Primeira Atividade Prática [2.0]


#81

Já fiz um ataque simples ddos no wi-fi da faculdade usando t50 kk passaram algum tempo sem internet foi divertido muitas coisas desse tipo são feitas mais por diversão …


#82

Exercício Prático 1.

Estudei Ciências da Computação há vários anos atrás e não há lugar melhor para praticar engenheira social, do que no BAR =)
Conversa vai e conversa vem, conhecemos umas das “estagiárias” do contas a receber da faculdade e perguntando das tarefas e responsabilidades, ficamos sabendo o processo de baixa manual do boleto de mensalidade, quando o sistema acusava algum erro e não dava baixa automática.
Vamos lá, quando existia um valor pago diferente do que deveria ser recebido em determinado boleto, o aluno era notificado e deveria enviar por “FAX” (disse que cursei faz tempo) o comprovante de pagamento e por termos o conhecimento que uma das “estagiárias” que dava essa baixa manual e na maioria das vezes, dito por elas baixavam de qualquer jeito pra ir embora ao horário, começamos a pagar o boleto com uma “pequena diferença”, digitalizávamos o comprovante, alterávamos o valor no editor de imagem e enviávamos o FAX.
Pra quem já viu um FAX, sabe o como a qualidade era péssima e assim passamos bom tempo cursando a faculdade pagando um valor menor.

Resultado
Todo empresa que trabalho, conto essa história para o pessoal do financeiro e reforço os procedimentos de contas a receber da empresa e me atento muito para o perfil do funcionário do financeiro.

Quanto à faculdade, por sermos imaturos, acabamos falando do “jeitinho” pra muita gente e em menos de um ano alguns alunos foram chamados para apresentar os comprovantes pessoalmente e o “jeitinho” foi por água a baixo…


#83

Primeira Atividade Prática

Eu trabalho em uma determinada empresa, e durante esse tempo lá, já me deparei com varias quebras dos 3 pilares.

Varias vezes o servidor parou de funcionar, e por isso o acesso a rede e aos arquivos que os funcionários usam durante o expediente ficarão inacessíveis (Disponibilidade).

Cuidar do acesso e gerenciar as redes wi-fi da empresa é minha responsabilidade, como sou eu quem faço a alteração das senhas mensalmente, e a repasso apenas para as pessoas autorizadas a receberem as senhas wi-fi (alguns funcionários em especial, e clientes). Minha parte eu cumpro, apenas repasso a informação para quem eu fui autorizada a passar, porém alguns determinados funcionários que recebem esse acesso, violam a confidencialidade, e repassam o acesso ao wi-fi para outras pessoas não autorizadas.


#84

Posso dizer que já utilizei engenharia social para obter informações confidenciais.
Tenho que deixar claro que na época eu estava em minha adolescência e não fazia ideia o que erá e nem como se utilizar a engenharia social.


#85

Na empresa que eu trabalho tenho acesso a todo tipo de informação afinal de contas sou o ADM da rede, bem, se eu for relatar o que eu poderia fazer na minha rede não faria muito sentido afinal de contas seria um ataque contra mim mesmo, porém alguns diretores da empresa usam o servidor de arquivos para armazenar suas planilhas pessoais e nelas eu já vi muita informação sobre gastos diários de postos de gasolina, padaria, mensalidade da escola do filho, compra de presentes, gastos com tratamento médico, curso de inglês de filhos, enfim… são tantas informações pessoais que isso me daria um leque de oportunidade para aplicar algum ataque de engenharia social fora da empresa, como eu disse anteriormente qualquer coisa sobre a empresa seria muito fácil pois sou eu quem cuido de tudo lá, mas fora dela seria algo diferente, com isso segui o conselho de Bruno de pensar fora da caixa e consegui disseminar essa ideia da qual eu nem havia pensado antes de que eu tenho uma gama de informações pessoais do qual colocaria em xeque a rotina dos donos da minha empresa, eu trilharia o caminho de seus filhos, esposas e deles mesmos através dos seus gastos e locais onde costumam frequentar.


