Primeira Atividade Prática [2.0]


#121

Exercício prático 1

Presto consultoria a suporte de TI, e me deparo com o problema em muitas empresas. Sistemas de gestão que rodam em servidores Windows e tem a necessidade de ter a pasta do sistema compartilha em modo de leitura e gravação para TODOS os usuários, em alguns sistemas, inclusive o banco de dados fica nesta pasta. Qualquer um com um pouco de conhecimento, que tenha acesso a rede da empresa pode apagar o sistema, modificar e/ou roubar dados. Outro ponto de vulnerabilidade é que existe uma rede wifi para os clientes sem nenhuma camada de segurança, acessou a rede, tem acesso a pasta do sistema.


#122

Exercício Prático 1

Prestei consultoria de TI em uma empresa e descobri uma falha grave no setor financeiro percebendo que não há uma câmera ou um cofre para armazenamento do dinheiro e documentação, facilmente alguem poderia roubar dinheiro ou materiais de escritório na ausência da gestora ou até mesmo a própria gestora e ficar por isso mesmo e de quebra para que não fique qualquer vestígio poderia facilmente queimar tudo e não haver registro nenhum disso.


#123

Exercício Prático 1

Trabalhei em uma empresa de advocacia e era muito recorrente algum sócio ligar na TI para alterar sua senha (AD, ERP e e-mail), e bastava apenas telefonar para alterar uma senha porque na hierarquia da empresa os sócios não necessitam abrir chamado, então qualquer pessoa podia ligar se passando por um sócios e pedir a alteração de senhas. Isso cria uma vulnerabilidade muito grande para ataques de engenharia social.


#124

Exercício Pratico 1:
Me lembro como se fosse ontem quando um carro paro na frente de casa e desceu um homem pra falar com minha mãe, Esse homem trabalhava em uma empresa de internet que nos usávamos na época, Ele veio explicar o porque fico sem internet 15 dias seguidos.
Basicamente o servidor da empresa foi invadido por um “grupo” de “Hackers” só que de certa forma o trabalho deles foi tão bem feito que eles demoraram 15 dias pra resolver o problema, Tirando o tanto de dinheiro que eles perderam e clientes. Na época eu fiquei fascinado por saber que no meu estado existem Hackers e desde então eu sou fascinado com isso, Tanto que pretendo seguir carreira.
Hoje em dia eu percebo que onde eu moro as pessoas só querem saber de evoluir mas se esquecem da segurança.


#125

Exercício Pratico 1:
Tem duas experiencias que lembrei assim de imediato que me senti um hacker. kkkk

1 - A vez que usei um pendrive de boot com linux pra mudar o nome do cmd.exe do windows pra ele ser chamado no windows7 ao invés da janela de ‘Teclas de Aderência’ quando pressionasse 5 vezes o Shift, e assim através do CMD trocar a senha e entrar no sistema.
Obs.: Usei o google pra pesquisar os comandos do DOS pra trocar a senha ou abrir a tela de onde eu conseguia apagar a senha kkkk

2 - E a outra foi quando usei meu roteador pra impedir que a sony mandasse os pacotes de bloqueio para meu PS3 desbloqueado, desbloqueava pra entrar na PSN bloqueava de novo, baixava as atualizações dos jogos, assistia netflix, ouvia o spotify e até joguei online, depois de alguns meses minha namorada que não sabia direito fazer esse tramite esqueceu o roteador sem bloquear os pacotes e a Sony me mandou um email dizendo que meu ID estava bloqueado na PSN porque estava usando PS3 com desbloqueio pirata.


#126

Numa empresa em que trabalhei havia um servidor de arquivos separado por setores, em que cada setor só poderia acessar os arquivos do seu setor. Porém, certo dia vi que com o meu usuário podia entrar em pastas de alguns outros setores e além disso também alterar arquivos dos mesmos.


#127

Exercício Pratico 1:

Quando eu entrei na empresa que trabalho me tornei responsável pela configuração dos switches. Todos os switches gerenciáveis estavam com a senha padrão de fábrica, possibilitando assim que algum usuário avançado ou atacante acessasse ele, podendo trocar a configuração de modo que o equipamento ficasse inoperante, fazer a rede entrar em looping, bloquear o mac address de um computador/notebook de acessar a rede, bloquear as portas, restaurar as configurações de fábrica…podendo até fazer a empresa parar. Com isso foi criado senhas para acesso à eles, para a rede da empresa ficar mais segura.


