1 o Hacker Profissional

Embed Size (px)

Citation preview

  • O HACKER PROFISSIONALAula de Luiz Eduardo Guarino de Vasconcelos

  • ObjetivosObjetivos

    Entender o conceito Hacker Oportunidades de negciosp g Exerccios para mente hacker

  • HackerHacker

    O que um hacker para voc? Como chegou a essa concluso?g

    Q l i d i d d b i ? Qual a viso da sociedade sobre isso? Qual a viso dos profissionais de TI? Qual a viso das empresas? Qual a viso da imprensa? Qual a viso da imprensa?

  • HackerHacker

    A imprensa precisa de uma palavra para denominar criminosos que usam o computador para cometer crimes, ento, que palavra usar?

    Sugesto: Crackers, piratas de computador, g , p p ,cibercriminosos, hackers do mal.

  • HackerHacker

    Hack: Desde sculo XIII, vem de to hack, abrir caminho a golpes de machado. Hoje, abrir caminho onde os outros falharam.

    Webster, dicionrio ingls

    Substantivo de dois gneros Substantivo de dois gneros. Indivduo hbil em descobrir falhas em sistemas de

    computao podendo usar este conhecimento para o computao, podendo usar este conhecimento para o bem ou para o mal.

    Fonte Dicionrio Eletrnico AurlioFonte: Dicionrio Eletrnico Aurlio

  • IntroduoIntroduo

    Invadir para no ser invadido o mesmo que assaltar para no ser assaltado?

    Aprender como assaltar para no ser assaltado Aprender como assaltar para no ser assaltado o mesmo que aprender a invadir para no ser invadido?invadido? Vantagem: podemos invadir o prprio IP, domnios sob

    nossa responsabilidade e mquinas virtuais nossa responsabilidade e mquinas virtuais. A prtica do assalto sempre ser crime. A da invaso

    no Por que invaso (no Brasil) no crimeno. Por que invaso (no Brasil) no crime.

  • Introduo Introduo

    Por que falar sobre hacker?

    P i d d Pessoas ainda se surpreendem Atuao do hacker ainda no est clara para a

    sociedade. Imprensa, na falta de palavra melhor, relaciona o

    termo hacker a fraudes nos sistemas informatizados

    conhecimento proibido

  • Introduo Introduo

    Quem se atreve a dizer que estuda isso?

    Quem estuda o diabo?

    Quem estuda pedofilia?

    E a medicina com o estudo de indigentes, no profanao de corpos? no profanao de corpos?

    Pessoas nuas em revistas famosas nu artstico. E se algum quiser ser g qfotografado nu?

    Quem ser mais bem aceito socialmente? Pedro que fotgrafo da Playboy ou Joo que fotografa as vizinhas nuas?

  • HistriaHistria

    Primeiros acontecimentos Hacker ainda no vinculado informtica

  • HistriaHistria

    Phreaking

  • HistriaHistria

    Computadores podem ser invadidos Dcada de 70, terminais ligados mainframes Programadores colocavam trechos de cdigo Cdigos que desviam centavos de contas ou salrios.g q

  • HistriaHistria

    Script kiddies Jovens comearam a ter idias.... Dcada de 80, fase que mais teve ataque individual Termo usado para crackers inexperientes.p p

    Caados

  • HistriaHistria

    Precisamos deles Aliana entre Indstria e Hackers Conceito de tica Hacker

  • Exerccio 1Exerccio 1

    Assistir Hackers Anjos ou Criminosos e entregar resenha apontando principais pontos do filme. Escrever seu ponto de vista sobre cada ponto elencado.

    Outros filmes:

    C t i ZAP Th M i Matrix Captain ZAP The Movie Hackers 2

    Matrix 007 Goldeneye

    Os Piratas de Silicon Valley RevolutionOS

    007 Casino Royale A Rede (Facebook)

    The Code

    )

  • O hacker profissionalO hacker profissional

    Quer ser hacker profissional? Esteja ciente que ser pioneiro

    S Sujeito a crticas e oposio o preo que se paga por sair na frente

    P fi i li h k Profissionalizar o hacker Evitar que faam parte do crime

    organizado ou que usem seu talento em organizado ou que usem seu talento em aes de vandalismo

  • tica Hackertica Hacker

    Equvoco pensar que tica hacker se relaciona com pessoa boa ou m.

    A tica hacker se refere a at que ponto o hacker confivel. Conhecer os segredos da empresa sem se aproveitar deles. Imagem construda a longo prazog g p

    Como confiar num hacker?