#86

Sempre gostei e tive interesse em “invasão” propriamente dita, desde então sempre procurei conteúdos na internet para tentar chegar em algum lugar, porem nunca tive sucesso, até que achei o Técnicas em Invasão. Mas vamos falar agora o que eu fiz! Rodei um scan na rede toda do escritório virtual onde minha empresa fica hospedada e detectei que eles não tem nenhuma politica de segurança em separar as redes de cada box (sala), sendo assim chamei o proprietário do escritório para um reunião e informei o mesmo que não havia segurança alguma na rede, não só na rede como nos próprios servidores dele, acabei mostrando em tela pra ele que eu conseguia acessar as pastas do servidor dele, impressoras mapeadas e acesso a todas informações de contratos de clientes. Sendo assim isso acabou gerando um projeto de restruturação de rede…


#87

Boa Noite galera … em uma noite eu estava jogando até que meu pai desligou a internet , logo reparei que tinha uma rede aberta , e era a da minha vizinha , então resolvi apronta com essa rede , entrei na rede , mudei o nome do da rede para “voce foi hackeado” kkk , e mudei a senha tambem para que ela nao tivesse acesso a madrugada toda , eu so quis zoar um pouco mas lá tinha os endereços mec dos celular e etc , deixei ela o dia todo sem eles conseguir acessar kkk, até que ela veio pedir ajuda em casa porque tinham hackeado o wi-fi dela e ela nao tinha internet , (sou o menino da rua que ajuda quando tem problema com computadores) , fui lá já sabendo doq eu tinha feito kkkk , então falei , “nossa hackearam sua rede, tem alguem esperto nessa rua , vou arrumar pra vc” como eu ja sabia a senha eu tirei e mudei o nome kkkk ela agredeceu e pensou que eu era o esperto , genio , mas eu msm que tinha aprontado kkkk foi engraçado esse dia , ela deu sorte que eu era novato e nao tinha conhecido o Tecnicas de Inavsao haha. Pensei como um criminoso até.


#88

Exercício Prático 1

Bom, não tenho muitas experiencias a respeito da quebra de algum pilar da segurança da informação, sempre fui muito cuidadoso a respeito desse assunto, pra mim qualquer tipo de informação que vai pra internet independente do tipo é consequentemente apresentada não a um grupo especifico de pessoas mas ao mundo, por esse motivo sempre fui muito cauteloso a respeito de expor minhas informações na internet. Mas nem tudo são flores, e quando eu ainda era jovem acabei caindo em um esquema que hoje acaba sendo conhecido como Phishing, que é o ato de redirecionar um usuário a um site falso que o faz ter a ilusão que esta no site verdadeiro, isso aconteceu devido a minha falta de atenção, na época eu era muito jovem e tinha pouco conhecimento de segurança e nem fazia ideia do que era segurança da informação, o site em questão era uma pagina clonada de um Jogo online que eu gostava quando pequeno, eu não parei muito pra analisar mas lembro que o site era idêntico ao original, fiz o que qualquer usuário normal faria, coloquei meus dados para tentar acessar o jogo, mas como era de se esperar o site não funcionava, aparecia uma mensagem de erro falando que os dados estavam errados e que era para tentar novamente, a partir disso meus dados que estavam sendo preenchidos eram transferidos a um banco de dados do criminoso que hospedava o site e assim acabei perdendo minha conta no jogo em que jogava, podemos dizer que esse incidente se caracteriza como a quebra do pilar da Integridade e Confidencialidade, pois a minha conexão a aquele site especifico não era 100% segura, eu não estava totalmente isento de qualquer problema de segurança já para a Integridade era justamente o fato do site não ser original e sim uma alteração genérica do que era o site original. A partir dessa experiencia pude aprender em partes como funciona a mente de um criminoso e como ele pode arrancar informações de diversas pessoas sem elas perceberem, foi uma boa aprendizagem que trago até os dias atuais.


