Este documento discute os principais desafios de segurança da informação no ambiente global, incluindo a guerra cibernética, a internet das coisas, espionagem digital, BYOD e engenharia social. Apresenta também as informações disponíveis no underground hacker e as ferramentas usadas em ataques, como redes anônimas e técnicas de engenharia social.
O documento discute técnicas para permanecer anônimo na internet, incluindo navegação via servidores proxy, Tor e VPN. Também aborda formas de realizar ataques de hacking de forma anônima, como o Idle Scan e o uso de botnets. O documento inclui demonstrações práticas destas técnicas.
O documento apresenta um seminário sobre engenharia social, definindo-a como a arte de hackear pessoas por meio de enganação para obter informações confidenciais. Apresenta exemplos de como isso é feito, ferramentas usadas como sites de busca, mídias sociais e equipamentos de espionagem, e conclui convidando para debate.
Pirataria refere-se à cópia e distribuição de material sem pagamento de direitos. Os produtos mais pirateados incluem software, música e filmes. Países como China, Rússia e Brasil têm altos níveis de pirataria. A palavra "hacker" surgiu nos anos 50 para descrever modificações em equipamentos, e hoje significa alguém com conhecimentos de tecnologia.
O documento discute os tipos e impactos da pirataria, incluindo como ela está relacionada ao crime organizado e exploração infantil. Também menciona que a pirataria ignora direitos autorais e de propriedade, e que a polícia apreendeu DVDs e CDs piratas com a ajuda de cães treinados.
O documento discute a pirataria de software, definindo-a como a cópia, distribuição ou venda ilegal de programas de computador. A pirataria é considerada crime pela lei brasileira e pode acarretar em multas e prisão. O documento também apresenta as vantagens do uso de software livre como alternativa à pirataria.
O documento discute as revelações de Edward Snowden sobre a NSA, incluindo seu orçamento bilionário para espionagem cibernética e coleta de dados, e fornece dicas sobre como melhor proteger a privacidade online, como usar criptografia e software de código aberto.
O documento apresenta hackerspaces e cultura hacker, discutindo o significado do termo "hacker" e descrevendo hackerspaces como espaços físicos comunitários onde pessoas compartilham conhecimento em atividades como oficinas, projetos, eventos e mais, sem realizar serviços ilegais como invasão de sistemas ou quebra de senhas.
Este documento discute os principais desafios de segurança da informação no ambiente global, incluindo a guerra cibernética, a internet das coisas, espionagem digital, BYOD e engenharia social. Apresenta também as informações disponíveis no underground hacker e as ferramentas usadas em ataques, como redes anônimas e técnicas de engenharia social.
O documento discute técnicas para permanecer anônimo na internet, incluindo navegação via servidores proxy, Tor e VPN. Também aborda formas de realizar ataques de hacking de forma anônima, como o Idle Scan e o uso de botnets. O documento inclui demonstrações práticas destas técnicas.
O documento apresenta um seminário sobre engenharia social, definindo-a como a arte de hackear pessoas por meio de enganação para obter informações confidenciais. Apresenta exemplos de como isso é feito, ferramentas usadas como sites de busca, mídias sociais e equipamentos de espionagem, e conclui convidando para debate.
Pirataria refere-se à cópia e distribuição de material sem pagamento de direitos. Os produtos mais pirateados incluem software, música e filmes. Países como China, Rússia e Brasil têm altos níveis de pirataria. A palavra "hacker" surgiu nos anos 50 para descrever modificações em equipamentos, e hoje significa alguém com conhecimentos de tecnologia.
O documento discute os tipos e impactos da pirataria, incluindo como ela está relacionada ao crime organizado e exploração infantil. Também menciona que a pirataria ignora direitos autorais e de propriedade, e que a polícia apreendeu DVDs e CDs piratas com a ajuda de cães treinados.
O documento discute a pirataria de software, definindo-a como a cópia, distribuição ou venda ilegal de programas de computador. A pirataria é considerada crime pela lei brasileira e pode acarretar em multas e prisão. O documento também apresenta as vantagens do uso de software livre como alternativa à pirataria.
O documento discute as revelações de Edward Snowden sobre a NSA, incluindo seu orçamento bilionário para espionagem cibernética e coleta de dados, e fornece dicas sobre como melhor proteger a privacidade online, como usar criptografia e software de código aberto.