    S di j t d i Se mdicos e juzes so pegos cometendo crimes, que dir hackers

    Voc concorda com a viso da tica relacionada a confiana?

  • tica Hackertica Hacker

    No existe curso de tica, existem pessoas ticas. No usar indevidamente os conhecimentos Compromisso moral pois no h como impedir...

  • tica Hacker 1/4 (Escola de Hackers)tica Hacker 1/4 (Escola de Hackers)

    I. Somos contra o ganho financeiro com a obra alheia, mas a favor da livre circulao da informao.

    II. Nossa funo social no corrigir falhas, mas encontr-las.

    III. Somos livres para buscar vulnerabilidades onde quer que estejam, mas nos comprometemos a divulg-las que estejam, mas nos comprometemos a divulg las primeiro aos responsveis.

    IV No denegrimos a imagem de outras pessoas e no IV. No denegrimos a imagem de outras pessoas e no entramos em discusses polarizadas.

    V T di it lib d d d V. Temos direito a liberdade de expresso, mas no ao anonimato.

  • tica Hacker 2/4 (Escola de Hackers)tica Hacker 2/4 (Escola de Hackers)

    VI. Temos direito ao anonimato, mas no para praticar crimes.

    VII. Sempre somos ns e o nosso avatar. VIII. Nos comprometemos a colaborar com as VIII. Nos comprometemos a colaborar com as

    autoridades do nosso pas sempre que formos requisitados.requisitados.

    IX. Nos comprometemos a conhecer melhor a legislao do nosso pas ainda que seja para us la legislao do nosso pas, ainda que seja para us-la a nosso favor.

  • tica Hacker 3/4 (Escola de Hackers)tica Hacker 3/4 (Escola de Hackers)

    X. Entendemos que somos todos pessoas boas, capazes das piores maldades.

    XI. No faremos demonstraes exibicionistas usando tcnicas hacker. Nosso mrito deve vir dos hacks criados por ns, pois sem eles no temos mrito algum.

    XII. Agimos em busca de resultados. Desculpas no justificam o fracasso.justificam o fracasso.

    XIII. Em nosso meio no h presuno da inocncia.XIV N t d d d it XIV. No temos medo de nada, mas respeito por tudo.

  • tica Hacker 4/4 (Escola de Hackers)tica Hacker 4/4 (Escola de Hackers)

    XVI. No somos melhores, apenas diferentes. XVII. Aceitamos as diferenas, mesmo quando no

    concordamos com elas. XVIII. Compartilhamos o conhecimento, nada mais. XVIII. Compartilhamos o conhecimento, nada mais. XIX. Defenderemos a imagem do hacker sempre que ela

    for deturpada pela imprensa ou por pessoa leigafor deturpada pela imprensa ou por pessoa leiga. XX. Nunca nos intitularemos hackers. Que eles

    d b descubram quem somos. XXI. Nos comprometemos a buscar qualidade para

    nossas vidas, buscando solues inteligentes para nossos problemas.

  • Como rentabilizarComo rentabilizar

    Hacker profissional autnomo

    Prestao de servio: recuperao de contas e dados, blindar o PC contra ataques PC contra ataques.

    Usar o buzz marketing (boca a boca). Negcio a longo prazo. Servio no vai faltar. Impecvel na forma de se apresentar e p pcompetente.

    Caador de vulnerabilidades (auditoria online de vulnerabilidades)

    Variao da anterior. Para empresas que tem sites na Internet Emisso de relatrios de vulnerabilidades e correes

    E Sit Bli d d Ex.: empresa Site Blindado Leia http://www.siteblindado.com.br/tecnologia.html

  • Como rentabilizarComo rentabilizar

    Escritor de livros hacker

    Experincia e habilidadeW b 2 0 l bilid d E W b 3 0? Cl d Web 2.0 trouxe novas vulnerabilidades. E a Web 3.0? Cloud Computing? Redes Sociais? etc

    Instrutor de curso hacker Instrutor de curso hacker

    Habilidade e experincia Faltam cursos no mercado Faltam cursos no mercado

    Palestrante

    Ex.: ex-camel David Portes Ex.: ex camel David Portes http://www.milpalestras.com.br/noticia.php?codigo=89

    (2006)( )

  • Como rentabilizarComo rentabilizar

    Quem voc acha que est mais bem preparado para lidar com problemas de segurana em uma empresa? O administrador de rede, o profissional de segurana ou o hacker? Porque?

    O conhecimento de um hacker profissional o O conhecimento de um hacker profissional o mesmo de um profissional de segurana? Baseado em que?em que?

