Certificação GCIA

Estou na fase final de preparação para certificação de Analista de Intrusão do SANS Institute, chamada GCIA – GIAC Certified Intrusion Analyst. Assim, resolvi compartilhar algumas dicas de estudo visto que isso pode ajudar, inclusive, quem não busca a certificação, mas conhecimentos na área de forense de rede e análise de incidentes.

O treinamento oficial, seja ele presencial ou não (vídeo/áudio), é realmente um investimento alto, principalmente se comparado aos valores de treinamento praticados no Brasil. Baseado nisso, muitos profissioanais optam apenas pelo challenge, ou seja, pagam apenas pelo exame de certificação (U$899), como é o meu caso.

Para se ter uma ideia, o treinamento “Security 508“, que trata de assuntos da área de Forense e Investigação de incidentes (preparatório para outra certificação forense – a GCFA) custa em torno de 4 mil dólares.

Entretanto, profissionais que realmente desejam participar de um treinamento do SANS e têm disponibilidade para viajar para os EUA ainda podem trabalhar como voluntários nos eventos organizados pelo instituto. Dessa forma, o voluntário tem acesso aos materiais dos treinamentos, além de descontos em vários eventos e exames de certificação.

Eu nunca participei de um evento do SANS, pretendo fazê-lo futuramente, mas todos os colegas que já participaram me passaram ótimas impressões: nível técnico altíssimo, material de boa qualidade e instrutores bem preparados. Enfim, vale a pena participar se tiver oportunidade.

No meu caso, optei pelo material disponível gratuitamente no portal do SANS e adquiri dois livros cujos autores são, inclusive, instrutores de cursos do SANS. Ambos são publicados pela New Riders, a saber: Network Intrusion DetectionIntrusion Signatures and Analysis.

O primeiro não aborda TCP/IP em detalhes, muito menos de maneira básica, trata-se de “escovação de bit” em logs capturados pelo tcpdump (pcaps) e outras ferramentas de análise de rede; o segundo, aborda especificamente os ataques sob a ótica de um IDS (Snort), com análise de cada etapa dos ataques.

Só para exemplificar uma questão abordada nos livros, analise o grupo de bytes abaixo (em hexadecimal), referente a um pacote IP:

4500 0030 20d8 4000 7006 a954 0a0a 0a0a
c0a8 0101 0abc 0019 6179 c6af 0000 0000
7002 2238 ed4d 0000 0204 05b4 0101 0402

Baseado neste, aponte o protocolo de rede (TCP, UDP, ICMP), cujo payload está encapsulado dentro do pacote IP.

Veja que não é tão difícil, mas exige um pouco de atenção. O exame é open book e sem Internet, o que pode parecer fácil. Entretanto, com pouco mais de 1min para responder cada questão (do total de 150) , não se torna viável a consulta frequente.

No portal do SANS é disponibilizado parte do material de estudo online em formato de demonstração, gratuitamente, suficiente para se ter uma ideia do nível do exame e dos treinamentos. Destaco abaixo um deles:

SANS SelfStudy – o curso “Security 503 – Intrusion Detection In-Depth” contempla toda a matéria necessária para o exame, por meio do link abaixo é possível acessar a interface do sistema de estudo, onde são abordados tópicos como análise de pacotes e implementação de filtros via tcpdump.

Além de possuir registro no portal, deve-se habilitar o Java no navegador para que a interface funcione corretamente. Segue endereço:

https://portal.sans.org/ondemand/getdemo.php?mid=43

Antes de dar uma olhada no material mencionado acima ou mesmo de adquirir os livros, vale a pena realizar os pré-testes (quizzes) disponíveis para os alunos do treinamento oficial:

Download TCP/IP question file (.pdf)
Download TCP/IP answer file (.pdf)

Download Hex question file (.pdf)
Download Hex answer file (.pdf)

9 thoughts on “Certificação GCIA

  1. Cara, cada vez mais me impressiono com sua capacidade. Parabéns!
    Tenho certeza de que você será um excelente períto, um dos melhores.

  2. Que isso Fabricio! Valeu pela força, mas estamos todos no mesmo patamar, haja matéria pra estudar!

    Tentarei fazer a prova semana que vem, se eu passar publicos mais uns ‘bizus’ (sem ferir o código de ética do instituto)…

    Abraço!

    Alexandre

  3. Alexandre, fiquei curioso pra saber a resposta da pergunta mencionado no post. poderia postar aqui. Abs

      1. Alexandre o valor posocional no campo ip do protocolo é o 9º, no caso 06 correto, que em decimal fica o valor 6 que siginifica que o protocolo tcp, está correto???

Comments are closed.