Termo de Confidencialidade e Escopo no Pentest
Aula 17 · Kali Linux para Hackers
Aula exclusiva para assinantes
Este é um curso pago. As 2 primeiras aulas são liberadas como prévia; esta aula (aula 17) faz parte do conteúdo completo.
Descrição
Esta aula aborda a importância dos documentos formais que devem anteceder um pentest, com foco no termo de escopo e no termo de confidencialidade. O professor explica que é essencial confirmar a identidade e a autorização do contratante por telefone, não apenas por e-mail, para evitar pedidos ilícitos. Detalha o que deve constar nos documentos: contratante, executor, datas e horários de trabalho, metodologia (OWASP), prazos de reporte e cláusulas de confidencialidade. Destaca que o trabalho se limitará à identificação de vulnerabilidades com dados públicos (domínios, IPs, serviços, arquiteturas e dados vazados de funcionários), sem realizar intrusão. Comenta ainda sobre valor, multa baseada no valor, pagamentos parcelados, jurisdição legal e o uso do Gov.br para assinaturas no Brasil.
Transcrição do áudio
Conforme eu falei, a primeira coisa que você vai providenciar é um termo que vai falar sobre a questão do escopo, valor, pagamento, quem vai pagar, quem vai naturalmente executar o trabalho. Uma vez uma empresa entrou em contato comigo, começamos a conversar e tudo mais. E aí eu senti uma dúvida, uma dúvida na pessoa que estava do outro lado. Achei que era uma pessoa que estava querendo, que eu fizesse um pentece de uma empresa, mas não era dela, basicamente isso. Então você entra em contato com o cliente, você liga para o cliente, você tem que ouvir dele. Não o e-mail, porque o e-mail pode ser um e-mail roubado, algo assim. Beleza? E aí você coloca a data, coloca quem é o contratante, quem vai executar a aplicação. Bom, e aí olha só, autoriza então o Penetruity on Test Report, vai ser feito isso, sobre o website. E aqui eu deixei algo bem claro para vocês, tá? Nós vamos identificar potenciais vulnerabilidades. Nós não vamos fazer a intrusão, porque senão aí é um problema para mim, que estou aqui no curso para vocês, entende? Como assim? Nós vamos identificar as vulnerabilidades com dados públicos desse site. Então nós vamos olhar para o mundo, para o site e obter dados do site, das tecnologias, das vulnerabilidades deles, baseado em dados públicos, que eles colocaram para o público. Domínios, IPs arquiteturas, IPs serviços, IP desculpe IPs serviços e dados vazados de funcionário que poderiam ser pessoas vulneráveis na organização. Então vamos procurar essas pessoas. E naturalmente vamos ficar exclusivos dentro do MOFA, GOVMM, que foi contratado por eles, lógico? Lógico. Tem tudo, assinatura internacional e tudo mais. E as suas bibliotecas. Quando vai ser feito até quando vai ser feito? E que qual o horário de trabalho? Porque você tem que entender que se eles tiverem qualquer ferramenta de defesa, eles vão perceber meu trabalho. E meu trabalho vai ser dentro desse período. Isso, eu estou infernando de Noron, nesse exato momento, passando uma férias aqui com dinheiro que eu consegui dos cursos de vender curso no IED. Estou lá infernando de Noron, estou aqui infernando de Noronha, quase que eu falei lá, hein? Então você tem que colocar isso. Porque? E você tem que se manter nisso para que suas ações não sejam ilícitas, embora nós vamos trabalhar somente com dados públicos. Nós não vamos fazer nenhuma intrusão para não dar problema para ninguém. Qual a metodologia? Ou ASP? Vamos trabalhar forte com o ASP. E aí o reporte vai estar lá, nos dez dias, vai precisar também mais de uns trinta dias ali para terminar tudo. E aí tem a confidencialidade entre as partes que vai falar, se a informação pode ser pública, se a informação pode ser privada, a autorização legal, que tem que ter. Você pode encontrar isso aqui em português, tá galera? Já com os termos em português. Ah bom, e naturalmente a multa é baseada no valor, vocês sabem que a multa é baseada no valor, certo? A multa é baseada no valor e está o valor que é um dólar. Porque a multa é baseada no valor. Se eu receber qualquer multa é de cima de um dólar, tá? 50% quando for assinado o documento e 50% lá no final do repórter, tem que ser pagado, é pago. E aí vai falar sobre a que vai ser colocada, ah, tem dez dias, né? Bom, tem as regras do governo, do Congo. Então assim, eu estou trabalhando para Niamá, Niamá, base estou ali sobre as leis do Congo, que é pra dificultar um pouco aí pra quem quer encher meu saco. Bom, vamos lá. E aí tem que assinar as partes, legal. Isso aí tá tranquilo. Aqui tá novamente um termo de confidencialidade. E para que aqui eu coloquei o que vai ser feito. Dados públicos, IPs, domínios, arquitetura, tudo que tá público. E aqui eu coloquei quando vai ser inicializado e quando nós vamos finalizar. E aqui, se você olhar, já é um documento de confidencialidade entre as partes. Aí é de Corporatio, com um ufa. Aqui tá o doutor lá, o chefe foda do planeta deles. É um outro planeta. Aqui tá o endereço do palácio deles lá no outro planeta. Vamos colocar assim, porque tem aluno que gosta de falar que eu invade Marte. Olha que coisa esquisita. Domínios funcionários e estruturas tecnológicas. Aqui sobre o site que vai ser feito, domínio que vai ser feito e as regras ficam aqui embaixo. Os termos de confidencialidade assinam entre as partes. Você tem que ter esses dois documentos perfeitamente assinados com o Govbr. Hoje em dia você tem Govbr e não tô brincando. No Brasil você pode usar o Govbr. No caso internacional, eu vou ter que ir lá nesse palácio e eu vou lá geralmente todo ano com dinheiro dos cursos que eu vim. Beleza? Um dólar, hein galera? Um dólar! Até mais, tchau!
Voltar ao curso