  • Marketing pessoalMarketing pessoal

    Marketing pessoal a criao e gerenciamento de uma imagem para o mundo, mas especificamente, para um nicho de mercado.

    Use seu networking para capitalizar e prestar g p p pservios hacker.

    Prospecte novos mercados Como fazer isto? Prospecte novos mercados. Como fazer isto? O marketing pessoal comea definindo quem voc

    ( ) dquer ser (aparecer) para o mundo

  • Importncia do NetworkingImportncia do Networking

  • Marketing pessoal Exerccio 2 Primeiro passo

    Escreva a seguinte frase, substituindo QUALIDADE e g ,ATIVIDADE pelo que do seu interesse:

    Quero ser conhecido(a) como o(a) Quero ser conhecido(a) como o(a) [ UMA QUALIDADE ] [ UMA ATIVIDADE ] [ESPAO

    GEOGRFICO].

    Exemplo: Exemplo: Quero ser conhecido como o maior hacker do bairro.

    Se for mais ambicioso(a): Quero ser conhecido como o maior hacker do mundo.

  • Marketing pessoal Exerccio 3 Segundo passo:

    Definindo o SER, com a descrio do cenrio. Um cenrio uma descrio mental de como as

    coisas seriam se determinada situao j existisse coisas seriam se determinada situao j existisse. Ex.: como ser o maior hacker do mundo? O que faz o maior hacker do mundo? faz o maior hacker do mundo? ...

    Responda:QUANTO h ? Como SER?

    O que FAZ?

    QUANTO ganha?

    ONDE faz?

    COMO f ? Como as pessoas SABEM que FAZ?

    O que PENSAM disso?

    COMO faz?

    Como CHEGOU l?

  • Exerccio 4Exerccio 4

    Mente hacker Habilidade de buscar solues diante de situaes

    aparentemente sem sada

    Algumas pessoas desistem ao encontrar obstculo, g p ,recusam-se, so incapazes.

    http://www.quizes.com.br/hacker/1.htm

    http://www.hackerskills.com/p // /

  • Mente HackerMente Hacker

    Desafio 4 base para exercitar mente hacker. Caso no tenha reparado, avanar nas pginas do desafio

    f i d i i teve o mesmo efeito de uma invaso, pois eram reas protegidas que foram acessadas no por que voc foi autorizado(a) mas por voc ter descoberto como fazer o autorizado(a), mas por voc ter descoberto como fazer o acesso.

    Diferentes formas de lidar. Alguns Diferentes formas de lidar. Alguns Tentaram Foram at onde conseguiram Foram at onde conseguiram Buscaram respostas

    Todas as formas so vlidas Tudo para alcanar o objetivo Todas as formas so vlidas. Tudo para alcanar o objetivo. Isto mente hacker.

  • Mente hackerMente hacker

    preciso treinar Perder o medo Estudar e aceitar P ti !!! Praticar!!!

  • TCNICA, NO TECH E MENTE HACKERLuiz Eduardo Guarino de Vasconcelos

  • Definio de TcnicaDefinio de Tcnica

    Conjunto de processos, mtodos e procedimentos de uma arte, cincia ou ofcio (ex.: uma nova tcnica para tratamento dentrio).

    Jeito prprio de se fazer algo: Tenho uma tcnica p p gpara memorizar.

    Prtica percia habilidade especial para fazer Prtica, percia, habilidade especial para fazer algo.

    Tcnicas so chamadas hacks

  • Definio de TcnicaDefinio de Tcnica

    Aquele que cria o mais valorizado Valorizao no quer dizer domnio q s vezes, o que copia pode alcanar nvel tcnico

    maior do que aquele que cria maior do que aquele que cria. Todos usam tcnicas prontas.

    Veremos algumas tcnicas na disciplinag p Igual na culinria. No futuro, alguns vo copiar as

    receitas outros vo adaptar e poucos vo inventarreceitas, outros vo adaptar e poucos vo inventar.

  • No TechNo Tech

    Ao Hacker sem uso de tecnologia

    No Sem Tcnica, mas sim Sem Tecnologiag

    O i t Organizaes esto se adaptando e estudando est

    i i d i i estratgia, pois admitia-se que no seria possvel atacar, contra-atacar sem tecnologia

  • No TechNo Tech

    Shoulder Surfing Dumpster Diving

  • Shoulder SurfingShoulder Surfing

  • Engenharia SocialEngenharia Social

  • No TechNo Tech

    Invasores buscam CDs e pen-drives esquecidos Voc sabe abrir a porta do CD-ROM com o Voc sabe abrir a porta do CD ROM com o

    micro desligado?

