Primeira Atividade Prática [2.0]


#242

Boa noite galera… certa dia, eu fazia parte de um grupo de facebook, lá tinha um usuário que hackeava contas de facebook, e-mails, conta de lojas online etc… ele disponibilizava todos os e-mails e senhas destas contas no grupo uma lista gigante) e eu como bom curioso que sou, comecei a testar estes e-mails e senhas ( eu não estava confiante que iria dar certo, pensei que era somente um charlatão tentando chamar a atenção) blz, fui testando uma por uma, a maioria não entrava mais (pois os outros usuários do grupo já tinham acessado elas e mudado as senhas) então fui testando uma por uma, até que uma destas funcionou, fiquei pasmo pois… pensei que era só um kid fazendo graça no grupo… mas realmente entrei no perfil daquela pessoa… bom eu decidi zuar um pouco, entrei em bate papos, publicações etc… até que outro usuário do grupo entrou na mesma conta que eu estava usando (eu não tinha alterado a senha ) então, quando percebi que tinha outra pessoa usando ( identifiquei porque no site tinha mensagens que eu não tinha enviado) tentei alterar a senha, porém foi uma tentativa frustrada, pois o outro cara já tinha alterado primeiro que eu… e quando atualizou a pagina fui desconectado…


#243

Exercício Prático 1

Tive duas situações que marcaram muito a pouca experiência que tenho em relação ao tema. A primeira foi quando estava na faculdade, sou formado em engenharia de computação, e ficamos sabendo que um aluno havia “invadido” o servidor da faculdade para alterar frequência em uma aula muito chata que nos tínhamos. Aquilo me marcou muito mesmo fazendo computação pois não acreditava o quão “fácil” poderia ser mesmo sem saber como aquilo tinha acontecido.
Como fazia estágio no núcleo de tecnologia da faculdade como desenvolvedor WEB tinha contato com os administradores dos servidores e dos sistemas e acabei perguntando o que havia acontecido. Fiquei sabendo que o aluno não havia feito nada excepcional, mas ao mesmo tempo foi muito inteligente. Ele conseguiu descobrir o email de acesso do professor, o que não era algo tão complexo e difícil de fazer, e realizou um ataque de força bruta para descobrir a senha de acesso ao sistema online da faculdade. Como o professor não era da “área” ( a matéria era álgebra linear então o professor era do departamento de matemática porém dava aula para computação ) a sua senha era algo ridículo, tipo 12345. Como posse da senha e usuário alterou a frequência para não reprovar por falta hahaha.

O segundo incidente foi quando já estava formado e trabalhava em uma empresa de help desk como suporte. Aprendi praticamente tudo que sei sobre redes nessa empresa mesmo entrando lá sem saber nada ( já que meu professor de redes na faculdade mal sabia o que falava ). Quando estava em uma equipe mais avançada fiquei responsável por algumas empresas mais “complexas”. Em uma manhã de segunda feira como de costume nossos telefones não paravam de tocar e em uma delas atendi uma ligação de um técnico que era responsável pela manutenção da rede e de computadores de uma prefeitura de uma cidade pequena cujos servidores firewall e demais sistemas eram mantidos por nós. O mesmo me informou que estava tendo problemas em acessar os documentos compartilhados entre os usuários e muitos departamentos da prefeitura estavam parados pois dependiam desses arquivos. Quando realizei o primeiro acesso para verificar o que poderia estar acontecendo me deparei com o meu primeiro caso de ransomware. Confesso que em primeiro instante fiquei desesperado porque nunca havia presenciado nada igual. Todo o servidor havia sido criptografado, desde os arquivos até mesmo o SO. Foi um caos hahaha
Nossa sorte é que o sistema de backup havia sido reconfigurado a algumas semanas, inclusive eu que havia realizado o atendimento, e o mesmo era feito em um hd nas externo que não tinha sido afetado já que ele ficava oculto e precisava de usuário e senha mantidos apenas por nós por questão de segurança. Demoramos quase uma semana eu e meu chefe realizando a formatação completa de todo o servidor físico e suas vm’s e restaurando o backup para que pudesse normalizar.

