Primeira Atividade Prática [2.0]


#61

Exercício prático 1

Na cidade onde eu morava havia dois provedores de Internet, e eu trabalhava em um deles, e em tres anos que eu estava trabalhando lá nunca tinha acontecido nada fora do comum, porem certo dia pela manha assim que chegamos na empresa percebemos que todos os telefones estavam tocando sem parar, e quando iniciamos o suporte percebemos que todos os cliente reclamavam do mesmo problema, “estou sem Internet” Nós verificamos no The Dude, programa que usávamos para monitorar as repetidoras e vimos que estava tudo certo, mais depois de alguns teste descobrimos que duas repetidoras haviam sido comprometidas, elas foram invadidas e por elas o invasor teve acesso aos roteadores de cada cliente nosso, ao qual ele entrou e trocou o nome de usuário e senha do roteador e também mudou o ip de acesso dos clientes com a repetidora.
Gostaria de frisar que esse ataque foi do nosso concorrente, um ex-funcionário que após ser desligado da empresa decidiu abrir seu próprio provedor juntamente com outro empresário da cidade, sabíamos que foi ele pois as senhas que ele colocou nos roteadores, eram senhas ofendendo o dono da empresa a qual eu trabalhava, apelidos que somente o invasor e o dono da empresa conheciam pois era de suas épocas de infância. Ambos já tinham sido muito amigos no passado.
Passamos dois dias e duas noites resetando aparelhos e reconfigurando novamente, muitos cliente pediram cancelamento ou desconto dos dois dias que ficaram sem Internet. Duas semanas depois o dono da empresa a qual eu trabalhava, chegou no suporte e disse: “Hoje preciso que vocês fiquem até mais tarde, pois hoje vamos devolver o troco pra eles” nos Passamos a noite invadindo as repetidoras deles e desconfigurando os roteadores, também mudávamos as senhas e login para dificultar a restauração dos mesmo. O acesso que fazíamos nas repetidoras era via SSH e depois fazíamos da mesma forma com os roteadores, Como o dono da empresa conseguiu a senha das repetidoras eu não sei, mas as senhas dos roteadores dos clientes era padrão, (qwert) dai em diante era fácil.
Obs: quando digo roteador dos clientes, era o roteador que ficava na antena, antigo sistema de antena de grade 2,4 GHz.


#62

Exercício Pratico 1

Semana passada após fazer parte do mini-treinamento em técnicas de invasão já comecei a pensar de maneira diferente em meu cotidiano. Uma situação que passei recentemente após este treinamento foi na qual eu fui visitar um cliente no qual estou fazendo um projeto de freelancer e me deparei com uma câmera de segurança dentro do ambiente aonde exercem suas atividades, perguntei ao dono se aquela câmera estava funcionando e ele me garantiu que sim. Rapidamente acessei a wi-fi e peguei o endereço de IP da empresa em questão, após chegar em casa tentei fazer um acesso naquela câmera de segurança porém havia uma senha. Após poucas tentativas utilizando as senhas “padrões”, consegui o acesso, e então entrei em contato com quem havia me solicitado o trabalho de freelancer em específico e mostrei a vulnerabilidade que havia ali.
Expliquei para ele a necessidade de ter uma senha forte e que de alguma forma deixando essa senha fraca ali, deixaria seu ambiente de trabalho todo exposto para ladrões, invasores ou qualquer tipo de pessoa que queria fazer o mal.
Ele me agradeceu grandemente por achar essa vulnerabilidade e com toda certeza eu também fiquei muito feliz por já colocar em prática tudo o que aprendi com o treinamento até aqui.


#63

Atividade prática 1

Minha primeira experiência foi quando eu estudava e o wifi era bloqueado para os alunos até que um dia o professor deixou o notebook dele na sala e eu peguei e descobri a senha.
Uma outra experiência que eu tive, foi descobrir um perfil fake em uma rede social de uma amiga sendo que ela nunca tinha comentado nada com ninguém e eu descobri esse perfil fazendo as 3 coisas (conhecer, analisar e explorar o alvo) sendo que eu nunca tenha visto e nem ouvido falar sobre que eu só aprendi agora no mini treinamento e no curso, percebendo que para descobrir usei as 3 coisas importantes para colher informações do alvo e chegar no resultado esperado.


