Primeira Atividade Prática [2.0]


#181

Exercício Prático 1

Simplismente não consigo pensar em uma historinha bem convincente agora, só pensamentos bem altos, principalmente com algo que possa usar arduino.


#182

Primeira atividade prática.

          No início do ano de 2006 eu estava fazendo parte de um pequeno grupo de hackers novatos, era por sinal um grupo feito de amigos mesmo, e nesse grupo éramos dedicados a estudar sobre hack e informática em geral. Nossas reuniões ocorria sempre a noite no extinto MSN e nela trocávamos ideias de estudos além de criarmos pequenos desafios que nos forçavam 

a pensar de forma estratégica e lógica. Nessa época estudei sobre psicologia hacker (que mais tarde descobri que tratava-se de engenharia social) e com ela eu aprendi como traçar o perfil comportamental das pessoas em rede e como manipular isso ao meu favor.
Um dia quis invadir uma conta de MSN por meio da pergunta secreta (que muitos achavam que era impossível). Resolvi testa-la com um amigo meu que por sinal era o líder do nosso grupo, acessei o orkut e fui olhando o perfil pessoal dele e depois todas as comunidades dele, fui fazendo isso no intuito de tentar entrar na sua mente e tentar descobrir como ele poderia ter configurado a resposta secreta. Nessa eu fui verificando tudo, comunidade, fotos, postagens, o jeito que ele digitava e etc…tudo para poder pegar o perfil desse meu amigo. Em seguida fui no site do MSN e acessei o “Esqueci a senha” do Hotmail e lá fui na sessão do “Responder a pergunta secreta” e a pergunta que ele tinha deixado lá era “Qual seu personagem fictício favorito”…Com algumas tentativas e erros descobri que a resposta secreta era “Wesker”. Afinal esse meu amigo é fã de Resident Evil e como muitas das comunidades que ele fazia parte diziam respeito ao personagem da resposta secreta e o Hotmail dele na época era pertinente ao jogo não foi tão complexo de descobrir. Portanto acessei a página seguinte do hotmail para realizar a mudança de senha (obviamente não alterei nada).
Cheguei nele e disse o meu feito e ele ficou espantado! kkk mostrei um print da tela como
evidência…O pior é que ele nem lembrava da própria resposta secreta! kkk Dai ele e obviamente modificou a resposta. Mas olha não só me senti bem por colaborar com o meu amigo como também me senti bem mais confiante depois disso.

Técnica utilizada: Engenharia social.
Como foi utilizada: Através das pesquisas do orkut por meio de comunidades (pois com isso você pode traçar os gostos da pessoa) e por meio de convivência também no MSN já que nela você pode ir traçando o comportamento da pessoa. E quando cheguei na pergunta secreta eu simplesmente li o tema “Qual seu personagem fictício favorito” e fui na dedução (o ataque visou o lado humano).
Pilares da segurança quebrados: A confidencialidade


#183

Exercício Prático 1
Eu ainda não presenciei de perto alguma quebra dos pilares da segurança. porém é possível perceber a quantidade de estabelecimentos sem nenhuma proteção, colocando em risco tanto a empresa quanto os próprios clientes.


#184

Exercício Prático 1

Havia um site onde você pagava para obter informações pessoais dos outros. Com o tempo, o site ganhou fama e passou a privar as informações para as pessoas realmente pagarem, mas no começo era tudo mais liberado. Meu pai é um cara que cria conta em tudo porque “vai que um dia eu precise usar, a conta já está criada”. Quando pesquisei o nome dele nesse site, havia muita informação vinculada à ele, e tudo estava certo! Tinha nome dos filhos, nome dos pais, esposa, nome dos vizinhos, endereço, RG, CPF, profissão, local de trabalho, CRM, e-mails, links de redes sociais, empresas que ele usufruía do serviço… Havia informações que realmente não eram para estar liberadas, e nisso comecei a pensar os vários meios do site ter conseguido essas informações, desde invasão de sites que ele criava conta até venda de dados pela empresa.


#185

Eu curso analise e desenvolvimento de sistemas e diariamente vejo pessoas com os pilares ao mínimo abalados, tanto deixando a máquina pessoal abandonada nas salas, quanto as salas do servidor algumas vezes aberta sem monitoramento, ou até mesmo a sala do monitor que guarda as chaves de todas as outras salas sem ninguém cuidando.


#186

O mais próximo que estive de uma quebra de um dos pilares, a confidencialidade, foi quando todos os alunos da faculdade no qual estudo receberam um e-mail do coordenador de curso relatando que as informações estratégicas da reitora foram invadidas pela web.


