SlideShare uma empresa Scribd logo

Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta

Clavis Segurança da Informação
Clavis Segurança da Informação

O documento discute como as mídias sociais revolucionaram os ataques de força bruta, explicando três cenários: 1) como dicas de senha em mídias sociais permitem adivinhar senhas, 2) como informações pessoais em mídias sociais facilitam a recuperação de senhas, e 3) como informações pessoais em mídias sociais podem ser usadas para criar wordlists mais efetivas para ataques de dicionário.

Tecnologia
1 de 32
Baixar para ler offline
Entendendo como as Mídias Sociais Revolucionaram os Ataques de Força Bruta Henrique Soares Analista de Segurança
$ whoami •  Analista do Grupo Clavis •  Mestre em Informática pela UFRJ •  Detecção e resposta a incidentes de segurança •  Testes de invasão em redes, sistemas e aplicações.
Agenda •  Ataques sobre Senhas 101 •  Estatísticas Interessantes •  Utilizando as Mídias Sociais •  Conclusão
Agenda Ataques sobre Senhas 101
•  Força Bruta vs. Recuperação de Senhas •  Objetivos deste tipo de ataque: •  White Hat: Descobrir usuários com senhas fracas •  Black Hat: Obter acesso não-autorizado •  Os ataques geralmente são eficazes somente sobre senhas fracas Ataques sobre Senhas 101 Introdução
•  Senha fraca → Fácil de adivinhar •  Dicas clássicas para criar senhas fortes: •  Misturar letras maiúsculas, minúsculas, números e caracteres especiais •  Não utilizar palavras que podem ser encontradas em dicionários (de nenhuma língua) •  Prestar atenção no número de caracteres •  Não utilizar uma senha em múltiplos serviços •  Não usar senhas sugeridas em palestras!!! J Ataques sobre Senhas 101 O Que Caracteriza uma Senha Fraca?
•  Não-Computacional •  Não envolvem computadores •  Offline •  Não necessitam conectividade •  Passivo •  Não interagem com o alvo na rede •  Ativo •  Interagem com o alvo na rede Ataques sobre Senhas 101 Classificação dos Ataques
Agenda Estatísticas Interessantes
•  Tamanho das senhas •  ≤ 5 (1,01%), 6 (21,79%), 7 (14,04%), 8 (20,58%), 9 (12,22%), 10 (8,647%), 11 (5,9%), 12 (4,83%), ≥ 13 (10,99%) •  Senhas mais comuns •  123456 (64), 123456789 (18), alejandra (11), 111111 (10), alberto (9), tequiero (9), alejandro (9), 12345678 (9) •  Conjunto de caracteres •  a (41,57%), aA1 (29,73%), 1 (19,11%), aA1@ (6,33%), aA (3,26%) Fonte: http://www.acunetix.com/blog/news/statistics-from-10000-leaked-hotmail-passwords/ Estatísticas Interessantes Vazamento de credenciais do Hotmail
•  Tamanho das senhas •  6 (20,75%), 7 (15,64%), 8 (32,79%), 9 (15,04%), 10 (8,99%), 11 (3,77%), 12 (1,8%), 13 (0,68%), ≥ 14 (0,53%) •  Conjunto de caracteres •  a1 (47,66%), a (24,57%), aA1 (12,16%), 1 (7,71%) •  Ordenação dos caracteres •  s (27,57%), 1 (7,71%) •  s1 (49,05%), s1s (5,24%), 1s (3,16%), 1s1 (0,94%) •  s@1 (1,35%), s@s (0,46%), s@ (0,34%), @s (0,05%), @s@ (0,04%), @ (0,0%) Fonte: http://pastebin.com/5pjjgbMt Estatísticas Interessantes Vazamento de credenciais do LinkedIn
•  Tamanho das senhas •  ≤ 5 (1,93%), 6 (17,98%), 7 (14,82%), 8 (26,9%), 9 (14,9%), 10 (12,37%), 11 (4,79%), 12 (4,91%), ≥ 13 (1,47%) •  Senhas mais comuns •  123456 (1666), password (780), welcome (436), ninja (333), abc123 (250), 123456789 (222), 12345678 (208) •  Conjunto de caracteres •  a1 (50,61%), a (33,08%), 1 (5,89%), Aa1 (5,25%) •  Ordenação dos caracteres •  s1 (41,85%), 1a (5,64%), s1s (4,22%), 1s1 (1,05%) Fonte: http://blog.eset.se/statistics-about-yahoo-leak-of-450-000-plain-text-accounts/ Estatísticas Interessantes Vazamento de credenciais do Yahoo
Que as Mídias Sociais têm com isto? Foca!!!
Agenda Utilizando as Mídias Sociais