  • Street HackerStreet Hacker

    Nas ruas Whit gadget (admite-se PDA, pen-drive com exploits,

    notebook, celular) Whitout gadget (sem uso de tecnologia) Whitout gadget (sem uso de tecnologia) Busca em aeroportos, cyber caf, etc

    http://www.streethacker.com/

  • Mente HackerMente Hacker

    Toda ao definida por um modelo mental. Modelo mental a forma como seus pensamentos esto

    d estruturados. Esta estruturao ocorre ao longo da vida, sendo o perodo de

    i t t i t t d id d F d maior estruturao o que vai at os sete anos de idade. Fase da Absoro (informaes verbais e no verbais)

    As reas de processamento cerebral no usadas na infncia ficam As reas de processamento cerebral no usadas na infncia ficam adormecidas, podendo ser despertadas a qualquer momento.

    Adultos so mais crticos e menos capazes de ir contra a Adultos so mais crticos e menos capazes de ir contra a estruturao j instalada e contra os caminhos proeminentes existentes

    Talvez estude tudo sobre hacker, mas falte reprogramar o modelo mental para comear a agir sem achar que errado

  • Tcnica da pgina doisTcnica da pgina dois

    Quem voc acha que cria pgina para Web?

    Muitas pessoas leigas, que fez cursos de desenvolvimento de sites, de Web Designer, etc

    Resultado: Pginas mal feitas ... Falta de segurana! Resultado: Pginas mal feitas ... Falta de segurana! Funcionamento normal: Us rio entra na pgina de login e digita s rio e senha Usurio entra na pgina de login e digita usurio e senha O sistema verifica no banco de dados se os dados

    conferem se conferir d acesso a pgina doisconferem, se conferir d acesso a pgina dois. Se os dados, nome do usurio ou senha, no conferir, o

    sistema exibe a pgina trs informando o erro.sistema exibe a pgina trs informando o erro.

  • Tcnica da pgina doisTcnica da pgina dois

  • A VulnerabilidadeA Vulnerabilidade

    O que acontece se o programador no proteger a pgina 2 do acesso direto? Se voc acessar a pgina 1 vai ter que informar

    usurio e senhaMas e se acessar direto a pgina 2?

    A pergunta a responder : A pergunta a responder :Qual o endereo da pgina 2?Qual a URL permite isso?Qual a URL permite isso?

    Isto est no cdigo-fonte!

  • Demonstrao Demonstrao

    Demonstrao

    Acessando a pgina 2 de um site cobaiap g Acesso restrito autorizado sem preenchimento de

    usurio e senhausurio e senha Falta de validao da pgina 2

  • Exerccio 6Exerccio 6

    1. Cite um No Tech diferente dos abordados em aula e descreva-o.

    2. Voc j obteve acesso locais de acesso restrito? Conte-nos sua experincia.experincia.

    3. Tarefa proposta:

    No decorrer dessa semana, tire a foto da tela de algum computador (que no seja o seu, obviamente).

    Faa isso em um lugar em que possa realizar o shoulder surfing sem ser percebidopercebido.

    Aps tirar a foto, realize as seguintes tarefas e tire suas concluses: determine o sistema operacional utilizado;p ;

    determine o hardware utilizado;

    enumere os softwares utilizados;

    descreva demais itens, como data/hora, configuraes da rea de trabalho e etc.

  • HACKS PRONTOS PARAUSOLuiz Eduardo Guarino de Vasconcelos

  • Definio de HacksDefinio de Hacks

    As pessoas so o que fazem.

    Um fotgrafo fotgrafo por fazer fotos. Um cozinheiro cozinheiro por preparar alimentos Um cozinheiro cozinheiro por preparar alimentos. Um hacker hacker por fazer hacks.

    Hacks so procedimentos que permitem obter resultados que a pessoa comum no obteria.

  • Hack #01 Criar pastas proibidasHack #01 Criar pastas proibidas

    O Windows no permite a criao ou remoo de pastas com nomes de dispositivos, como por exemplo: con, lpt1, prn, com1, nul, entre outras. Experimente criar estas pastas. Se conseguir crilas, experimente remov las.

    1) Se voc criou usando o Windows Explorer, algumas vai ) p gconseguir criar, outras no. Tambm ter problemas para removlas.

    2) Se voc tentar criar usando a janela de prompt de comando, no vai conseguir.