#128

Fala galera, eu fazia um curso em uma escola da minha cidade e lá tinha wifi porém ninguém conseguia a senha, o professor estava utilizando o note da escola e ele precisou sair da sala e ir falar com a coordenadora do curso. Pedi para uma colega ficar cuidando na porta enquanto eu acessava as configurações de rede através do Note conectado e consegui a senha e espalhei para a escola inteira. Abraços…


#129

Exercício Prático 1

Trabalho com administração de servidores, toda vez que vamos visitar algum cliente novo notamos que em sua maioria as configurações de roteadores e DVR são de facil acesso, sempre com usuário e senha padrão. Teve casos do cliente ter seu equipamento DVR ser invadido diversas vezes até se concientizar de que era preciso melhorar a segurança. Infelizmente em nossa area existe uma visão por parte de alguns gestores de que a area de TI dentro da empresa só gera custos, mas existem suas exceções, então cabe a nós tentarmos mudar essa ideia. Abraço


#130

Exercício pratico 1

Me pediram ajuda para arrumar a impressora, em uma pequena impresa,sujeri que deixassem eu instalar o
teamviewer, uma vez que não disponibilizava tempo para ir l]a sempre que precisavam, instalei e deixei ele logando automático, sempre que o sistema iniciasse. Dessa forma pensando como criminoso,tenho acesso atodas informações pessoais do usuário,posso instalar um keyloger se quiser,enfim…a máquina é minha…
e eles não tem a noção do que fizeram,mas para sorte deles,não vou fazer nada e aind vou orienta-los dos riscos


#131

Eu trabalho em uma empresa de desenvolvimento de software, onde o produto principal é um ERP.
E lá já presenciei, e agora cada vez com mais frequência, a quebra dos pilares da segurança da informação.
Através de ransomwares, que por falhas na segurança conseguiram acesso e acabam quebrando os pilares de integridade e disponibilidade, criptografando todos os arquivos do servidor, inclusive a base de dados do ERP.
E isso vem se tornando cada vez mais comum de acontecer, e já tivemos casos de clientes que não possuíam backup e não se dispuseram a pagar o valor do resgate dos dados e perderam todos os dados.


#132

Exercício Prático 1

Eu entrei para trabalhar em um call center e la eu tinha acesso a todas as informações de todos os cliente, até pessoas famosas que financia carro muito caro, e tinha todos os dados como telefone endereço cpf, com isso a segurança de informação era aberta para muitas pessoas e o requisita de contratação era somente estar cursando o ensino médio, ou seja se infiltrar na impressa para conseguir dados pessoas em call center é extremamente fácil.


#133

Primeira atividade prática.
A 3 anos atrás estava na faculdade e nesta época tinha um pequeno provedor de internet na minha cidade. Querendo expandir meu negócio pra outras cidades, mais tinha um pequeno receio pq não sabia como era o mercado nesta outra cidade. Então um belo dia na aula de segurança de sistema um professor falando de engenharia social fiquei fascinado com os exemplos que ele deu. Como atividade ele passou que praticassem isso como uma atividade assim saberíamos nosso poder de conhecimento. Neste caso unindo o útil ao agradável resolvi usar as técnicas no dono de um outro provedor que atuava na cidade que eu estava querendo expandir. Criei um email e entrei em contato com ele oferecendo serviço de consultoria ficamos semanas conversando ate que um dia ele me passou os dados de acesso do servidor dele onde tive acesso a todos seus clientes. No final tinha todos as informações na mão pra se aproximar de todos os clientes dele. Porem no final acabou que nem expandi pra essa cidade. Pelos dados que ele tinha era muito investimento que iria demora muito pra ter um retorno. Com engenharia social podemos ir além do que imaginamos .


#134

Exercício Prático 1

Esse foi bem prático mesmo…A alguns anos atrás estava eu e mais alguns amigos almoçando em um restaurante onde o Wi-fi era liberado, estávamos conversando sobre hackers e invasões e nesse dia dado a facilidade no acesso a rede acabamos pegando o celular e entrando nas configurações do dispositivo e alterando a senha do wifi e senha do roteador do estabelecimento…hehehehe


#135

Exercicio Pratico 1

Trabalhei 5 anos em um multinacional francesa do ramo de óleo e gás (energia) aonde eu era responsável por processos muito sigilosos, e esses processos eram documentados em sua grande maioria por documentos com extensão pdf. Em um belo dia me deparei com um problema, solicitei a TI para me liberar o acesso em um documento especifico e a resposta foi “não”. Desde ai fiquei muito intrigado com o “não” já que tinha acesso total a todos os arquivos e desde então comecei a investigar. Fato é que descobri que esse documento não tem cópias digitais disponíveis em lugar algum no mundo (a empresa tem sede em 38 paises). Apenas existiam 2 cópias, uma localizada na França (matriz) e outra na mesa do presidente da sede Brasil. Conversar com um funcionário de 30 anos de empresa ele me vem então com uma cópia deste documento que estava localizada na sua gaveta, e ele a tinha pois sempre que precisava consultar tinha que solicitar, o que era um processo muito burocrático, por isso ele a tinha em sua gaveta.