•  Dica de senha •  Adivinhação da senha pela dica •  Mecanismo de recuperação de senhas •  Alteração da senha pelo fornecimento de informações pessoais •  Ataques de dicionário •  Adivinhação por um teste iterativo de possíveis senhas Mídias Sociais Ataques sobre Senhas
Mídias Sociais Cenário 1: Dica de Senha
Mídias Sociais Cenário 1: Dica de Senha
•  Informações pessoais → Identidade •  Problema: muitas pessoas têm postado informa- ções pessoais (e até íntimas) em mídias sociais •  Como resolver este problema? •  Que informação é pessoal a ponto de identificar, mas desinteressante de postar em redes sociais? •  Solução: Comunicar-se com o cliente por outro canal de comunicação pré-estabelecido •  Eficaz só se boas práticas não forem seguidas Mídias Sociais Cenário 2: Recuperação de Senha
•  Ataque sobre a recuperação de senha •  Pedia informações facilmente obtidas na Internet •  Atacante encontrado, julgado e condenado •  Acusações incluíram: •  Obstrução da Justiça •  Acesso não-autorizado a computador •  Fraude eletrônica •  Roubo de identidade •  Sarah Palin não ganhou as eleições de 2008 Fonte: http://wikileaks.org/wiki/VP_contender_Sarah_Palin_hacked Mídias Sociais Caso Sarah Palin
•  Ataque de tentativa/erro com wordlists •  Será bem-sucedido se a senha estiver na wordlist •  O que faz uma boa wordlist? •  Senhas com boa probabilidade de acerto •  Senhas mais relevantes ↔ Alvo bem definido •  Como Mídias Sociais podem auxiliar? •  Senha fácil de lembrar ↔ Informações pessoais •  Wordlists baseadas em informações pessoais são mais relevantes que aleatórias Mídias Sociais Cenário 3: Ataque de Dicionário
•  Ferramenta livre para criação de wordlists •  Características: •  Permite criar wordlists a partir de um charset •  Gera todas strings possíveis com este charset •  Mas e aí? Funciona? •  Funcionar até funciona, mas e o tempo? •  Senhas com baixíssima probabilidade de estarem sendo usadas por um usuário real Mídias Sociais Ferramenta: Crunch
Mídias Sociais Ferramenta: Crunch
•  Ferramenta livre para obtenção de informação •  Características: •  Busca informações em mídias públicas sobre domínios ou empresas alvo •  Coleta emails, hosts e virtual hosts •  Mas isto ajuda em que? •  Fornece nomes de usuários válidos •  Informações sobre a infraestrutura alvo Mídias Sociais Ferramenta: The Harvester
Mídias Sociais Ferramenta: The Harvester
•  Ferramenta livre para criação de wordlists •  Características: •  Recebe informações pessoais sobre o alvo e cria uma wordlist com base nestes dados •  Mas e agora? •  Atacar com sua ferramenta favorita •  John the Ripper, Aircrack-NG, THC-Hydra, Medusa, etc •  Vale frisar: nada é garantido! •  HULK SMASH!!! Mídias Sociais Ferramenta: CUPP
Mídias Sociais Ferramenta: CUPP
Mídias Sociais Ferramenta: CUPP
Conclusão Agenda
•  Não escreva sua senha em mídias sociais •  Tem SEMPRE alguém olhando!!! •  Não utilize uma senha em múltiplos serviços •  Caso se descubra a senha em um serviço, o atacante não terá acesso aos outros serviços •  Escolha senhas fortes e difíceis de adivinhar •  Utilizar uma boa senha ainda é uma boa medida de segurança Conclusão Medidas Importantes
•  Não escreva sua senha em papel •  Aproveite o fato de não terem inventado ainda métodos de leitura da mente •  Se possível, utilize autenticação multi-fator •  Mais camadas de segurança não fazem mal a ninguém! J •  Cuidado com a exposição excessiva •  Não informe aos criminosos de sua cidade para onde você está indo!!! Conclusão Medidas Importantes
Dúvidas? Perguntas? Críticas? Sugestões?
Siga a Clavis
Muito Obrigado! contato@clavis.com.br @hrssoares Henrique Soares Analista de Segurança henriquerssoares