#89

Não sei qual escolher então vou contar brevemente sobre 2 experiências.
1- ja fui pega nesse negocio de email de banco, clique aqui pra arrumar sua conta, etc. E dai roubaram o pouco dinheiro que ganhava na época e o que tava na poupança. O momento mais trouxa da minha vida. Claro caso de eng. social.
2- não foi exatamente uma invasão em si, mas eu coloquei um software espião no computador que ficava no quarto do meu irmão (fui acusada pelo meu pai de visitar sites pornograficos). A intenção era provar minha inocência, então instalei um software bem massa, que tirava foto da tela de tanto em tanto tempo, pegava tudo que era digitado. Funcionou maravilhosamente bem e eu descobri mais do que deveria. (Faz bastante tempo isso, nem pensava em fazer TI)


#90

Onde trabalho sou técnico de suporte e também a quebra desses pilares devido a falta de infraestrutura necessária. Computadores conectados a rede são disponibilizados a alunos, sem regras de firewall, sem restrição de acesso as pastas compartilhadas. Não tinha noção nenhuma sobre segurança e agora pretendo fazer essas implementações. Também sou programador WEB iniciante, faço muita pesquisa no google e todos os artigos disponíveis na rede não levam em conta a segurança. De fato minhas aplicações possuem vulnerabilidades como SQL Injection.


#91

A faculdade onde eu estudava foi vendida para outra instituição de ensino superior. Na época que pedi o cancelamento da matrícula, eles não pediram minha carteirinha de volta então guardo comigo até hoje. Ano passado fui na instituição, agora pertencente a esse novo grupo educacional pois pensava em fazer algum curso lá, ver se tinha mudado alguma coisa após a venda.
Fiquei observando que a primeira catraca era livre e não precisava de digital ou carteirinha para acessar a instituição e que os alunos (ou não) estavam entrando sem se identificar, então optei por fazer a experiência e entrei sem precisar de documento ou autorização.
Decidi ir além e testar o que mais poderia ser feito com isso e decidi ir na biblioteca onde fui surpreendido pois no meu tempo eramos nós que pegávamos os livros e mostrávamos para o bibliotecário, agora você pede para ele e o mesmo vai pegar o título para você (Ponto positivo), observei os computadores de pesquisa e decidi sentar lá para testar o que poderia ser feito, como solicitam o login e senha e eu sei que o login é a matrícula e a senha padrão é o CPF do aluno, eu precisava apenas de um número de matrícula então conversei com o aluno que estava na mesa de estudo, fingi estar meio sem graça porque tinha esquecido o meu cartão de acesso em casa e como não tinha decorado o número de matrícula, eu não teria como logar a conta para visualizar o livro digitalizado. O rapaz acreditou e foi no computador comigo solidariamente digitar os dados de acesso dele.
Basicamente foi um ataque de engenharia social, não utilizei nada, apenas observei e ataquei.
Isso me faz ver o quanto é importante esse curso porque assim como eu fiz isso apenas para curiosidade e ver o quão seguro era ali (o que provou não ser), um bandido poderia fazer a mesma coisa e com a ajuda das ferramentas certas poderia coletar as informações de alunos ou até mesmo professores.


#92

Atividade 1

Desde sempre a Humanidade sentiu necessidade de se informar e de aprender, ou seja adquirir formação. Hoje em dia a palavra informação pode se dizer que é o “termo que designa o conteúdo de tudo aquilo que trocamos com o mundo exterior e que faz com que nos ajustemos a ele de forma percetível” (Wiener). A informação é nos nossos dias e desde sempre uma ferramenta de poder, quem é detentor de informação tem/adquire poder, esta tem de ser exata, oportuna e clara. O momento explico brevemente a seguir foi um dos que estive mais perto de observar a quebra dos pilares da informação (Confidencialidade, Integridade e disponibilidade). O caso deu-se numa conferencia sobre equipamento de segurança (firewall, etc), onde estavam presentes algumas empresas do ramo, o que aconteceu foi numa das demostrações para uma empresa presente onde se demonstrava a fiabilidade do equipamento, até que um dos convidados disse que conseguiria quebrar essa segurança durante um coffe break a decorrer alguns minutos depois. Durante esse intervalo o convidado ligou para a empresa fazendo-se passar por um técnico da empresa de equipamento onde necessitava de ter acesso remoto ao equipamento já instalado na sede da empresa, o qual um dos funcionários cedeu as suas credenciais para tal acesso. Quando voltamos do intervalo o convidado mostrou ao responsável pela demostração do equipamento que conseguiu adquirir documentos internos da sua empresa. Ficou incrédulo com o que tinha acontecido. Depois o convidado explicou que muitas das vezes o que alem da segurança utilizando os equipamentos, temos de formar o ser humano que protege a informação, para que situações como esta não aconteçam. Nomeu ver concordo que é um ponto onde se deve investir pois a mentalidade das pessoas é dos pontos mais difíceis de mudar e muitas vezes fáceis de quebrar. Devemos sempre manter a informação confidencial, integra e disponível sempre que seja necessária e com a devida atenção. Veja-se o que aconteceu agora com a rede social Facebook onde foi libertada informação de milhares de utilizadores. Muitas empresas se aproveitaram dessa informação para propor coisas, analisando essa informação podemos descobrir hábitos e costumes desses utilizadores.