Confesso mais uma vez que foi assustador, mas a satisfação de ver o prefeito nos parabenizando quando finalizamos toda a migração e colocamos todos os serviços no ar novamente foi incrível. E tudo isso devido a um departamento da educação onde ficavam algumas senhoras “trabalhando”. Claro que quando fomos realizar uma varredura um dos computadores encontrou mais de 3 mil vírus incluindo vários cavalos de troia e mais algumas coisas hahaha.


#244

Atividade pratica 01

Eu trabalho em uma, como Administrador de redes, um belo dia precisei de um relatório que apenas os funcionários de alto escalão da empresa tinham acesso, e os mesmos não iriam me fornecer esse relatórios por conter dados pessoais de clientes, foi quando em das minhas manutenções rotineiras na sala de um dos gerentes, enquanto ele saiu para tomar um café na copa, instalei uma ferramenta de acesso remoto, no terminal dele, o monitorei pelas câmeras esperando ele sair da sala, e quando ele saiu conectei rapidamente no sistema, usando a senha dele e sua maquina, e assim consegui extrair as informações que precisava sem levantar suspeitas, pois o relatório de logs do sistema acusaria, que foi o usuário dele, e sua maquina que fizeram o acesso naquele dia, e assim não levantei suspeita, no outro dia remove acesso remoto, e fiz bom uso das informações que consegui.


#245

EXERCÍCIO PRÁTICO 1

Foi quando rackeei um amigo e baixei arquivos dele usando trojans, quando acessei wifi de redes sem autorização descobrindo apenas a senha do roteador, quando clenei whatsapp e descobrir a senha do facebook do meu cunhado eu entrei no facebook dele mais não fiz nada.


#246

Atividade Prática 01

Boa noite turma do técnicas!
Na faculdade que estou cursando Gestão em TI, está atualmente em reformas com o projeto atrasado, atrasou mais de um mês de aula para adicionar novas catracas, etc.
Enfim, teve uma vez que fui para o intervalo tomar uma com a galera, e um amigo meu de infância me mandou mensagem perguntando onde eu estava para nós fazermos alguma coisa, contei que estava no intervalo tomando uma com a galera.
Aí ele veio até a faculdade e curtiu o restinho que sobrara do intervalo conosco, e a gente começou a pensar em umas peripécias, como por exemplo como ele poderia entrar na faculdade junto comigo mesmo não sendo aluno. Então pensei no sistema da catraca que quando você está fora, ela libera para dentro, e vice-versa. Porém algumas vezes observei que a catraca liberava para ambos os lados, e decidi testar para ver se daria essa ““sorte”” kkkkkkkk… então fui até o terminalzinho para impressão do R.A., dei o papel para ele. Em seguida usei o aplicativo da faculdade para entrar no meio da muvuca, a faculdade tinha uns 150 alunos entrando ao mesmo tempo, e apenas uns tres seguranças observando a movimentação. Assim que passei a catraca, passei o RA denovo e girei-a para trás, registrando no sistema como uma saída. Em seguida meu amigo veio e passou o R.A. e acessou a faculdade junto comigo, inclusive assistiu aula kkkkkkk, imagina se fosse um homem bomba… Hoje em dia a única solução deles foi colocar uma plaquinha na entrada: “Caso a catraca libere para o outro lado, avise um segurança! Não passe.” hahahahahahahahahah poderia entrar com um exército lá.
Boa noite!