Recomendados

Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Clavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Clavis Segurança da Informação
 
Auditoria em Redes e Sistemas
Auditoria em Redes e Sistemas Auditoria em Redes e Sistemas
Auditoria em Redes e Sistemas
Gionni Lúcio
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Clavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Clavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Clavis Segurança da Informação
 
Construindo WebApps ricas com Rails e Sencha
Construindo WebApps ricas com Rails e SenchaConstruindo WebApps ricas com Rails e Sencha
Construindo WebApps ricas com Rails e Sencha
Milfont Consulting
 
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Clavis Segurança da Informação
 

Recomendados

Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Clavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Clavis Segurança da Informação
 
Auditoria em Redes e Sistemas
Auditoria em Redes e Sistemas Auditoria em Redes e Sistemas
Auditoria em Redes e Sistemas
Gionni Lúcio
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Clavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Clavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Clavis Segurança da Informação
 
Construindo WebApps ricas com Rails e Sencha
Construindo WebApps ricas com Rails e SenchaConstruindo WebApps ricas com Rails e Sencha
Construindo WebApps ricas com Rails e Sencha
Milfont Consulting
 
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Clavis Segurança da Informação
 
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Clavis Segurança da Informação
 
SEMINÁRIO INTERNACIONAL DE SEGURANÇA E DEFESA CIBERNÉTICA
SEMINÁRIO INTERNACIONAL DE SEGURANÇA E DEFESA CIBERNÉTICASEMINÁRIO INTERNACIONAL DE SEGURANÇA E DEFESA CIBERNÉTICA
SEMINÁRIO INTERNACIONAL DE SEGURANÇA E DEFESA CIBERNÉTICA
Clavis Segurança da Informação
 
Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense Computacional
Clavis Segurança da Informação
 
Capa pronta! desinfecção de efluente primário municipal de águas residuais ...
Capa pronta! desinfecção de efluente primário municipal de águas residuais ...Capa pronta! desinfecção de efluente primário municipal de águas residuais ...
Capa pronta! desinfecção de efluente primário municipal de águas residuais ...
José Demontier Vieira de Souza Filho
 
Webinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de CibercrimesWebinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de Cibercrimes
Clavis Segurança da Informação
 
Equipes sem Líderes formais e realmente autogeridas
Equipes sem Líderes formais e realmente autogeridasEquipes sem Líderes formais e realmente autogeridas
Equipes sem Líderes formais e realmente autogeridas
Milfont Consulting
 
Sistemas embarcados
Sistemas embarcadosSistemas embarcados
Sistemas embarcados
Natan Cardoso
 
Palestra PET.Com - Sistemas Embarcados
Palestra PET.Com - Sistemas EmbarcadosPalestra PET.Com - Sistemas Embarcados
Palestra PET.Com - Sistemas Embarcados
PET Computação
 
Modelo de Contrato de Trabalho PJ - Terceirização e outsourcing
Modelo de Contrato de Trabalho PJ - Terceirização e outsourcingModelo de Contrato de Trabalho PJ - Terceirização e outsourcing
Modelo de Contrato de Trabalho PJ - Terceirização e outsourcing
Contrato PJ
 