#64

Atividade prática 1.
Recentemente tive acesso a uma rede wireless de um shopping,conectei e usei uma ferramenta para listar os endereços ips conectados nessa rede. Para a minha surpresa,apareceu vários ips de computadores e notebook de uma determinada empresa,que eles usavam essa mesma rede para trabalho. E simplesmente ao acessar algumas dessas máquinas pelo seus ips,tive acesso a pastas compartilhadas,onde tinha alguns documentos sigilosos dessa empresa. Algo que não esperava encontrar,documentos,arquivos tão desprotegidos,alguns nem pediu senha para eu ter acesso ao compartilhamento. Rede corporativa sem nenhuma segurança. Olha que eu não usei nenhuma ferramenta de sniffer, apenas uma ferramenta que lista ips.


#65

Atividade Prática 1

Na faculdade ha uns 6 anos, quebrei as senhas dos PCs do laboratorios com ACTIVE BOOT, para pegar as licencas do software de eletronica que não funciova no meu pc pessoal. Pois era muito caro para comprar… Recomendo nunca fazer isso.


#66

Boas Bruno e povo,
Bom, minha primeira “atividade” nesta área, foi descobrir um acesso adm em um colégio/universidade, em que eu ativei meus “olhos” e decorei umas senhas que me estavam expostos, e com essas informações eu fiz com que meu perfil de acesso entrasse no “grupo de administradores” e com isso segui minha vida.
Não só isso, cansado de ficar esperando e carregando quase que diariamente os créditos em meu celular, descobri por um acaso que a segurança dos pontos de acesso em meu redor era bem fraca(WPS2) e com ajuda de alguns app usufruí do mesmo kk.
E esse foi meu/s primeiro acesso a “SI”.
Um abraço. Francisco J.


#67

Dentre todos os meios de obtenção de dados e possível acesso, creio que a engenharia social pode nos fornecer muitas informações que uma pessoa menos atenta não consegue perceber.

A maioria das pessoas tem hábitos e até manias e certos comportamentos que se repetem no ambiente de trabalho, o que para um bom observador, atento, pode ser usado na descoberta de algo. Muitos relatam o seu dia a dia, suas preferências e até mesmo como escolhem as suas senhas para ser mais fácil lembrá-las.

Desse modo com um pouco de interação, bate papo, ouvidos e olhos atentos ao comportamento de alguém, já é suficiente para obter muita informação para analisar e explorar. Isso tudo sem a necessidade de muitos recursos tecnológicos, que poderiam ser usados depois, caso necessário.


#68

Exercício Prático 1

Eu tenho 16 anos e não tenho grandes conhecimentos de invasão, mas certa vez tive a oportunidade de “testar” um site Wordpress, nesse caso o site tinha plugins desatualizados e páginas que não deviam ser acessadas por usuários comuns.
Essa pode ser uma pequena experiência, mas foi um bom aprendizado.


#69

Trabalho em uma empresa de informática, onde administro redes corporativas, faço implantação de servidores, firewalls e monto estruturas de rede. Me deparo sempre com administradores e donos de empresas que ignoram o crescimento da tecnologia e da segurança da informação que esta muito presente em nosso meio. Ignoram por não adquirirem ferramentas, ou meios que tragam segurança aos dados da empresa. Ignoram mesmo presenciando o crescimento de sua empresa. E não fazem caso. Ate que algo aconteça com seus dados. Trago um exemplo: apresentei a um determinado cliente da empresa que trabalho que estava na hora de investir em ferramentas que tragam mais segurança aos dados da empresa. Visto que a mesma tinha crescido bastante. Ferramentas como um firewall, antivirus licenciado, entre outras. Porem o cliente fez pouco caso e disse que não achava necessário investir nisso. O resultado foi que algum tempo depois com a chegada do ransomware WannaCry. O servidor foi infectado pelo mesmo. Criptografando todos os dados da empresa. Gerando assim, obviamente, um transtorno gigantesco e a perca de dinheiro. Depois disso o cliente tratou de adquirir as tais ferramentas que ele achava desnecessárias. E esse foi uma das vezes que eu presenciei pilares de segurança da informação serem quebrados.