#93

Na época que fazia faculdade. Tive os algumas aulas de laboratório.

Em uma das aula tivemos que criar uma rede com algumas maquinas virtuais (cerca de 3 - 1 servidor e 2 clientes). Para complementar a atividade resolvi na minhas estações instalar um controlador de serviço de anti-virus. Na época era o Avast ADNM, um gerenciador de clients de anti-virus.
Infelizmente ao iniciar a instalação dos clientes na minha rede, nos meus 2 hosts, não me atentei e solicitei que o software fizesse um broadcast na rede buscando qualquer equipamento acessível.

O que eu não sabia, era que a rede do laboratório não estava seguimentada adequadamente, existia um roteamento ativo para todas as redes da faculdade, inclusive a área administrativa. Quando disparei a instalação todas as maquinas da faculdade (mais de 500 hosts) receberam o pedido de instalação. Consequentemente todas as estações ao mesmo tempo começaram a solicitar autorização do AD (Controlador de domínio MS) para realizar a instalação. Foram tantas requisições simultâneas que o AD parou de responder. Desta forma indisponibilizei não só o AD, mas qualquer serviço que dependia dele (Compartilhamento de arquivos, impressão, proxy, etc).

Literalmente derrubei a rede inteirinha porque o administrador de rede da faculdade não pensou que a partir do laboratório poderíamos comprometer a rede da faculdade.

A rede ficou indisponível por quase 1 hora, até eles entenderem o que estava acontecendo.

2 dias depois recebemos em sala a visita do diretor da Faculdade informando que a queda havia sido causada por uma ação de nossa sala (pelo nosso seguimento de rede). E que caso isso se repetisse nossa sala seria repreendida de alguma forma.

Entendo que por um erro meu, de forma não intencional, a disponibilidade da rede foi afetada, porém acho que o administrador de rede deveria supor que em um ambiente de homologação (Laboratório), deveria estar seguimentado de forma adequada em relação a rede de produção.

Alguém de forma intencional poderia ter feito um estrago maior que o meu se tivesse a intenção.


#94

Eu faço faculdade e certo dia estavamos no laboratório na aula de SO, quando uma outra turma mais nova tentou desligar nossos computadores, já que a internet na faculdade era em lan, eles utilizaram o comando shutdown. Eu e mais um amigo decidimos dar o troco neles, e começamos a procurar na internet formas de desligarmos o laboratório todo deles, achamos um programa que mostra todos os ip’s da lan, e encontramos tambem uma forma onde a gente entrava na área de trabalho da pessoa a partir do ip, começamos apenas entrando na área de trabalho deles até que eles tentaram desligar o computador de um menino da sala, pegamos todos os ip’s e mandamos o comando shutdown. O professor teve que parar a aula, pois todos os computadores deles estavam desligados.