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Clavis Segurança da Informação
 
Prototipação
PrototipaçãoPrototipação
Prototipação
Daniel Fernandes
 
24908462 modelo-de-contrato-de-prestacao-de-servico
24908462 modelo-de-contrato-de-prestacao-de-servico24908462 modelo-de-contrato-de-prestacao-de-servico
24908462 modelo-de-contrato-de-prestacao-de-servico
Fabio Lobo
 
Contrato de Prestação de Serviços - DIREITO CIVIL
Contrato de Prestação de Serviços - DIREITO CIVILContrato de Prestação de Serviços - DIREITO CIVIL
Contrato de Prestação de Serviços - DIREITO CIVIL
brigidoh
 
Modelos de ciclo de vida de software
Modelos de ciclo de vida de softwareModelos de ciclo de vida de software
Modelos de ciclo de vida de software
Yuri Garcia
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Clavis Segurança da Informação
 
Aula02 conceitos de segurança
Aula02 conceitos de segurançaAula02 conceitos de segurança
Aula02 conceitos de segurança
Carlos Veiga
 
Quanto vale a informação? Fundamentos de Segurança da Informação
Quanto vale a informação? Fundamentos de Segurança da InformaçãoQuanto vale a informação? Fundamentos de Segurança da Informação
Quanto vale a informação? Fundamentos de Segurança da Informação
Natanael Simões
 
Ganhar dinheiro através das redes sociais
Ganhar dinheiro através das redes sociaisGanhar dinheiro através das redes sociais
Ganhar dinheiro através das redes sociais
🔵 DERICK WILLIAM
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
Fabio Leandro
 
Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015
C H
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
Rodrigo Gomes da Silva
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 

Mais conteúdo relacionado

Destaque

Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense Computacional
Clavis Segurança da Informação
 
Capa pronta! desinfecção de efluente primário municipal de águas residuais ...
Capa pronta! desinfecção de efluente primário municipal de águas residuais ...Capa pronta! desinfecção de efluente primário municipal de águas residuais ...
Capa pronta! desinfecção de efluente primário municipal de águas residuais ...
José Demontier Vieira de Souza Filho
 
Webinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de CibercrimesWebinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de Cibercrimes
Clavis Segurança da Informação
 
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Clavis Segurança da Informação
 
24908462 modelo-de-contrato-de-prestacao-de-servico
24908462 modelo-de-contrato-de-prestacao-de-servico24908462 modelo-de-contrato-de-prestacao-de-servico
24908462 modelo-de-contrato-de-prestacao-de-servico
Fabio Lobo
 

Destaque (15)

Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
 
SEMINÁRIO INTERNACIONAL DE SEGURANÇA E DEFESA CIBERNÉTICA
SEMINÁRIO INTERNACIONAL DE SEGURANÇA E DEFESA CIBERNÉTICASEMINÁRIO INTERNACIONAL DE SEGURANÇA E DEFESA CIBERNÉTICA
SEMINÁRIO INTERNACIONAL DE SEGURANÇA E DEFESA CIBERNÉTICA
 
Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense Computacional
 
Capa pronta! desinfecção de efluente primário municipal de águas residuais ...
Capa pronta! desinfecção de efluente primário municipal de águas residuais ...Capa pronta! desinfecção de efluente primário municipal de águas residuais ...
Capa pronta! desinfecção de efluente primário municipal de águas residuais ...
 
Webinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de CibercrimesWebinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de Cibercrimes
 
Equipes sem Líderes formais e realmente autogeridas
Equipes sem Líderes formais e realmente autogeridasEquipes sem Líderes formais e realmente autogeridas
Equipes sem Líderes formais e realmente autogeridas
 
Sistemas embarcados
Sistemas embarcadosSistemas embarcados
Sistemas embarcados
 
Palestra PET.Com - Sistemas Embarcados
Palestra PET.Com - Sistemas EmbarcadosPalestra PET.Com - Sistemas Embarcados
Palestra PET.Com - Sistemas Embarcados
 
Modelo de Contrato de Trabalho PJ - Terceirização e outsourcing
Modelo de Contrato de Trabalho PJ - Terceirização e outsourcingModelo de Contrato de Trabalho PJ - Terceirização e outsourcing
Modelo de Contrato de Trabalho PJ - Terceirização e outsourcing
 
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
 
Prototipação
PrototipaçãoPrototipação
Prototipação
 
24908462 modelo-de-contrato-de-prestacao-de-servico
24908462 modelo-de-contrato-de-prestacao-de-servico24908462 modelo-de-contrato-de-prestacao-de-servico
24908462 modelo-de-contrato-de-prestacao-de-servico
 
Contrato de Prestação de Serviços - DIREITO CIVIL
Contrato de Prestação de Serviços - DIREITO CIVILContrato de Prestação de Serviços - DIREITO CIVIL
Contrato de Prestação de Serviços - DIREITO CIVIL
 
Modelos de ciclo de vida de software
Modelos de ciclo de vida de softwareModelos de ciclo de vida de software
Modelos de ciclo de vida de software
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
 

Semelhante a Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta

Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
Fabio Leandro
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
Rodrigo Gomes da Silva
 
Congresso Nacional de Direito Eleitoral
Congresso Nacional de Direito EleitoralCongresso Nacional de Direito Eleitoral
Congresso Nacional de Direito Eleitoral
Beonpop
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
Rodrigo Gomes da Silva
 

Semelhante a Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta (20)

Aula02 conceitos de segurança
Aula02 conceitos de segurançaAula02 conceitos de segurança
Aula02 conceitos de segurança
 
Quanto vale a informação? Fundamentos de Segurança da Informação
Quanto vale a informação? Fundamentos de Segurança da InformaçãoQuanto vale a informação? Fundamentos de Segurança da Informação
Quanto vale a informação? Fundamentos de Segurança da Informação
 
Ganhar dinheiro através das redes sociais
Ganhar dinheiro através das redes sociaisGanhar dinheiro através das redes sociais
Ganhar dinheiro através das redes sociais
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Bsides2018 - Daniel lima - palestra data science
Bsides2018 - Daniel lima - palestra data scienceBsides2018 - Daniel lima - palestra data science
Bsides2018 - Daniel lima - palestra data science
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
GTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e LegislaçãoGTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e Legislação
 
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
 
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
Unidade 06 introdução a computação - segurança da informação 15-03-03 - 57 ...
 
Workshop - Fundamentos de Ethical Hacking
Workshop - Fundamentos de Ethical HackingWorkshop - Fundamentos de Ethical Hacking
Workshop - Fundamentos de Ethical Hacking
 
FIREWALL 04.pptx
FIREWALL 04.pptxFIREWALL 04.pptx
FIREWALL 04.pptx
 
Mallwares
MallwaresMallwares
Mallwares
 
Anonymous
AnonymousAnonymous
Anonymous
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB Santos
 
Congresso Nacional de Direito Eleitoral
Congresso Nacional de Direito EleitoralCongresso Nacional de Direito Eleitoral
Congresso Nacional de Direito Eleitoral
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Ehtical Hacking
Ehtical HackingEhtical Hacking
Ehtical Hacking
 

Mais de Clavis Segurança da Informação

Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo Montoro
Clavis Segurança da Informação
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis Segurança da Informação
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Clavis Segurança da Informação
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes
Clavis Segurança da Informação
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Clavis Segurança da Informação
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
Clavis Segurança da Informação
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem Fio
Clavis Segurança da Informação
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
 

Mais de Clavis Segurança da Informação (20)

Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptx
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo Montoro
 
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - Apresentação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSign
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - Octopus
 
Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem Fio
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 

Último

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
2m Assessoria
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
2m Assessoria
 

Último (6)

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docxATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 

Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta

  • 1. Entendendo como as Mídias Sociais Revolucionaram os Ataques de Força Bruta Henrique Soares Analista de Segurança
  • 2. $ whoami •  Analista do Grupo Clavis •  Mestre em Informática pela UFRJ •  Detecção e resposta a incidentes de segurança •  Testes de invasão em redes, sistemas e aplicações.
  • 3. Agenda •  Ataques sobre Senhas 101 •  Estatísticas Interessantes •  Utilizando as Mídias Sociais •  Conclusão
  • 5. •  Força Bruta vs. Recuperação de Senhas •  Objetivos deste tipo de ataque: •  White Hat: Descobrir usuários com senhas fracas •  Black Hat: Obter acesso não-autorizado •  Os ataques geralmente são eficazes somente sobre senhas fracas Ataques sobre Senhas 101 Introdução
  • 6. •  Senha fraca → Fácil de adivinhar •  Dicas clássicas para criar senhas fortes: •  Misturar letras maiúsculas, minúsculas, números e caracteres especiais •  Não utilizar palavras que podem ser encontradas em dicionários (de nenhuma língua) •  Prestar atenção no número de caracteres •  Não utilizar uma senha em múltiplos serviços •  Não usar senhas sugeridas em palestras!!! J Ataques sobre Senhas 101 O Que Caracteriza uma Senha Fraca?
  • 7. •  Não-Computacional •  Não envolvem computadores •  Offline •  Não necessitam conectividade •  Passivo •  Não interagem com o alvo na rede •  Ativo •  Interagem com o alvo na rede Ataques sobre Senhas 101 Classificação dos Ataques
  • 9. •  Tamanho das senhas •  ≤ 5 (1,01%), 6 (21,79%), 7 (14,04%), 8 (20,58%), 9 (12,22%), 10 (8,647%), 11 (5,9%), 12 (4,83%), ≥ 13 (10,99%) •  Senhas mais comuns •  123456 (64), 123456789 (18), alejandra (11), 111111 (10), alberto (9), tequiero (9), alejandro (9), 12345678 (9) •  Conjunto de caracteres •  a (41,57%), aA1 (29,73%), 1 (19,11%), aA1@ (6,33%), aA (3,26%) Fonte: http://www.acunetix.com/blog/news/statistics-from-10000-leaked-hotmail-passwords/ Estatísticas Interessantes Vazamento de credenciais do Hotmail
  • 10. •  Tamanho das senhas •  6 (20,75%), 7 (15,64%), 8 (32,79%), 9 (15,04%), 10 (8,99%), 11 (3,77%), 12 (1,8%), 13 (0,68%), ≥ 14 (0,53%) •  Conjunto de caracteres •  a1 (47,66%), a (24,57%), aA1 (12,16%), 1 (7,71%) •  Ordenação dos caracteres •  s (27,57%), 1 (7,71%) •  s1 (49,05%), s1s (5,24%), 1s (3,16%), 1s1 (0,94%) •  s@1 (1,35%), s@s (0,46%), s@ (0,34%), @s (0,05%), @s@ (0,04%), @ (0,0%) Fonte: http://pastebin.com/5pjjgbMt Estatísticas Interessantes Vazamento de credenciais do LinkedIn
  • 11. •  Tamanho das senhas •  ≤ 5 (1,93%), 6 (17,98%), 7 (14,82%), 8 (26,9%), 9 (14,9%), 10 (12,37%), 11 (4,79%), 12 (4,91%), ≥ 13 (1,47%) •  Senhas mais comuns •  123456 (1666), password (780), welcome (436), ninja (333), abc123 (250), 123456789 (222), 12345678 (208) •  Conjunto de caracteres •  a1 (50,61%), a (33,08%), 1 (5,89%), Aa1 (5,25%) •  Ordenação dos caracteres •  s1 (41,85%), 1a (5,64%), s1s (4,22%), 1s1 (1,05%) Fonte: http://blog.eset.se/statistics-about-yahoo-leak-of-450-000-plain-text-accounts/ Estatísticas Interessantes Vazamento de credenciais do Yahoo
  • 12. Que as Mídias Sociais têm com isto? Foca!!!