#187

Pratica 1
Um dia estava sem internet em casa, pois havia poucos dias que tinha cortado a internet da outra operadora, então fui a uma empresa de internet tentar colocar internet em minha residencia, chegando la me falaram que não dava pra colocar simplesmente, e nem foram testar se realmente tinha alcance (a internet daqui era via Radio na época ainda) e na casa do meu irmão q é do lado eles vieram e testaram se dava e conseguiram, aquela situação me deixou tão irritado que me fez pensar de uma forma diferente, e comecei a pesquisar como a transmissão da internet funcionava como eles recebia o sinal e como se autenticava na rede, dai fui descobrindo que a as torres so tinha autenticação por mac, usuário e senha, no qual poderia ter acesso facilmente se o equipamento estivesse com usuário e senha padrão no qual para minha sorte estava, consegui acessar os equipamentos, e utilizar a internet por um período de tempo, no qual so precisava trocar o usuário e senha e continuava a usar, então decidi a expor esta informação para a empresa, não obtive sucesso pois n acreditaram que a rede deles tinha uma vulnerabilidade tão “boba” por assim dizer, tentei inúmeras vez ate que um dia deixei pra la, mesmo assim não deram atenção, e continuaram ate que um dia alguém mandou um ataque na rede que zerou mais da metade dos equipamentos da rede deles, deixando mais da metade dos seus clientes sem internet por quase uma semana, no qual eu sabia como resolver o problema e não deixaram, depois de um prejuízo enorme e muito tempo perdido resolveram a mudar as senhas dos equipamentos, e passaram para fibra em quase toda a cidade.


#188

Peguei uma pequena empresa de contabilidade que pegou 2 vezes ransomware em menos de 2 meses, a sorte deles que eu era muito chato na questao backup, eu sempre cobrava eles de fazer o backup. O que salvou eles foram os backups, e eles sempre falava umas desculpinhas esfarrapadas, porque nao fazia backup. kkkkkkkkk


#189

Exercício Prático 1

Pilar: Disponibilidade
Sou Aluno de Mestrado em Ciência da Computação e uma das atividades que eu e colegas temos que fazer é acompanhar alunos de graduação em suas aulas de laboratório de redes. Em uma dessas aulas um colega de mestrado estava explicando sobre comandos simples para estudar a conectividade em redes. De posse de um IP específico ele orientou os alunos a utilizar o ping para testar a conectividade e explicou como utilizar os parâmetros do comando (número e tamanho dos pacotes). A aula ia bem até que em um determinado momento alguns alunos relataram que o ping não funcionava mais naquele IP… O IP foi substituído e a aula seguiu bem. Um tempo após terminar a aula meu colega relatou que com as informações que ele tinha fornecido aos alunos eles tinham derrubado um servidor web e me explicou o porque disso ter ocorrido.


#190

Exercício Prático 1

Jogava um MMORPG no tínhamos um amigo em comum no grupo que começou a sacanear e atrapalhar o grupo, até mesmo a roubar o grupo. Como eramos um grupo fechado, cada um tinha a conta do outro para facilitar algumas coisas. Quando retiramos ele do grupo ele trocou a senha da conta, mas depois de um tempo, lembrei que tinhamos as senhas em um bloco de notas guardado e logo imaginei que poderia ser a mesma do seu email e sim era a mesma senha. Após logar foi possível pegar os itens de volta e tomar conta do email e conta do jogo.

Com isso, deu-se para refletir o quanto é importante não termos a mesma senha para tudo, pois no email continham mensagens do fb e outros sites/acessos, logo provavelmente era este o email de registro, assim poderia ter realizado um estrago maior ou se alguém tivesse pensado da mesma forma, porém o que me interessava era só recuperar e “vingar” (kkkkk) o que foi feito no jogo e então deixei para lá para que recuperasse o email.


#191

Eu não lembro muito bem mas quando eu tinha uns 13 14 anos eu jogava um joguinho que todos meus amigos jogavam no Facebook e eu era o que tinha o menor poder, mas dai cansei de ser o “mais fraco” e comecei a pesquisar algumas formas p me tornar mais forte e descobri que dava pra usar o cheatengine na época, assim fiquei com recursos ilimitados e me tornei o mais forte e por ai vai.
Por esse motivo e por mais vários comecei a gostar da área e querer obter mais conhecimento


#192

Quando eu era mais nova eu gostava de jogar muitos jogos, e eu sempre procurava um jeito de conseguir itens de um modo mais fácil, através de cheats ou softwares, e tinha um jogo online onde você tinha que ficar matando monstros para coletar itens e conseguir comprar as coisas dentro do jogo e pra não ficar muito tempo fazendo isso eu utilizava um programa onde o meu personagem ficava fazendo isso automaticamente, ele localizava os alvos mais próximos, atacava e coletava os itens sem que eu precisa-se ficar no computador.