  • Hack #2 Ver localizao sem GPSHack #2 Ver localizao sem GPS

    Sites que exibem localizao a partir do IP

    No tem muita preciso e confiabilidade, mas ajuda na hora de saber de onde partiu um ataqueonde partiu um ataque

    http://www.myip.com.br/ ou http://whatismyipaddress.com/

    hack, pois o leigo no tem a menor idia de como fazer algo simples como verificar a provvel localizao de um IP e nem como fraudar esta localizao.

  • Hack #03 Encontrar MP3 no Google Google como ferramenta de Hacking (mais

    detalhes posteriormente) Permite muito hacks Normalmente estes links no ficam disponveisp

    Mais msicas ou cantores internacionais i l (ht |ht l| h ) i titl "i d f" +"l t -inurl:(htm|html|php) intitle: index of + last

    modified" +"parent directory" +description +size +( | 3) i t "+(wma|mp3) msica ou cantor"

    http://www.listen77.com/free-mp3/ http://www.gooload.com/index.html.en

  • Hack #04 Criar usurio no Windows sem acessar Painel de Controle

    No prompt NET USER NET USER hacker 123456 /ADD

    Confirme acessando Contas de Usurio Confirme acessando Contas de Usurio

    Podemos gerenciar todas as contas existentes. Invasor pode comprometer a rede/sistema em

    minutos, apenas atravs de comandos

    Veremos mais comandos posteriormente

  • Exerccio 7Exerccio 7

    Como foi sua experincia com o exerccio hack #1, criar pastas proibidas no Windows?

    Como foi sua experincia com o exerccio hack #2, localizar sua posio Como foi sua experincia com o exerccio hack #2, localizar sua posio pelo IP? O sistema localizou corretamente, com uma margem de erro de no mximo 50km? Conseguiu mudar a localizao? Como o fez?

    l l d h // i Tente novamente sua localizao usando o site http://www.ip-adress.com/ipaddresstolocation/ Notou alguma diferena? O que pode ter ocorrido?

    Como foi sua experincia com o exerccio hack #3, de encontrar MP3 no Google? Qual a diferena entre buscar diretamente pelo nome da msica e usar as chaves sugeridas em nossa frase de buscas?e usar as chaves sugeridas em nossa frase de buscas?

    Como foi sua experincia com o exerccio hack #4, criar o usurio no Windows? Seria possvel criar um usurio na Lan House para depois acessar a rede remotamente? Como imagina que isto seja possvel?

  • FerramentasFerramentas

    http://www.dnsgoodies.com/ Vrias ferramentas (ping, trace, MyIP)

    http://uptime.netcraft.com/up/graph/ Qual sistema operacional

    www.fatecguaratingueta.edu.br

    http://www.ussrback.com/ Exploits

    http://www.hostlogr.com/ Algumas informaes do servidor

  • FerramentasFerramentas

    http://whois.domaintools.com/ Digite o domnio no formato www.nome.com e veja no final da pgina

    de resultados o IP alm de opes para refinar a buscade resultados o IP, alm de opes para refinar a busca.

    www.fatecguaratingueta.edu.br Registro

    www.globo.com Mais completo

    http://www.nomer.com.br/whois/ Para saber quem o dono de um site + informaes sobre o DNS.

    l b www.globo.com

    http://mydnstools.info/smtprelayP i b id i i d Permite saber se um servidor permite o envio de spam:

    smtp.globo.com

  • Planejamento inicial de um ataquePlanejamento inicial de um ataque

    Ob i f b i Obter informaes sobre o sistema Monitorando a rede

    d Penetrando no sistema Inserindo cdigo ou informaes falsas Enviando enxurada de pacotes desnecessrios,

    comprometendo a disponibilidade

  • Planejamento inicial de um ataquePlanejamento inicial de um ataque

    A b did d Ataques bem sucedidos podem acarretar: Monitoramento no autorizado

    b d f Descoberta e vazamento de informaes noautorizadas

    Modificao no autorizada de servidores, base de dados e configuraes

    Negao de servio Fraude ou perdas financeiras Imagem prejudicada, perda de confiana e

    reputao Trabalho extra para a recuperao dos recursos Perda de negcios, clientes e oportunidades

  • Planejamento inicial de um ataquePlanejamento inicial de um ataque

    A Aps ataques Encobrir passos realizados

    l d l Excluso de logs Excluso de arquivos criados, temporrios criados Formatao completa

    Importncia dos IDS

  • PerguntasPerguntas

    Ser que os servidores tem algum mecanismo para controlar o que estamos acessando?

    Ser que estamos acessando o servidor Ser que estamos acessando o servidor verdadeiro?

  • PerguntasPerguntas

    Se voc descobre a senha de uma conta bancria crime?

    SPAM crime?