#95

Eu trabalho na samsung na parte de redes , As vezes recebemos turmas de faculdades ou escolas para conhecer a parte de T.I em geral , e numa certa vez aconteceu de uma turma da faculdade visitando As inalações de banco de dados Camada 1 , Um Impressora usando WPS do roteador wifi estava liberado , E um estudante com o notebook estava tentando quebrar a senha do roteador usando O kali linux, Com acesso a senha do roteador, Ia ter acesso a uma pagina da empresa que ficava alguns dados de funcionários ,Uma coisa que aos olhos de pessoas leigas era uma coisa besta , Mais pra quem trabalha na área e uma coisa de extrema importância ,Eu passando por trás da turma , ninguém tinha me percebido que eu tava atras deles , é foi quando eu vi o rapaz tentando quebrar a senha Do roteador , foi quando eu desliguei e ele ficou me olhando com uma cara de besta kkk Foi quando fiz um relatório e mandei pra refazer a estrutura de redes da empresa e foi aceito.
Aconteceu de uma vez em lan house , não tinha o deep freeze instalado , um amigo antigo ia pra lan house apenas para injetar um keylogger ,quando ele chegava em casa , aparecia o log das maquinas no email dele , com muita coisa digitada ,senhas de rede social ,conta de jogos , ate mesmo dados pessoais de cartões , naquela época a gente era mlk ne , so queria zoar mesmo , e hoje eu vejo o quanto nos podíamos ter feito coisas que poderia ser mais severas , como pegar senhas de redes sociais , entra na rede social da pessoa e de la pegar fotos , arquivos , mensagens intimas e divulgar na internet.


#96

PEPO
Bom, lá estava eu em uma tarde de domingo em 2014, apenas vendo alguns videos no celular, até que me deu uma vontade totalmente sem explicação de pesquisar: “Como hackear alguém”. Na hora, conheci um canal chamado de Koshimaru Kisara.
Quando entrei no canal dele, eu ví que tinha um curso disso (de hacker) e logo comecei a assistir. A primeira aula da playlist, era falando sobre: “O que era Pentest” e na hora me deu um baita desânimo, pq eu achava que era apenas ir no Windows, abrir o CMD e digitar uns 2 a 6 comandos (coisa de um baita dum lammer que eu era kkkkkkk), mas ele apenas deu explicação do que era “Pentest” e como meu inglês era um lixo e eu estava destraído a explicação dele, eu entendi o seguinte na minha cabeça: “O q q tem a ver teste de caneta com hackear?” (kkkkkkkkkkkkkkkkkk, eu tinha entedido que “Pentest” em português era “teste de caneta” kkkkkkkkkkk). Então pulei para a aula seguinte que era sobre comando simples do CMD, e com isso, eu fiquei mais animado, mas quando avancei pras póximas aulas, eu ví que o “Windows” dele estava um tanto quanto diferente (e o “CMD” também), então perguntei a minha mãe, pq o “Windows” dele estava diferente, e então ela disse: “Acho que isso não é o Windows e sim outro sistema, que eu suponha que seja o Linux”, então fiquei desanimado e deixei de lado essa ideia de “hackear”.
Se passou mais ou menos um ano, até que um dia em que eu estava irritado por só perder nas partidas de um servidor de Minecraft, eu resolví pesquisar por hack pra esse jogo e eu achei e coloquei. Depois disso, meu mundo e minha realidade mudaram TOTALMENTE! Eu consegui ver um mundo de tantas possibilidades usando isso (mesmo que alguns amigos meus não aprovavam e me criticavam por isso), então do final desse ano, pro início de 2016, eu conhecí um canal chamado Douglas asks, que também fazia um curso de hacker e pra minha felicidade (na época), ele ensinava tudo que ele fazia pelo Windows. Depois disso eu acabei vendo que ele tinha postado um filme chamado: “Who Am I - Kein System ist sicher” e fui assistir. Depois disso, meu mundo se ampliou mais ainda! Nesse ano eu tinha achado um livro velho do meu pai de programação em C, que foi minha primeira linguagem de programação que apendi e eu li esse livro em uns 3 dias e logo em seguida comecei a aprender outras linguagens. E foi por aí que eu conhecí vídeo 11B X 1371 e quando fui pesquisar a respeito, descobri o que era Deep Web, e conheci o canal Fábrica de Noobs. O cara ensinava de tudo, e depois disso eu apendi o que era Virtualbox, VMware e o principal: KALI LINUX!
quando eu instalei o Kali, eu fiquei um pouco com “medo” de usa-lo, mas eu entrei novamente no canal do Koshimaru pra aprender sobre, mas a maioria das aulas estavam desatualizadas e não funcionavam no Kali 2.0, mas mesmo assim fui testando elas.
Tempo depois eu conhecí as outras distros Linux, como Ubuntu, Fedora, etc., então se passou o tempo e eu fui usando-as, então no início do ano passado, eu comprei um “curso de Hacker”, mas o caloteiro que vendeu o curso, além de não passar o conteúdo do suposto curso, tinha vírus em todo canto (sorte que eu não executei nada :disappointed_relieved:), então para compensar esse calote, comprei um livro sobre pentest com o Kali, que tinha mais de 280 páginas (e acredite se quiser… eu o lí em praticamente 3 ou 4 dias e coloquei tudo na prática :open_mouth: ) e nesse período, meu amigo, tinha me visto com esse livro e quis ver um pouquinho, dps ele disse tipo: “Por que você comprou esse livro? Eu tenho um curso que eu tinha comprado que posso passar para você”. Um dia depois ele me passou o curso e eu fiquei super feliz, até que um tempo depois eu queria expandir mais ainda meu conhecimento e então conheci um cara INCRÍVEL chamado de Bruno Fraga (@bruno) e seu Mini-Treinamento em Técnicas de invasão!
uns meses depois… eu apareci por aqui e conheci também toda essa comunidade maravilhosa, em que me orgulho de estar nela :wink:!