O documento apresenta hackerspaces e cultura hacker, discutindo o significado do termo "hacker" e descrevendo hackerspaces como espaços físicos comunitários onde pessoas compartilham conhecimento em atividades como oficinas, projetos, eventos e mais, sem realizar serviços ilegais como invasão de sistemas ou quebra de senhas.
O documento discute as atividades de espionagem cibernética da NSA, incluindo a coleta de inteligência de comunicações estrangeiras e domésticas, bem como cenários hipotéticos de como os Estados Unidos poderiam manipular eleições e sistemas de pagamento em outros países através de ataques cibernéticos. O documento também fornece recomendações sobre como proteger melhor os dados e a privacidade.
O documento discute crimes digitais e computação forense. Apresenta o perfil do especialista, certificações, associações e exemplos de crimes digitais. Também aborda definições, tipos de crimes, ferramentas e perfis de criminosos digitais. Por fim, explica conceitos de evidência digital e o processo de investigação forense.
O documento apresenta uma cartilha sobre segurança na internet, descrevendo conceitos como internet, e-mail, navegadores, lan houses, redes sociais, redes P2P, mensageiros instantâneos, roubo de dados, vírus, blogs, invasão, crimes digitais e denúncias. O objetivo é orientar jovens sobre o uso seguro e correto da internet.
O documento apresenta uma cartilha sobre segurança na internet, descrevendo conceitos como internet, e-mail, navegadores, lan houses, redes sociais, redes P2P, mensageiros instantâneos, roubo de dados, vírus, blogs, invasão, crimes digitais e denúncias. O objetivo é orientar jovens sobre o uso seguro e correto da internet.
O documento discute a pirataria informática, definindo-a como a cópia e distribuição de material protegido por direitos autorais sem pagamento. Detalha os tipos de pirataria, como cópias não autorizadas e falsificação, e suas consequências negativas para editores de software e economias. Também reconhece que a única vantagem percebida é o preço mais baixo, mas aponta riscos e problemas de qualidade associados a software pirateado.
Pirataria informática envolve cópias ilegais de produtos como software, música e filmes. Isso pode ser feito pelo usuário final, por fabricantes de computadores ou pela internet. A pirataria causa prejuízos, mas cópias piratas são mais baratas para consumidores. Leis estabelecem punições como prisão e multas para pirataria.
Este documento fornece um resumo dos principais tipos de crimes digitais, como phishing, ransomware e ataques de negação de serviço, além de discutir o perfil dos criminosos digitais e as ferramentas e mercados que eles usam. Também aborda a legislação sobre crimes cibernéticos e como a tecnologia criou novos desafios para a aplicação da lei, mas também oportunidades para os criminosos.
O documento discute crimes digitais e segurança da informação, apresentando: 1) as credenciais e experiência do autor; 2) os crimes digitais mais comuns como phishing, ataques de negação de serviço e roubo de dados; 3) o perfil típico de criminosos digitais e as ferramentas e técnicas utilizadas.
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaCampus Party Brasil
Este documento discute como se tornar um hacker profissional de forma ética. Ele aborda as exigências do PCI para segurança de dados de cartão de crédito, habilidades necessárias como um hacker ético, formas de se certificar como um hacker profissional através de treinamentos e certificações reconhecidas internacionalmente como C|EH e C|HFI. Ferramentas comuns usadas por hackers éticos em pentests também são discutidas.
Existem vários tipos de espionagem na internet que podem monitorar os usuários, como cookies. A espionagem na internet cresceu 488% nos últimos anos e cerca de 20% dos principais sites usam mecanismos como cookies para coletar dados dos usuários sem permissão, levantando questões sobre privacidade. Cookies armazenam informações sobre os hábitos de navegação dos usuários.
Google Hacking - Explorando falhas de dispotivosC H
Aula sobre Google Hacking complemento ao material:
Artigo: http://cienciahacker.com.br/google-hacking-conceito-e-tecnica/
Video: https://www.youtube.com/watch?v=EOTWWDaMsV8
Pirataria de software envolve cópias não autorizadas de programas, violando direitos autorais. Usuários de software pirata não tem direito a suporte ou atualizações. No Brasil, pirataria é considerada crime segundo a Lei de Direitos Autorais, com penas de detenção e multa. Empresas tentam evitar pirataria com ativação online de produtos.