#70

Então na verdade minha primeira atividade prática meio que foi eu como cobaia.
Eu jogava (ainda jogo esse mesmo jogo) um jogo mmorpg e tinha umas coisas bem legais , porém nada extraordinárias . Então conheci um garoto lá e lembro que ele me ajudou com um programa de BOT pra conseguir jogos sozinho sem que eu estivesse no PC .
Então ele me enviou uns aquivos por skaype e eu acabei baixando , e ele pediu pra que eu reiniciasse o PC pra o arquivo começar a funcionar , e assim o fiz .
Quando tentei entrar com meu loguim e senha , que eu tive a surpresa !
A conta só dava senha invalida . Então loguei outra conta e mais que de pressa eu entrei no jogo e lá estava o meliante logado com minha conta e distribuindo oque não lhe interessava . Caraka foi muito louco ver ele fazer aquilo e não ter oque fazer , apenas implorar pra que ele não fizesse aquilo. Ai parei pra pensar e lembrei de ir no site do jogo e alterar meus dados e juntamente a senha de tudo inclusive imail etc…
Mais por mais que eu trocasse ele só fazia rir e dizer : ‘’ xiiiiiiiiiiii essa senha é muito fácil ‘’ e ele entrava com a senha que eu tinha atualizado .
Ele sabia até como era o papel de parede do meu computador .
Então foi desse dia em diante que eu comecei a me interessar por esse universo e hoje estou dentro do curso aprendendo o máximo possível pra que eu nunca mais passe por isso.
E lógico ir atrás desse safado.
Mais foi assim que eu tive minha primeira experiência com esse tipo de coisa .
0/


#71

Bem, a minha primeira experiência com a quebra do pilar de confidencialidade, foi quando usei pela primeira vez o Shodan . Depois de uma busca completamente aleatória deparei-me com Servidores e sistemas de backup completamente expostos para o mundo exterior. Sem necessidade de qualquer experiência em Hacking no segundo seguinte tinha á minha frente diretórios com informação confidencial de empresas. Obviamente que desliguei logo tudo e senti um misto de medo e orgulho e foi isto que me fez levar a fazer o curso. Ao conhecermos estas vulnerabilidades aprendemos a fazer as coisas de forma mais segura


#72

Exercício Prático 1

Na época que eu estudava eu sempre quis saber a senha do WIFI da escola, um certo dia uma professora me pediu ajuda em seu notebook, pois ela não sabia o que fazer, porque disse que era muito difícil mexer no Windows 8, eu também não tinha muita experiencia pois sempre rodei com o windows 7, e quando vi ela estava conectada no WIFI da escola logo fui nas propriedades de configurações de Rede e Internet e consegue pegar a senha da escola, logo apos alguns dias fui na biblioteca pois precisava fazer uma impressão e vi que a impressora era WIFI, como a impressão era paga na minha escola, baixei em meu celular o aplicativo compatível com a impressora se não me engano era Epson, localizei a impressora, cadastrei ela, esperei a mulher que ficava la sair e imprime o que eu precisava sem pagar!!!


#73

Então, trabalho em uma empresa que recentemente foi implantado um novo sistema, um dos técnicos fez um acesso remoto a uma máquina para resolver um chamado, e esqueceu aberto o programa que usa para acessar o banco de dados.
Após o ocorrido avisei o técnico, mas imagina se sou uma pessoas com má intensões? Teria todas essas informações de mão beijada. Rsrs


#74

Exercício pratico 1
Eu jogava á alguns anos atrás um jogo famoso chamado Grand Theft Auto V (GTA 5). E como na época o Play Station 3 já era desbloqueado, existia o MOD MENU pro off¬-line( como o MOD a pessoa virava Deus dentro do jogo).Depois de um tempo os crackers conseguiram passar esse tal MOD pro on-line. Atualmente eu não jogo mais o jogo pós como os crakers na sessão o jogo fica injogável.


