Primeira Atividade Prática [2.0]


#222

Curso sistemas de informação, e estagiei em uma empresa onde tinha acesso ao data center, e toda a infraestrutura física deles. Além de que os servidores em geral não estavam preparados para ataques, inclusive alguns receberam fishing em se email institucional e abriram portas para invasão


#223

Olá.

No dia a dia vejo as pessoas utilizar equipamentos com senhas padrões.


#224

Exercício Prático 1

Tem alguns jogos no qual eu jogo que podemos encontrar vários jogadores utilizando programas para ter vantagens nos games, bom a maior parte desses jogadores simplesmente baixa esses programas e executa para poder jogar, então através desses programas que podemos ter acesso ao computador de outras pessoas, como por exemplo o njrat onde é fácil você criar um trojan e colocar nesses programas utilizados por esses jogadores, já que eles mesmos desativam o antivírus e outros recursos para poder utilizar esse “hack” em jogos.


#225

Exercício Prático 1

Possuo uma empresa onde presta serviço de infra e desenvolvimento de sistemas. Infelizmente existem empresas que acham que não é necessário investimento na área de TI, pensam que apenas comprando um equipamento novo para aumentar a produtividade do profissional para trabalhar. A uns 8 anos atrás fiz um contrato de prestação de serviço com uma empresa “X”, e o CEO na época sempre deixou claro que não queria ter gastos com firewall, anti vírus, os gastos seriam apenas na compra de equipamentos em caso de necessidade EXTREMA. Mas gastava horrores com Marketing e outras coisas. Informei a ele sempre a importância de ter um anti vírus, preferencialmente que seja corporativo para não ter problema de 20 máquinas ao mesmo tempo usar a banda fazendo download durante o expediente. Fiz vários orçamentos, com o objetivo de mostrar a ele que o custo é pequeno e importante, o Trend tinha saído na época coisa de 35 dólares por equipamento POR ANO, coisa de 100 reais (pois na época dólar era baixo), a empresa tinha na faixa de umas 20 máquinas ( contando com servidores ). Não aprovou e disse que se as coisas melhorarem futuramente ele pensava nisso… A equipe entregava o planejamento estrategico todo inicio de ano informando a necessidade de adquirir firewall e anti virus e nunca aprovaram, enfim…em 2014 surgiu uma nova variante do ransoware que infectou vários computadores da empresa e acabou pegando a máquina do CEO, onde ele tinha acesso completo nos diretórios e documentações da empresa, a variante conseguiu chegar no HD EXTERNO na qual estava conectado o servidor e criptografou tudo. Ele não quis pagar o resgate porque foi muito alto o valor (coisa de 30 mil reais — detalhe que apenas 1 diretório hein, tudo ele tinha feito um preço muito camarada 150 mil — a serem pagos usando bitcoin). Preferiu não pagar, perdeu vários documentos e seguiu a vida, após isso ele veio em cima da minha empresa informando sobre o ocorrido, simplesmente expliquei para ele na qual desde o inicio do contrato estava informando e ele depois desse episodio ( 2014 ) até hoje paga a licença do anti vírus e comprou appliance da fortgate, e hoje todo backup e enviado para as nuvens. Moral da história, existem empresas que não valorizam a sua informação, acham que é caro proteger e que nunca vão acontecer com ele e espera sempre ocorrer para mudar a postura. Existem vários empresários ainda com essa visão, vamos ver até quando essas pessoas irão valorizar mais a imagem da empresa do que a própria informação que existe nela.


#226

Varias empresas liberam o acesso na rede sem nenhuma segurança para os funcionarios, é só plugar o cabo de rede no note e está tudo liberado, um erro muito grave!


#227

No final de 2016, houve um ataque de DDoS que derrubou diversos sites e serviços online. Lembro que na época a PSN foi afetada por algum tempo, derrubando a mim e uns amigos de uma sessão online. Não lembro quanto tempo o serviço ficou offline, mas foi mais longo que os normais bugs ou manutenções periódicas do servidor. Depois do ocorrido, relataram que foi um dos maiores ataques do ano desse tipo. O aparente culpado foi um usuário insatisfeito com os serviços da Sony, que resolveu derrubar um provedor ligado à marca. Na época, foi muito falado que a segurança da PSN era fraca, pois apenas uma pessoa foi capaz de causar tamanho estrago para tanta gente ao mesmo tempo e em tantos lugares diferentes.


#228

Trabalhei por 13 anos na Prefeitura do RJ. Meu chefe era um babaca incompetente, desses indicados por cargo politico. De tanto encher o saco dele, todo o correio eletronico da PCRJ era no Lotus Notes e os arquivos de identificacao se chamam ID. Baixei um script de brutal force e deixei rodando por 3 dias e consegui a senha dele. A partir dali, eu lia todo seu Email e sabia todos os passos… Foi um ato que me deu muito orgulho, pq tive que persistir bastante.