(PS: Desculpem pelo tamanho dessa redação que eu fiz :wink:)


#97

Se eu participa-se de um certo jogo online, poderia entrar em um clan, de preferência um dos maiores ou o maior clan do servidor ou do jogo. Eu falaria para eles sobre uma promoção do jogo onde eles ganhariam conta premium por alguns dias ou skins, qualquer coisa que estimule aquela comunidade a entrar no link que eu passaria, um link que daria numa página reproduzida do jogo oficial com um DNS muito similar ao oficial onde eu colocaria uma promoção que bastaria que o usuário coloca-se seu login e depois responde-se um questionário qualquer. O objetivo seria ter acesso aos logins de todos do clan.


#98

PRIMEIRA ATIVIDADE PRATICA

a cerca de um ano eu era viciado em jogos de computador mais não tinha condições de comprar por isso baixava versões pirata…eu não sabia o quanto podia ser perigoso dentro dos arquivos da pasta CRACK tinha um arquivo em formato dll.(um arquivo muito comum) meu antivírus na maior parte do tempo ficava desligado por que os tais jogos piratas não funcionariam se ele estivesse ativado , mais nesse dia em questão ele estava ativado …quando encontrei o arquivo dll e fui tentar executar meu antivírus disparou e acusou a presença de um vírus (VirTool:Win32/Obfuscator.XZ) me assustei na hora mais fui pesquisar sobre o tal virus …foi ai que descobri a importância de um antivírus descente …pelo que eu encontrei daria muito trabalho retirar ele do meu computador …fora os dados que ele teria acesso como senhas e contas do banco que eu costumava deixar salvos (agora não deixo mais )
depois disso passei a pesquisar mais sobre meios de infiltração de vírus e com o avanço da internet das coisas tudo pode ser uma porta de entrada


#99

Um incidente na rede elétrica ocasionou o acionamento do gerador porém existia apenas um responsável por abastecimento e manutenção do mesmo. Após um período a quantidade de combustível entrou em um nível crítico e com isso vários serviços ficaram indisponíveis.


#100

Olá, certo dia estive em um consultório médico e ao esperar meu atendimento, pedi a senha do wifi para secretária, pelo meu smartphone, possuo um app que conecta com todos os terminais de uma rede local, sendo assim, consegui acessar um computador com nome de “recepção” que imagino que seja da secretária e lá pude ter acesso a vários arquivos compartilhados daquela determinada rede, não abri os arquivos para manter a minha ética como profissional de TI mas pude perceber a falta de segurança da informação daquele lugar.