434

Browser

Brute Force

SQL Server

(26)

Curso da One Way Solution

Penetration Test no SQL Server

Penetration Test em Aplicações

The Art of Defense

The Art of Attack

(27)

luan.moreno@onewaysolution.com.br

Luan.Maciel - @luansql

Lenon.Leite - @lenonleite

Ricardo.Kalil - @ricardokalil

(28)