#229

Exercício Pratico 1

Eu presenciei um pego defeito no sistema da empresa na parte de controle de acesso onde todos funcionarios tem uma opção de relatorios no sistema mesmo que o funcionario não tem o acesso ao tipo de informação, se ele for em relatorios ele escolheria o tipo de relatoria que ele quer pois estava todos disponíveis ele extraia a informação que ele não poderia ter o acesso.


#230

Exercício Prático 1
Já tive algumas experiencias em que encontrei vulnerabilidades em acesso remoto a computadores e senhas padrões em roteadores. Vou contar um pouquinho aqui.

As vezes encontramos lugares que disponibilizam o acesso a internet liberado(WI-FI), acho isso uma vulnerabilidade para quem acessa e para quem libera o acesso.
Entrei no wi-fi liberado de uma clinica onde esperava minha vez para ser atendido. Enquanto isso, abri o navegador no smartphone e tentei acessar o roteador colocando o ip padrão de roteadores e consegui achar ele logo na primeira tentativa.Consegui abrir o roteador com tentativas de senhas padrões e explorei todas configurações. Vi todos os dispositivos que estavam conectados e percebi que ali tinha uma grande vulnerabilidade.

Entrei no wi-fi liberado de uma lanchonete e consegui acessar o roteador com senha padrão. Troquei o nome da rede e a senha, deixei todos sem internet e fiquei olhando as reações das pessoas. Depois de uns 30 minutos observando as pessoas tentando acessar a internet, se perguntando se estava com internet, coloquei tudo como estava e todos ficaram felizes novamente kkk.

Na instituição onde fiz Técnico em informática abri um programa onde mostra todos os dispositivos conectados na rede. Fiquei tentando acessar via acesso remoto do Windows alguns computadores da rede e consegui acessar o computador onde tinha informações sobre aulas, conteúdo só dos professores.


#231

Exercício Pratico 1
Trabalho em uma empresa de Call Center, que trabalha com dados de diversos clientes, cada funcionário tem seu kit de acessos autorizados pela empresa para tratar de assuntos com os clientes que entram em contato todo dia. O que eu me deparo o tempo todo é que esses funcionários tem uma mania horrorosa de emprestar acessos e senha uns ao outros, para fazer alterações em dados de clientes ou contratações de serviços. Isso é um erro banal.
Outra situação foi quando eu estava passando em frente a sala de servidores que estava aberta com técnicos autorizados trabalhando e uma pessoa aleatória, sem autorização aparente para está naquela sala, entrou para bater um papo com os técnicos. Lembrei de um tema que estava estudando na faculdade sobre exatamente isso, que só pessoas autorizadas porem tem que acesso a salas de servidores ou locais que reúne um alto nivel de informação.
Acho que essas duas falhas quebram a trindade de Segurança de Informação, e só reforça naquele ponto que o elo mais fraco sempre vai ser o humano.


#232

Trabalho no TI em uma empresa de Comercio, que antes de minha chegada os computadores bem como maioria dos equipamentos que tem informações especificas senhas e dados em si, ficavam disponíveis a quem quisesse como senha wif, informações da empresa, pastas compartilhadas dentre arquivos pessoais dos gerentes como fotos, videos, arquivos como impostos, folha de pagamento contendo todas as informações da pessoa, bem como respectivos salários enfim, tudo aberto, atualmente consegui diminuir a quase a zero informações com acesso publico deixando privado e para acesso restrito com login e senha bem como informações pertinentes a wifi totalmente bloqueadas e restritas a funcionários como eu e meus gerentes para o nao uso indevido mas ainda temos muitas falhas as quais estou sanando com o decorrer do tempo e espero que muito mais agora com o Projeto Técnicas de invasão!


#233

eu acho que uma quebra da informação que nos temos hoje são as papelarias ou gráficas por meio de um ataque de Rubber Ducky conseguimos infectar diversos dispositivos, podendo ate criar uma bootnet


#234

Primeira Atividade

Boa Noite Galera, então é até um pouco engraçado o que aconteceu comigo kkk, um certo dia estava jogando na madrugada, ai minha internet estava muito lenta, ai resolvi acessar a do vizinho por pura conhecidencia eu descobrir o IP dele e acessei o roteador dele, mais só olhei e sair poderia ter deixado eles um bom tempo sem internet kkk, outro dia a internt dela tinha dado problema um menino que já sabia a senha entrou e bagunçou tudo, nem tava mais pegando internet, como ela sabia que eu gosto muito de tecnologia, ela veio me chamar para resolver, como eu também sabia a senha resolvir e troquei a senha pra ela e anotei em um papel a senha, e disse “Não deixe ninguem ver pois com isso podem fazer muitas coisas.” na epoca eu nem sabia o que poderia realmente fazer kk, dia de hoje já sei os problemas que podem dar com isso, História meia doida kk.


#235

Exercício Prático 1

Comecei a estudar segurança da informação desde os meus 16 anos, hoje me encontro com 20. Sou completamente apaixonado pela área percebi que seria minha profissão do futuro quando desde pequeno tentava pegar senha da galera facebook, instagram, e-mail de professores, meu primeiro ataque foi de engenharia social mandei para um professor da turma um link criado através de hotspot, um ingresso para um show de graça e ele caiu direitinho, eu conseguir as provas aplicadas até o fim do semestre, tirei 10 em todas. Quero muito me aperfeiçoar, e querer ajudar as pessoas a se proteger.