#75

###Exercício Prático 1

Trabalho em uma Software House.

Faço parte de um equipe que testa os softwares e nesse meio ja encontrei falhas como SQLi ou RFI que comprometiam o sistema como um todo.


#76

Atividade Prática 1.

Então, trabalho em uma empresa que recentemente foi implantado um novo sistema, um dos técnicos fez um acesso remoto a uma máquina para resolver um chamado, e esqueceu aberto o programa que usa para acessar o banco de dados. Após o ocorrido avisei o técnico, mas imagina se sou uma pessoas com má intensões? Teria todas essas informações de mão beijada.


#77

Saindo um pouco do cenário de TI, mas as vezes quando estou no transporte público, sempre tem aquela senhora de idade que gosta de puxar assunto com as outras pessoas. Até ai tudo normal, mas tem gente que acaba que numa conversa acaba soltando dados importantes que podem gerar uma informação a ser usada por criminosos. A engenharia social é um grande recurso usado hoje em dia e cada vez mais aprimorado, tanto por hackers ou criminosos.


#78

Então, no inicio da minha carreira profissional fui estagiária em uma Empresa/Escola no setor de TI-Suporte. Assim, para poder executar as tarefas do dia-a-dia, eu tinha todas as senhas adm de todos os laboratórios, da central de câmeras, do Data Center, enfim de tudo. No entanto, após um tempo (+ de 6 meses) que eu já havia saído deste emprego, e como eu ainda era uma aluna da instituição, houve um momento em que um determinado professor teve a necessidade de instalar um software específico em uma máquina para dar continuidade na aula. Ocorreu de como de costume, abri meu arquivo de senhas, localizei a senha do lab em que estávamos e fiz a instalação como admin. Mas, um tempo depois parando para pensar, e se eu fosse uma pessoa mal intencionada ? Pois se não haviam trocado senhas de labs, provavelmente não teriam trocado da central de câmeras e do data center também. :slight_smile:


#79

Atividade Pratica 1
Estudo em uma universidade que acabou deixando as informações dos alunos publicas. Acredito que por algum deslize no momento de salvar o arquivo. O mesmo acabou sendo indexado pelo google e achado pelos alunos, caso digitassem seu nome e seu código de aluno no browser, possibilitando o acesso às informações de todos os alunos matriculados até o momento.
Um possível ataque, caso algum desses alunos fosse um alvo, poderia ser relacionado à engenharia social uma vez que abriria portas para ganhar a confiança do alvo, se passando por alguma entidade bancária, ou entidade que aspire confiança, pode-se pedir para o alvo confirmar as informações que já foram obtidas e assim realizar perguntas a fim de obter mais informações sensíveis visando outros ataques ou mesmo traçar um perfil e comportamento melhor do alvo, para futuros ataques.
A existência do arquivo na rede foi reportada e até onde sabemos o problema foi resolvido e os dados foram guardados de maneira apropriada.


#80

Já trabalhei numa empresa onde questões relacionadas a segurança eram sempre colocadas em segundo plano, quando não ignoradas, sempre diziam que tal situação nunca aconteceria, que era muito difícil alguém tentar tal coisa. Um exemplo claro de irresponsabilidade era a aplicação web do nosso principal produto, o qual lançava no browser os erros que ocorriam no servidor. Então por exemplo, erros de SQL eram lançados na tela demonstrando a query feita, nome da tabela e campos. Outro exemplo era a utilização de criptografia reversível nas senhas dos usuários. Esses são alguns exemplos de vulnerabilidades que poderiam ser exploradas por criminosos.