O documento discute crimes digitais e computação forense. Apresenta o perfil do especialista Vaine Luiz Barreira e suas certificações. Explana sobre crimes digitais, evidências digitais e o processo de investigação forense. Fornece exemplos de estudos de caso envolvendo fragmentos de arquivos e e-mails.
Este documento discute os tipos de hackers, incluindo cyberterroristas que fazem mal e "White Hats" que fazem o bem. Também descreve habilidades necessárias para hackers e exemplos históricos de hackers notórios.
O documento descreve a história da internet, desde sua criação como projeto militar chamado Arpanet até seu crescimento e popularização com a criação da World Wide Web em 1989. Também apresenta alguns modos de acesso à internet, navegadores web, sites úteis e conceitos como e-mail, vírus de computador e tipos de ataques cibernéticos.
O documento apresenta estudos de caso sobre segurança na internet conduzidos pelo professor João Gabriel Lima, incluindo o ataque ao site Ashley Madison, ataques de malvertising escondendo malware em pixels de banners publicitários e o grande ataque DDoS de 2016 contra servidores da Dyn que causou instabilidade em diversos sites e serviços.
O documento discute os tipos de crimes digitais, como phishing, botnets e invasões, e as dificuldades da justiça brasileira em lidar com esses crimes, especialmente na prova de autoria. Também menciona que o Brasil tem se tornado um laboratório para crimes cibernéticos devido à falta de leis eficazes.
O documento discute métodos de invasão de redes e sistemas por hackers e phreakers, incluindo cavalos de tróia, farejamento de redes, engenharia social e quebra-cabeça. Também define termos como hacker, cracker, lamer e wannabe e descreve mitos sobre fraudes telefônicas usando grafite ou esmalte de unha.
Uso internet vacaria_2013-luis_fernando_s_bittencourtLuis Bittencourt
O documento discute vários tópicos relacionados à segurança na internet, incluindo respostas a incidentes de segurança, tipos de códigos maliciosos como vírus e worms, engenharia social, crimes cibernéticos, medidas de segurança e boas práticas para senhas seguras.
O documento discute as atividades de espionagem cibernética da NSA, incluindo a coleta de inteligência de comunicações estrangeiras e domésticas, bem como cenários hipotéticos de como os Estados Unidos poderiam manipular eleições e sistemas de pagamento em outros países através de ataques cibernéticos. O documento também fornece recomendações sobre como proteger melhor os dados e a privacidade.
O documento discute crimes digitais e computação forense. Apresenta o perfil do especialista, certificações, associações e exemplos de crimes digitais. Também aborda definições, tipos de crimes, ferramentas e perfis de criminosos digitais. Por fim, explica conceitos de evidência digital e o processo de investigação forense.
O documento apresenta uma cartilha sobre segurança na internet, descrevendo conceitos como internet, e-mail, navegadores, lan houses, redes sociais, redes P2P, mensageiros instantâneos, roubo de dados, vírus, blogs, invasão, crimes digitais e denúncias. O objetivo é orientar jovens sobre o uso seguro e correto da internet.
O documento apresenta uma cartilha sobre segurança na internet, descrevendo conceitos como internet, e-mail, navegadores, lan houses, redes sociais, redes P2P, mensageiros instantâneos, roubo de dados, vírus, blogs, invasão, crimes digitais e denúncias. O objetivo é orientar jovens sobre o uso seguro e correto da internet.
O documento discute a pirataria informática, definindo-a como a cópia e distribuição de material protegido por direitos autorais sem pagamento. Detalha os tipos de pirataria, como cópias não autorizadas e falsificação, e suas consequências negativas para editores de software e economias. Também reconhece que a única vantagem percebida é o preço mais baixo, mas aponta riscos e problemas de qualidade associados a software pirateado.
Pirataria informática envolve cópias ilegais de produtos como software, música e filmes. Isso pode ser feito pelo usuário final, por fabricantes de computadores ou pela internet. A pirataria causa prejuízos, mas cópias piratas são mais baratas para consumidores. Leis estabelecem punições como prisão e multas para pirataria.