#193

#Concepção

Primeira Atividade Prática

Boa Tarde a todos!

Ah Algum tempo fiz estágio em uma empresa que atua dando suporte na área de Informática.
E a alguns meses, passados desde que estive tivemos um problema, tínhamos um servidor de armazenamento de arquivos onde os funcionários tinham acesso para guardar alguns documentos e informações importantes para o desenvolvimento de suas atividades. O que acontecia era que esse servidor não era protegido por um sistema de segurança, “LOGIN” e " SENHA" e para se ter acesso ao mesmo era necessário apenas digitar o seguinte comando “ \ servidor ” e já se obtinha acesso ao mesmo e a todos os dados, e informações que lá se encontrava, até então tudo funcionava normalmente, nada de problemas mas em um determinado dia chegamos e encontramos uma situação meio que desagradável, ao chegar no ambiente de trabalho e ao acessar o servidor percebemos que muitos dos arquivos contidos ali, não mais se encontravam no servidor. Ou seja alguém mal intencionado, utilizou se da fragilidade e da facilidade para se ter acesso a rede , e acabou deletando ou carregando essas informações consigo e as retirou do servidor. Essa ao meu ver foi uma quebra na segurança das informação contidas, mas creio eu que poderia ter sido evitado se tivesse restringido o acesso aos arquivos com um login e senha para cada usuário e se caso algum usuário mal intencionado fizesse alguma modificação o usuário “Master” teria acesso ao usuário que teria feito as modificações e assim se resguardado do possível invasor e até mesmo encontrado o mesmo e o punido com base nas normativas da empresa. No qual um usuário digamos máster tomasse conta e que os demais funcionários, tivessem um login e senha para adentrar, talvez dessa forma não teria perdido arquivos e documentos que eram de extrema importância e esse problema não teria ocorrido. Pois somente quem tivesse acesso ao usuário “máster” assim digamos teria essa opção de quebrar esses três pilares que seria o de confidencialidade, integridade e disponibilidade, ou somente quem tivesse conhecimentos no qual iremos aprender aqui com as Técnicas de Invasão , poderia ter um acesso, mas que não seria ideal pois utilizar se das técnicas quebrando os 3 pilares seria um grande erro ético e moral do profissional que utilizasse das mesmas de forma errônea. Pelo meu ver o que ocorreu foi que ao apagar esses documentos tivemos a quebra da disponibilidade desses arquivos ali contidos, atrapalhando assim o desenvolver das atividades dentro da empresa. Ao querer ajudar deixando o servidor aberto, eles acabaram tendo alguns desses pilares quebrados por algum funcionário que de alguma forma sentindo-se injustiçado ou por simples sacanagem apagou os arquivos comprometendo assim as atividades da empresa.


#194

Olá a todos, meu nome é Diego sou auxiliar de TI, e uma das minhas primeiras experiencia brincando de “Analista de Segurança” quando ainda era estagiário kkkk , fui verificar qual o nível de segurança ao acessar um dos nossos websites que utilizamos no nosso cotidiano operacional, esse website é uma base em cloud desenvolvida por uma empresa terceira.

Como conheço um pouco da ferramenta Wireshark capturei uma parte do trafego do meu próprio dispositivo, e verifiquei que pelo site ser em http, dava facilmente para verificar a senha e a conta do usuário.

Sabe aquela sensação de você conseguir algo tão simples nesse caso, "pela circunstância,de não precisar invadir nada, estava na própria maquina, não precisei conhecer muito, ser um expert, mas tinha que conhecer o básico de uma ferramente top, e de um conceito de redes que aprendi durante um curso técnico ", Até hoje não conheço 30 % do wireshark, mas ter a sensação de dever comprido com esse pequeno teste, foi uma das melhores.

Fui o cara mais feliz do mundo durante as duas semanas seguidas, tenho um sonho de se tornar um Analista de Segurança de Informação e de Redes de Computadores, e aquele inicio foi algo que me da gás até hoje.


#195

Bom dia!

Quando parei para pensar sobre essa resposta, baseado nos vídeos e nos pilares apresentados, dá pra ver que muitas vezes estes já foram quebrados.