    O que impede voc de invadir contas bancrias, d fi it il d t i t ?desfigurar sites, acessar e-mail de terceiros, etc?Medo (punio, do desconhecido, das consequncias)? Falta de conhecimento? Algum obstculo?

  • O que leva ao ataque?O que leva ao ataque?

    Vingana Vandalismo Terrorismo P t i ti MOTIVAO Patriotismo Religioso MOTIVAO Ego Financeiro Financeiro Diverso

  • OS RISCOS QUE RONDAMAS ORGANIZAESLuiz Eduardo Guarino de Vasconcelos

  • IntroduoIntroduo

    O termo genrico para identificar quem realiza o ataque em um sistema computacional hacker

    (Tissato)

    Indivduo obsessivo, de classe mdia, de cor branca, do sexo masculino, entre 12 e 28 anos, com poucahabilidade social e possvel histria de abuso fsicoe/ou social.

    (Estudo de Marc Rogers)

  • Potenciais AtacantesPotenciais Atacantes

    Segundo o Mdulo Security Solutions:Segundo o Mdulo Security Solutions: Script kiddies: iniciantes ou newbies Cyberpunks: mais velhos mas ainda anti sociais Cyberpunks: mais velhos, mas ainda anti-sociais Insiders: empregados insatisfeitos Coders: os que escrevem suas proezas Coders: os que escrevem suas proezas White hat: profissionais contratados, sneakers Black hat: crackers Black hat: crackers Gray hat: hackers que vivem no limite entre white e black hatblack hat.

    Usurios, autorizados ou no, tambm podem causardanos por erros ou ignorncia.

  • Perdas Financeiras causados por ataquesPerdas Financeiras causados por ataques

    ATAQUE Prejuzo (U$Smilhes)E i t l i 0 3Espionagem em telecomunicaes 0,3

    Invaso de sistema 13

    Sabotagem 15 1Sabotagem 15,1

    Negao de servio 18,3

    Abuso de rede interna 50buso de ede e a 50

    Roubo de laptop 11,7

    Vrus 49,9

    Roubo de informaes proprietrias 170,8

    Fraude em telecomunicaes 6

    Fraude financeira 115,7

  • Fontes de AtaqueFontes de Ataque

    OrigemgHackersFuncionrios internosConcorrnciaConcorrnciaGovernos estrangeirosEmpresas estrangeiras

  • InsidersInsiders

    Funcionrios confiveisFuncionrios confiveis Venda de segredo, 1999, rea nuclear, EUA China desde

    1980Funcionrios subornados ou enganados Espio alemo, Karl Hinrich, seduziu funcionria, rea de

    bi l i EUAbiotecnologia, EUAFuncionrios antigos 1993, Jos Ignacio Lopez e mais 7. GM para VW com mais de 1993, Jos Ignacio Lopez e mais 7. GM para VW com mais de

    10 mil documentos privativos de novos projetos, estratgias, etc. 1996, GM indenizada em U$S100 mi

    Funcionrios insatisfeitos Adm. Sistema insatisfeito com salrio e bnus. Bomba lgica em

    il t d j d U$S 3 i M 2002mil computadores com prejuzo de U$S 3 mi. Maro 2002.

  • Pontos exploradosPontos explorados

    Fsico: Hardware / Instalao

    Computador

    Usurios / Organizao

    AplicaoServidor

    Aplicao

    Rede / Telecomunicaes

    Servios, protocolos, etc

    Sistema OperacionalSistema Operacional

    Uma brecha em um desses nveis de sistemasUma brecha em um desses nveis de sistemaspermitir a explorao dele todo

  • Ataques para a obteno de informaes

    C h t l t i f b l Conhecer o terreno e coletar informaes sobre o alvo sem ser notado o primeiro passo (Tanto para atacar quanto paraDEFENDER)DEFENDER) Podem ser utilizados:

    Dumpster diving ou trashing Engenharia social Ataques fsicos P k t iffi Packet sniffing Port scanning Scanning de vulnerabilidadesScanning de vulnerabilidades Firewalking IP Spoofing tcnica auxiliar

    Veremos em breve

  • RECOMENDAES INICIAISLuiz Eduardo Guarino de Vasconcelos

  • Concepes erradas sobre segurana da informao

    Uma vez implantada a segurana, as informaes esto seguras. g A implantao da segurana um processo simples.p A segurana um assunto de exclusiva responsabilidade da rea de segurana responsabilidade da rea de segurana. A estrutura da segurana relativamente esttica esttica.