#236

Sempre fui muito curioso em questão de informatica há um tempo eu descobri o inspecionar elemento…e eu jogo um jogo á 6 anos seguidos… porém eu tinha varias contas, como forma de dar um turbo nos meus upgrades no jogo… no inicio eu conseguia logar duas contas simultaneamente no mesmo navegador sem dar problemas, porém o jogo com atualizações impediu que eu continuasse logando duas contas simultâneas , mesmo usando guia anonima não rolava…, você logava em duas contas e logo uma delas ( no caso a que havia sido logada primeiro ) aparecia uma mensagem na tela ( por favor atualize a pagina e faça login novamente ) e a tela ficava um pouco escurecida, me impedindo de clicar para fazer qualquer coisa no jogo…
então como eu era curioso, eu apertei o botão direito do mouse em cima da caixinha da mensagem que solicitava que eu atualizasse a pagina e fui em inspecionar elemento… e logo vi que quando eu ficava com o mouse em determinados códigos ( que eu não fazia e não faço ideia do que são, mas espero aprender sobre eles nesse curso ) a caixa da mensagem pedindo para eu atualizar a pagina ficava azul… então logo pensei… sera que se eu apertar dell ( apagar esse codigo ( ja que no inspecionar elemento isso pode ser feito, porem se você atualiza a pagina … tudo volta ao normal… ) a mensagem some ?? então apertei dell e pimba! a mensagem e a caixa branca sumiram… ai a tela ainda estava meio escurecida , o que eu fiz ?? fiquei clicando em alguns códigos ate achar o código que fazia a tela ficar meio escura…e apaguei ele também hahha, e assim consegui e ainda consigo logar duas contas simultâneas no mesmo navegador… e o jogo aceita transações com dinheiro real, se eu que não sei nada de programação e afins consegui fazer isso… imagina quem entende…
pela 1 vez acho que hackiei ago …

GENTE ACHO QUE FICOU MEIO CONFUSO, MAS POSSO MOSTRAR POR VíDEO SE PUDER E SE QUISEREM VER… NADA ILEGAL…


#237

Primeira Atividade Prática:

Um fato recente que ocorreu comigo foi inúmeros ataques DDoS ao servidor de um jogo, onde os responsáveis não deixavam o jogo ficar online por 5 minutos, quebrando assim o pilar de Disponibilidade. O jogo ficou offline por alguns dias para manutenção e revisão e após algumas atualizações voltou a normalidade.


#238

Exercício Pratico 1

A uns anos atras eu viajei para casa de uma prima minha, ela não quis me passar a senha do wifi dai eu fiquei puto e hackei o wifi dai descobri a senha. isso ja faz muito tempo.


#239

Bom, Boa noite a todos.

Eu trabalho em uma empresa como analista de suporte, basicamente eu cuido do suporte ao ERP da empresa, mas ano passado nos sofremos um ataque hacker em nossa rede, tudo estava funcionando normalmente até o meio dia, porém quando os colaboradores voltaram do almoço e tentaram acessar o sistema da empresa, se depararam com o sistema inativo, e logo ligaram na minha sala, quando eu acessei o servidor vi que todos os arquivos e pastas estavam criptografados, eu fiquei louco, desesperado, não sabia o que tinha acontecido pois nunca tinha visto aquilo na minha vida, a empresa ficou parada sem sistema por 3 dias, tivemos que contratar uma empresa especializada em ataque cibernético para nos ajudar, graças a Deus nos tínhamos todos os Backups em dias e conseguimos recuperar 100%… foi aí que essa empresa disse que tínhamos sofrido um ataque de Ransomware… Naquele momento me senti totalmente despreparado e inútil, foi uma sensação tão ruim, é por isso que decidi fazer o curso do técnicas de invasão, também comecei uma pós em Segurança pois sou recém formado em Sistemas de informação, para que eu nunca mais possa me sentir assim de novo… bom essa foi minha experiencia, valeu galera :wink:


#240

Exercicio pratico 1

Bom, nao cheguei fazer nada de ruim , mas estudando por conta consegui ganhar acesso em uma empresa , atraves do site da empresa, usando a conhecida falha do sql, consegui ter acesso ao banco de dados e todas as senhas , ai veio a questão , oque fazer agora? aviso ou uso hahahha, mas mandei um email para o ADM do site informando , me agradeceram e ate hoje ainda presto algum serviço pra eles rsrs, agora no Tecnicas de Invasão pretendo aprimorar ainda mais meu conhecimento.


#241

Olá, uma história relacionada ao “CID”, bom… minha experiência é fraca, entrei a pouco tempo, de séries, filmes, livros… gostava da parte ativista da cybersegurança e da engenharia social, espero aprofundar meu conhecimento.