  • 14. •  Dica de senha •  Adivinhação da senha pela dica •  Mecanismo de recuperação de senhas •  Alteração da senha pelo fornecimento de informações pessoais •  Ataques de dicionário •  Adivinhação por um teste iterativo de possíveis senhas Mídias Sociais Ataques sobre Senhas
  • 17. •  Informações pessoais → Identidade •  Problema: muitas pessoas têm postado informa- ções pessoais (e até íntimas) em mídias sociais •  Como resolver este problema? •  Que informação é pessoal a ponto de identificar, mas desinteressante de postar em redes sociais? •  Solução: Comunicar-se com o cliente por outro canal de comunicação pré-estabelecido •  Eficaz só se boas práticas não forem seguidas Mídias Sociais Cenário 2: Recuperação de Senha
  • 18. •  Ataque sobre a recuperação de senha •  Pedia informações facilmente obtidas na Internet •  Atacante encontrado, julgado e condenado •  Acusações incluíram: •  Obstrução da Justiça •  Acesso não-autorizado a computador •  Fraude eletrônica •  Roubo de identidade •  Sarah Palin não ganhou as eleições de 2008 Fonte: http://wikileaks.org/wiki/VP_contender_Sarah_Palin_hacked Mídias Sociais Caso Sarah Palin
  • 19. •  Ataque de tentativa/erro com wordlists •  Será bem-sucedido se a senha estiver na wordlist •  O que faz uma boa wordlist? •  Senhas com boa probabilidade de acerto •  Senhas mais relevantes ↔ Alvo bem definido •  Como Mídias Sociais podem auxiliar? •  Senha fácil de lembrar ↔ Informações pessoais •  Wordlists baseadas em informações pessoais são mais relevantes que aleatórias Mídias Sociais Cenário 3: Ataque de Dicionário
  • 20. •  Ferramenta livre para criação de wordlists •  Características: •  Permite criar wordlists a partir de um charset •  Gera todas strings possíveis com este charset •  Mas e aí? Funciona? •  Funcionar até funciona, mas e o tempo? •  Senhas com baixíssima probabilidade de estarem sendo usadas por um usuário real Mídias Sociais Ferramenta: Crunch
  • 22. •  Ferramenta livre para obtenção de informação •  Características: •  Busca informações em mídias públicas sobre domínios ou empresas alvo •  Coleta emails, hosts e virtual hosts •  Mas isto ajuda em que? •  Fornece nomes de usuários válidos •  Informações sobre a infraestrutura alvo Mídias Sociais Ferramenta: The Harvester
  • 24. •  Ferramenta livre para criação de wordlists •  Características: •  Recebe informações pessoais sobre o alvo e cria uma wordlist com base nestes dados •  Mas e agora? •  Atacar com sua ferramenta favorita •  John the Ripper, Aircrack-NG, THC-Hydra, Medusa, etc •  Vale frisar: nada é garantido! •  HULK SMASH!!! Mídias Sociais Ferramenta: CUPP
  • 28. •  Não escreva sua senha em mídias sociais •  Tem SEMPRE alguém olhando!!! •  Não utilize uma senha em múltiplos serviços •  Caso se descubra a senha em um serviço, o atacante não terá acesso aos outros serviços •  Escolha senhas fortes e difíceis de adivinhar •  Utilizar uma boa senha ainda é uma boa medida de segurança Conclusão Medidas Importantes
  • 29. •  Não escreva sua senha em papel •  Aproveite o fato de não terem inventado ainda métodos de leitura da mente •  Se possível, utilize autenticação multi-fator •  Mais camadas de segurança não fazem mal a ninguém! J •  Cuidado com a exposição excessiva •  Não informe aos criminosos de sua cidade para onde você está indo!!! Conclusão Medidas Importantes