#247

No meu atual emprego, há diversas falhas graves de segurança, então vou listar como tópicos;

  • Rack de servidores de fácil acesso (há uma câmera no local, porém a entrada traseira dos mesmos não dá visão para a câmera, além de que qualquer pessoa pode acessar o ambiente) fazendo com que um simples pen drive infectado faça o trabalho.
  • Livre acesso de dados extremamente confidenciais (todas senhas dos e-mails entre outras coisas) para novos colaboradores da T.I.
  • Falha nos termos de confidencialidade gerado pelo RH ao contratar novos colaboradores (tanto da T.I quanto os que utilizam dados importantes, como comercial, etc).
  • Falha na configuração dos e-mails, os usuários não possuem acesso a senhas porém o arquivo de dados .pst não possui nenhuma senha, possibilitando que se houver uma brecha de levar o arquivo de dados embora, consiga acesso à todo histórico do e-mail.
  • Falha no gerenciamento de senhas, já que está em uma planilha do excel.
  • Falha na configuração do Firewall, grande parte dos sites do tipo “drive” (google drive, dropbox, etc) são bloqueados, porém há INÚMEROS sites do gênero (4shared, mega.zn, we transfer) que não são bloqueados, possibilitando passagem de dados.

#248

Exercício Pratico 1

A algum tempo Atrás na empresa que trabalho surgiu um problema com um banco de dados de um dos clientes, deixando o banco inacessível e o ultimo backup que se tinha do banco tinha sido feito a uns 3 meses antes do ocorrido. Depois de muito trabalho conseguimos recuperar o banco e desde esse ocorrido percebi o quanto as ações de segurança da informação podem ajudar a evitar esse tipo de problema.


#249

Trabalho de analista de TI já alguns anos, portanto já vivenciei algumas experiencias com a quebra da tríade, como: ataque banker, tentativa de ransomware (pega ainda início), usuários sendo usuários várias vezes kkkkkk, enfim. Mas o que deixo como experiencia maior é referente ao trabalho de conclusão da minha pós graduação, onde escrevi sobre vulnerabilidades do protocolo de segurança WPA2. Para execução, montei um cenário controlado simulando um ambiente real e utilizei como base o AIRCRACK e o FLUXION para ataque desta rede alvo e com ambos os meios obtive o resultado esperado.
Acho que esta foi uma experiencia bem legal, onde pude aprender bastante sobre segurança de redes Wireless.


#250

Exercício Prático 1

Tive duas experiencias legais com segurança

  • Há um tempo atrás eu gostava de ficar criando contas fakes no Facebook, e acaba que tinha uma galera fazendo isso, e tipo tinha comunidades e tals, tinha até os famosinhos de Fake igual tem de Instagram e Facebook, foi aí que eu descobrir uma arma de engenharia social no google, criei formulário no Google Docs com paginas fake pedindo senha e e-mail do Facebook, e que se você preenchesse ganharia milhares de seguidores brasileiros. Com aquilo eu conseguir muitas contas, por que ficava em uma espécie de banco de dados armazenado foi épico

  • A segunda foi recentemente, trabalho com protheus na minha empresa mas não na área de TI, e vasculhando o sistema eu conseguir acesso aos CPF de todos funcionários da empresa, e assim acesso pelo navegador o contra-cheque online de quem eu quero, tenho acesso a Salário, CPF, Endereço, Conta Bancária, Admissão etc…
    Resumindo Informação é Poder posso fazer o que eu quero com eles, tenho tudo de todos.


#251

Atividade prática 01

  • Já instalei um software espião no pc de uma amiga, pra testar mesmo. Fui na casa dela e acessei o note, segui uns tutoriais instalei e deu certo, mas dps de um tempo desinstalei, ela nunca ficou sabendo.

  • Teve um lugar que trabalhei onde tinha o computador do meu chefe, lá eu tinha um acesso meio livre as vezes, ele deixava e-mail aberto, tinha acesso a câmeras, e até chegou a deixar dados bancários expostos e alguns documentos mt pessoais. Poderia ter usado algo a meu favor.

  • Uma amiga me pediu um dia pra ajudar ela pq tinha um perfil fake no facebook incomodando ela e xingando e tal. Eu consegui descobrir alguns digitos do cel da pessoa, pedi pra ela ver na sua lista de contatos se batia com algum nº da lista e acabou que ela descobriu quem era. Uma boa ação nesse caso, mas foi bem interessante o modo como tudo se resolveu e a pessoa achando que estava bem escondida por trás de um perfil falso.