Minha primeira “invasão” foi na época da internet discada (é… faz tempo). Os computadores ligados ao mesmo provedor ficavam dentro da mesma rede. Com um batch automatizava os testes de ping para achar computadores online e através dos compartilhamentos administrativos do Windows 95 era fácil acessar os arquivos.


#196

Olá! Bom, meus conhecimentos sobre todo esse mundo da informática são bem rasos. Mas espero aprender muito por aqui, quero navegar pela internet com mais tranquilidade, ser mais atencioso antes de clicar em links que aparentam ser armadilhas, poder explorar esse mundo incrível chamado internet. Quero conhecimento, e estou aqui em busca dele. Quero explorar minha capaciade de observação. Tenho certeza que estou no lugar certo. :male_detective:


#197

Ola… teve uma vez que utilizei um programa para bloquear o acesso aos emails de uns amigos meus, so para conhecimento, com o programa rodando na minha maquina e os emails bloqueados fui em cada amigo meu so para ver como eles estavam e teve um que ate chegou a criar outro email porque não estava conseguindo acesso ao email que ele acessava normalmente…


#198

Vamos lá!!

Com essa introdução ao curso e essas primeiras informações q foram passadas consigo ver que esses pilares são quebrados diversas vezes no nosso cotidiano, irei relatar aqui uma q me veio a cabeça no momento em que terminei de ver o vídeo.

Bom, essa experiencia se passou a alguns anos atras, coisa de uns 5 a 6 anos atras quando eu me estava fazendo um dos meus primeiros cursos, nesse caso era o curso de informatica básica, no decorrer do curso eu sempre me pegava frustrado por não poder conectar meu celular na rede WI-FI do curso, o WI-FI pegava em todas as salas e em todos os computadores menos no meu celular.
Então em um belo dia quando eu estava no meio de uma prova o meu computador travou e tive que chamar o professor e para ele resolver aquele problema ele teve q encerrar minha prova sem eu ter concluído a mesma, logo depois ele acessou o local onde estava armazenado o arquivo da minha prova para poder apaga-la para q eu fizesse ela novamente, mas para ele poder apagar esse aquivo foi solicitado a senha de adm da maquina e eu inocentemente vi a senha q foi digitada.
Logo apos eu terminar a prova eu pesquisei no Google como obter a senha do WI-FI e vi q tem uma forma, mas necessitava que a maquina estivesse conectada a o mesmo, o que já acontecia na minha situação, sabendo disso troquei de usuário e com a senha q tinha visto a alguns dias atras entrei no usuário que tinha acesso como adm do computador, fui em: Central de Redes e Compartilhamento > Cliquei sobre o nome do WI-FI conectado > Propriedades da Conexão sem fio > Segurança > Mostrar Caracteres > Digitei a senha e assim obtive acesso ao tão sonhado WI-FI.


#199

Boa Noite Turma,

Uma vez eu acedi num wifi publico e utilizei a app fing onde verifiquei todos os dispositivos conectados na rede e após isso digitei o ip do router e coloquei o user:admin e pass:admin e entrei e ao entrar fui bloquear o acesso a internet aos meus amigos através do ip deles que eu coloquei, e para isso bastou colocar o ip deles na blacklist do router.

Isto pode ser nada de especial mas foi algo que me diverti a fazer e ainda me diverti mais após eles terem ficado sem net


#200

Quando eu estava no terceiro ano do ensino médio, onde eu estava cursando Técnico em Informática e estávamos programando em C++. Eu e um amigo decidimos programar um simples jogo Tetris, porém quando os demais colegas viram o resultado final, ficaram pedindo muito para que passássemos o jogo pra eles. Foi então que decidimos procurar um script no Google mesmo, que ao executado começasse a excluir todos os arquivos do Windows. O Script até que foi bem executado, deu pra fazer a galera rir um pouco, porém o script não chegava a excluir tudo pois no meio do caminho ele se auto-excluia, parando o processo pela metade. A partir daí comecei a me interessar muito para pesquisar o motivo do mesmo não ter excluído tudo e também como o Windows não estava protegido o suficiente para barrar um .bat daqueles. Hoje trabalho como suporte técnico em uma empresa de segurança e todos os dias vejo casos de empresas que só não foram atacadas por sorte, pois várias vezes me dou de cara com Windows XP ou Windows 2003 com acesso às máquinas do financeiro ou diretoria, entre outros. Espero poder aprender muito mais sobre estas vulnerabilidades e quem sabe entrar para a equipe de Pentest da empresa.