  • ObservaesObservaes

    As portas dos fundos so to boas quanto s portas da frente. p Uma corrente to forte quanto o seu elo mais fraco mais fraco. Um invasor no tenta transpor as barreiras

    d l i d d l b d encontradas, ele vai ao redor delas buscando o ponto mais vulnervel.

  • As ameaas esto sempre por perto?As ameaas esto sempre por perto?

    Ameaa qualquer ao ou acontecimento que possa agir sobre um ativo. Toda ao ou acontecimento atravs de uma vulnerabilidade, gerando um determinado impacto. Exemplos: Naturais: raios, incndios; De Negcio: fraudes, erros, sucesso de pessoas; Tecnolgicas: mudanas, "bugs, invases; Sociais: greves, depredao, vingana; Culturais: impunidade;

  • Estamos preparados?Estamos preparados?

    Substituio de executivos Falha de Hardware e/ou Software Falha na Rede Invaso da Rede SPAM Falha Humana Espionagem

  • Porque se preocupar com a segurana?

    Senhas, nmeros de cartes de crdito.

    Conta de acesso internet.

    Dados pessoais e comerciais.Dados pessoais e comerciais.

    Danificao do sistema

  • Porque invadir o meu computador?Porque invadir o meu computador?

    Pode ser utilizado para realizar atividades

    ilcitas.(pedofilismo por exemplo).

    Realizar ataques contra outros computadores.Realizar ataques contra outros computadores.

    Disseminar vrus.

    Enviar SPAMs.

    Furtar dados.

    Vandalismo.Vandalismo.

  • SenhasSenhas

    Ler e enviar emails em seu nome.

    Obter informaes pessoais suas.(Nmero do carto

    de crdito)de crdito)

    Esconder a real identidade da pessoa.

  • O que no usar na elaborao de senhas

    Nomes.

    Datas.

    Nmeros de documentos.Nmeros de documentos.

    Nmeros de telefone.

    Placas de carro.

    Palavras de dicionrio.

    Password (Pa$$wOrd)Password (Pa$$wOrd)

  • Como elaborar senhasComo elaborar senhas

    Utilizar no mnimo 8 caracteres. A h d i A senha deve ser o mais bagunada possvel. Deve conter letras Deve conter letras maisculas e minsculas. Deve conter nmeros. Deve conter caracteres especiais. A senha de e ser fcil A senha deve ser fcil de lembrar. Eu sou da turma 7, de u sou da u a 7, de TI #E$dt7dTi

  • Seja menos importanteSeja menos importante

    A preocupao com a segurana proporcional ao que voc tem a perder no caso de falha na segurana. Uma pessoa que mantm todos os seus arquivos importantes em um PC, e deixa este PC muitas horas por dia conectado por banda larga, est pondo em risco permanente a segurana das suas informaes. Ser menos importante deixar o mnimo possvel disposio dos invasores. O preo dos HDs de grande capacidade, HDs externos, pen drives a preos bastante convidativos, so boas opes para manter as informaes pessoais fora do micro.

  • Backup SimplificadoBackup Simplificado

    O backup simplificado que proponho consiste em criar pastas temticas na estrutura do disco rgido e, se no der para fazer cpia de tudo, que copie pelo menos as pastas mais importantes. O segredo , em vez de instalar programas de backup que voc nunca vai usar, mova para as pastas os arquivos assim que so criados ou chegam ao seu PC, fazendo cpias peridicas apenas das pastas que no podem ser perdidas.

  • Saia do CaminhoSaia do Caminho

    Quando um invasor tem acesso ao PC de algum, a primeira coisa que faz procurar nas pastas conhecidas

    i i f i por arquivos que possam conter informaes importantes. Vai procurar em Meus documentos, raiz do disco rgido,

    d b lh d d d rea de trabalho, pasta das mensagens do programa de e Mail.

    Voc vai aumentar consideravelmente sua segurana se passar a armazenar seus arquivos em pastas com nomes dif t l i dif t d t di i l M lh diferentes e em locais diferentes do tradicional. Melhor, como j disse, salvar fora do PC, usando HDs removveis ou pen driveou pen drive.

  • Plano de ContingnciaPlano de Contingncia

    A visualizao de cenrios tanto serve para desenvolver planos de ataque como para planos de defesa. Pense na

    d l d PC O i ? Q i d d perda total do seu PC. O que aconteceria? Quais dados seriam irremediavelmente perdidos? Quanto tempo at o restabelecimento do sistema? restabelecimento do sistema?