#252

faço estágio em uma secretaria pública empresa a qual os estagiários não têm permissões para acessar devidas pastas na rede, entretanto em um belo dia futricando em alguns fóruns descobri uma maneira de achar algumas brechas, foi ai que eu consegui acesso em algumas máquinas que estavam compartilhadas na rede e consequentemente obtive acesso a login de usuários e também à várias pastas do governo…obviamente li tudo auhsuahs e se eu contar pra vcs o que vi la vcs ficariam enjoados com a políca do nosso país rs.


#253

Exercício 1

Trabalho na gerência de redes para provedores de internet, e diariamente me deparo com falhas de segurança da maioria dos equipamentos de um provedor, se não 100% deles. Semana passada mesmo, invadiram o sistema de gerencia de clientes de fibra de uma OLT (ANM200) simplesmente por que estava na web e não trocaram a senha padrão do sistema e nem adicionaram firewall para a rede dos sistema.


#254

Exercício Prático 1

Eu fazia curso de informatica e na época eu não sabia cobre segurança da informação, mas eu tinha um amigo que já entendia de dos, ai eu ele ele colocamos para rodar o programa e deixamos rodando na hora que fomos embora, ai só outro dia ele foi chamado para conversar pela direção, e eu ajudei mas na época eu não sabia o que estava fazendo.


#255

Em centrais de atendimento ao cliente de universidades, orgãos publicos e empresas em geral é bastante comum encontrar um descktop com a parte de traz virada para o cliente esponto cabos e portas USB. Inserindo um micro pendrive preparado ali é simples quebrar a seguraça do sistema de forma imperceptivel. Já vi esta situação vaaarias vezes, sempre tive vontade fazer isso mas nunca tive coragem para fazer algo que sei que é ilegal.


#256

Atividade pratica 1

Há alguns anos meu tio começou a trabalhar em uma empresa, pediram várias informações dele: CPF,RG,telefone etc… cerca de 1 ano depois que ele deixou a empresa, começaram cobranças bancárias de um carro que havia sido comprado no nome dele, sendo que o único meio de transporte que ele possui é uma moto velha, até hoje o caso está no judiciario.


#257

Uma certa época, 2008 mais ou menos, eu jogava Mu Online, servers piratas pra variar. Lembro que podíamos derrubar sites desses servers, muitos desses sites hospedados no próprio PC do Administrador com NO-IP. Eles eram e são ainda divulgados em portais que ensinam a criar os servers… Bastava usar uma ferramenta (que eu não lembro o nome) e fazia um simples DOS, não durava 10 segundos o site já caia kkk


#258

Não há muito tempo, assisti a colegas meus serem atacados, via wifi e email por ransomware e nem esboçaram nenhuma preocupação coom isso, nem sequer minima consciencia da gravidade do que se passava…enfim o mundo do faz de conta…


#259

Exercício Prático 1

Para fins DIDATICOS hehehe, um amigo e eu estamos criando um hotspot com autenticação via facebook, obviamente com uma página de login fake para capturar os dados de que tentar se autenticar, tudo isso pq ele esta meio puto da vida com a vizinhança dele rsrsrs.


#260

Um amigo meu utilizando a desculpa de que uma pessoa ganho o celular e que para ativar a conta deveria rodar um programa que estava em um disquete, conseguiu o acesso de um setor de uma prefeitura. Isso nos mostra como é importante conhecer e deter a informação.


#261

Sou iniciante no mundo da Segurança da Informação, mas acho que será muito importante aprender sobre ela, principalmente que estamos entrando na era da Internet das Coisas, onde praticamente tudo está conectado à internet.
Na faculdade a qual estudo, os alunos tem acesso à internet apenas plugando o cabo de rede nos notebooks. Acho um erro grave, nunca testei se tem acesso a rede, mas observo vários alunos utilizando da internet para fazer download de torrents e jogos online.