Olhando o documento fiquei assustado com a quantidade de informações que ele tinha.


#136

Trabalho com desenvolvimento e ultimamente tenho estudado bastante sobre segurança da informação, lendo bastante sobre esse tema encontrei bastante sobre criptografia de dados, autores dizendo que para mais segurança devemos criptografar os dados para não deixa-los exposto na rede devido que eles podem ser capturados entre outras coisas e relembrando os trabalhos passados nos meus empregos anteriores não lembro de nenhum sistema que utilizou criptografia nos dados antes de envia-los pela rede, e um dos últimos sistemas que trabalhei foi um sistemas semelhante ao uber que fazia transporte de gado , como se fosse uber do caminhoneiro, onde o fazendeiro pedia um transporte de seu gado e aproveitavasse o caminhão que tinha em sua rota a Fazenda que precisava do transporte do gado , porém tinha toda uma regra de negócio pra ver em questão de peso pro caminhão, entre outros quisitos. Voltando aos pilares da SI, esses dados eram enviados e processados sem nenhuma criptografia, Podendo ser capturados talvez alterados e enviados para o destino alterando a localização de destino ou origem, ou ate mesmo seu login e senha ou ainda seus dados de pagamentos via aplicativo.


#137

Atividade Pratica 1
Estou fazendo uma pós graduação em desenvolvimento web e mobile, e tivemos uma cadeira sobre segurança de aplicações. Na aula o professor fez uma demonstração com uma rede wifi aberta rodando sobre um Kali Linux virtualizado , com o mitmproxy interceptando os pacotes, foram testadas algumas aplicações, inclusive algumas de instituições financeiras, e foram encontradas várias falhas de segurança onde a aplicação não fazia certificate pinning, foi possível interceptar numero de conta e senha do banco. Na atividade de entrega do trabalho testei uma aplicação Android com a mesma falha de segurança que não foi realizada a implementação de certificate pinning, foi possível interceptar login de acesso, senha, alterar transações, acessar a API dos caras e fazer alterações em reservas, que no caso alterei as que tinham sido cadastradas por mim. E aproveitando o gancho este curso esta sendo muito proveitoso !!!


#138

No depoimento anterior, comentei sobre uma situação que presenciei da quebra do CID bem de perto na firma onde trabalho. Após implantar um sistema ERP que automatizava os processos, com uns seis meses de uso, nos deparamos com um problema sério. Estávamos sofrendo um golpe de criminosos que fraudavam nossos boletos. Caçamos de tudo, formatamos máquinas, trocamos senhas e nada desse problema ser corrigido. Tivemos que voltar a imprimir e mandar com a nota fiscal uma situação de hipotência total. Como melhorar os processos causou tanta dor de cabeça. Chegamos a ir do banal, de abrir um arquivo malicioso no email e assim os criminosos acessarem nossos envios, até hackear a rede e tal. Bom depois de uns 8 meses, veio um gerente de banco oferecer benefícios para empresa e tive sorte de estar presente quando o dono comentou o fato. Não deixou claro como acontecia, mas o fato é que essa vulnerabilidade era do banco. O fato que realmente é uma vulnerabilidade do sistema do banco, que facilitava os criminosos ter acesso a essas informações como se fossem atualizar os boletos, e com as informações em mãos poderiam criar um layout de boleto que creditasse direto para uma conta laranja. Tão rápido que não fosse possível identificar a transação. Mas que estavam vendo uma forma de autenticação que no começo de 2018 iria zerar com essas fraudes. Realmente 100% não dá para se dizer mas que resolveram a falha e não se vê mais esse golpe isso é certo. Bom é isso aí. Só para demonstrar um caso prático que pode acontecer com uma pessoa ou uma empresa que tem suas informações coletadas e usadas para golpes, causando prejuízo a você, a empresa e até terceiros. Abraço


#139

Quando era pequeno, eu consegui hackear meu próprio computador. Meu PC era bloqueado com uma senha que só meus pais sabiam porém eu descobri como acessar o computador mesmo sem ela pois o usuário Administrador estava disponível e sem senha cadastrada. Se eu quisesse poderia resetar a senha do usuário normal mas aí eu ia apanhar e meu intuito era só aproveitar os joguinhos que tinha instalado XD


#140

Exercício 1

Estava em uma estação de trabalho de um colega e o mesmo havia efetuado o bloqueio ctrl+alt+del+enter, mas precisava urgente de alguns arquivos que nela estava e não tinha sido compartilhada em rede. Efetuei vários testes com diversas senhas porém ao tentar com a minha senha e usuário consegui logar e entrar na pasta de arquivos que precisava que estava no usuário dele. Acredito ser falha em algum comando no Server… mas enfim deu tudo certo…