    Pensar na tragdia poder sensibiliz lo o suficiente t id i i di t l d para tomar providncias imediatas em prol da segurana

    do seu sistema ou dos seus contratantes.O l d ti i d i d i O plano de contingncia a descrio do que voc vai fazer em caso de perda total. Toda empresa deve ter um mas a maioria nem sabe que isto existe Cabe a voc um, mas a maioria nem sabe que isto existe. Cabe a voc orient las e oferecer seus servios.

  • Segurana FsicaSegurana Fsica

    Quando se fala em segurana da informao o leigo quase que exclusivamente se pensa em invases e invasores. Mas segurana da informao tambm segurana fsica.

    Prever a possibilidade de roubo, furto ou dano, seja ele natural ou por falha no equipamento.seja ele natural ou por falha no equipamento.

    Inclua no seu plano de contingncia previso de segurana fsica tambmsegurana fsica tambm.

  • De quem se protegerDe quem se proteger

    As pessoas preocupamse muito com hackers. Mas na verdade elas correm mais risco com pessoas de seu prprio convvio. A julgar pela quantidade de gente que me procura para aprender como invadir a quantidade de gente que me procura para aprender como invadir a conta de seus companheiros(as), podemos supor que o inimigo est mais prximo do que pensamos.

    No quero pregar a desconfiana, mas alguma precauo se faz necessrias, pois o cnjuge de hoje pode ser nosso inimigo amanh.

    O f i d S P l d i f h O exprefeito de So Paulo, segundo informaes que nos chegam atravs da imprensa, foi denunciado pela prpria esposa. Recentemente tivemos o caso de um marido que, com o fim do q ,relacionamento, divulgou um vdeo ntimo gravado com a esposa.

    A informao no est apenas no computador, mas pode parar nele.

    Cuidado com seus segredos.

  • ProteoProteo

    Anti-vrus Firewall Atualizao diria (e.g. Windows Update) A ti Anti-spyware Monitorando eventos Monitorando processos

  • ProteoProteo

    Delegacias de cibercrimes http://www.safernet.org.br/site/prevencao/orientacao/delegacias

    Legislao http://dsic.planalto.gov.br/documentos/quadro_legislacao.htm

    CTI (Renato Archer) CGI CGI ISOC Curiosidade: Internet no Brasil http://noticias.r7.com/r7/media/2010/0527_linhaTempoIn

    /ternet/linhaTempoInternet_700x500.swf

  • ProteoProteo

    http://www.technetbrasil.com.br http://www.infoguerra.com.br http://www.cartilha.cert.br http://www.modulo.com.br http://www.nextg.com.br Revistas tcnicas Academia Latino Americana de Segurana da Informao (Microsoft) Internet, Internet e Internet

  • Exerccio 9Exerccio 9

    Usando ferramentas on-line (para 3 servidores) Descobrir o endereo IP da mquina alvo. Descobrir informaes tcnicas sobre o servidor. Descobrir qual o sistema operacional e servidor Web q p

    rodando no servidor. Descrever quais ferramentas foram utilizadas Descrever quais ferramentas foram utilizadas

    Pode fazer at do celular Pode fazer at do celular OBS.: Considerar os IPs dos servidores

  • Exerccio 10Exerccio 10

    Encontre 3 ovos de pscoa em softwares e envie o print screen de cada um e como podem ser descobertos.

    Encontre e resuma 3 casos de espionagem ou p ginsiders

  • PROFISSIONAISLuiz Eduardo Guarino de Vasconcelos

  • ProfissionaisProfissionais

    Planejamento de carreira

    Busca de equilbrio (profissional x pessoal)

    Valores. tica. A tica que orienta o caos.

  • ProfissionaisProfissionais

    Porque quanto maior a segurana, maior a facilidade de burlar a segurana?g

  • ProfissionaisProfissionais

    Orientado a resultados. Capacidade de trabalho em equipes.p q p Liderana. Perfil empreendedor Perfil empreendedor. Viso do futuro.

    C id d d i Capacidade de inovar. Comunicao, expor idias. Conhecimento tcnico.

  • ProfissionaisProfissionais

    Individuais- Orientao a resultados- Criatividade

    Foco no cliente- Foco no cliente.- Capacidade de anlise e aprendizado.

    T b lh i- Trabalho em equipe.

  • ProfissionaisProfissionais

    O que saber? Redes e SOGesto de Projetos e TIC Programao e criptologiag p g Hardware Sociologia + Psicologia Sociologia + Psicologia

    Certificaes Linux, Microsoft, Mdulo, Cisco, ISO, CISSP

  • Profissionais competnciasespecficas

  • Profissionais competnciasespecficas

  • Profissionais competnciasespecficas

  • Profissionais competnciasespecficas