Este documento fornece um resumo dos principais tipos de crimes digitais, como phishing, ransomware e ataques de negação de serviço, além de discutir o perfil dos criminosos digitais e as ferramentas e mercados que eles usam. Também aborda a legislação sobre crimes cibernéticos e como a tecnologia criou novos desafios para a aplicação da lei, mas também oportunidades para os criminosos.
O documento discute crimes digitais e segurança da informação, apresentando: 1) as credenciais e experiência do autor; 2) os crimes digitais mais comuns como phishing, ataques de negação de serviço e roubo de dados; 3) o perfil típico de criminosos digitais e as ferramentas e técnicas utilizadas.
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaCampus Party Brasil
Este documento discute como se tornar um hacker profissional de forma ética. Ele aborda as exigências do PCI para segurança de dados de cartão de crédito, habilidades necessárias como um hacker ético, formas de se certificar como um hacker profissional através de treinamentos e certificações reconhecidas internacionalmente como C|EH e C|HFI. Ferramentas comuns usadas por hackers éticos em pentests também são discutidas.
Existem vários tipos de espionagem na internet que podem monitorar os usuários, como cookies. A espionagem na internet cresceu 488% nos últimos anos e cerca de 20% dos principais sites usam mecanismos como cookies para coletar dados dos usuários sem permissão, levantando questões sobre privacidade. Cookies armazenam informações sobre os hábitos de navegação dos usuários.
Google Hacking - Explorando falhas de dispotivosC H
Aula sobre Google Hacking complemento ao material:
Artigo: http://cienciahacker.com.br/google-hacking-conceito-e-tecnica/
Video: https://www.youtube.com/watch?v=EOTWWDaMsV8
Pirataria de software envolve cópias não autorizadas de programas, violando direitos autorais. Usuários de software pirata não tem direito a suporte ou atualizações. No Brasil, pirataria é considerada crime segundo a Lei de Direitos Autorais, com penas de detenção e multa. Empresas tentam evitar pirataria com ativação online de produtos.
O documento discute crimes digitais e computação forense. Apresenta o perfil do especialista Vaine Luiz Barreira e suas certificações. Explana sobre crimes digitais, evidências digitais e o processo de investigação forense. Fornece exemplos de estudos de caso envolvendo fragmentos de arquivos e e-mails.
Este documento discute os tipos de hackers, incluindo cyberterroristas que fazem mal e "White Hats" que fazem o bem. Também descreve habilidades necessárias para hackers e exemplos históricos de hackers notórios.
O documento descreve a história da internet, desde sua criação como projeto militar chamado Arpanet até seu crescimento e popularização com a criação da World Wide Web em 1989. Também apresenta alguns modos de acesso à internet, navegadores web, sites úteis e conceitos como e-mail, vírus de computador e tipos de ataques cibernéticos.
O documento apresenta estudos de caso sobre segurança na internet conduzidos pelo professor João Gabriel Lima, incluindo o ataque ao site Ashley Madison, ataques de malvertising escondendo malware em pixels de banners publicitários e o grande ataque DDoS de 2016 contra servidores da Dyn que causou instabilidade em diversos sites e serviços.
O documento discute os tipos de crimes digitais, como phishing, botnets e invasões, e as dificuldades da justiça brasileira em lidar com esses crimes, especialmente na prova de autoria. Também menciona que o Brasil tem se tornado um laboratório para crimes cibernéticos devido à falta de leis eficazes.
O documento discute métodos de invasão de redes e sistemas por hackers e phreakers, incluindo cavalos de tróia, farejamento de redes, engenharia social e quebra-cabeça. Também define termos como hacker, cracker, lamer e wannabe e descreve mitos sobre fraudes telefônicas usando grafite ou esmalte de unha.
Uso internet vacaria_2013-luis_fernando_s_bittencourtLuis Bittencourt
O documento discute vários tópicos relacionados à segurança na internet, incluindo respostas a incidentes de segurança, tipos de códigos maliciosos como vírus e worms, engenharia social, crimes cibernéticos, medidas de segurança e boas práticas para senhas seguras.
O documento discute tópicos relacionados à espionagem e segurança na internet, incluindo acesso seguro através da internet usando o protocolo SSL, hackers versus crackers, técnicas para quebrar senhas, vazamento de senhas no LinkedIn, engenharia reversa em firmware da D-Link e o Marco Civil da Internet no Brasil.
O documento apresenta uma palestra sobre 7 segredos sobre testes de penetração e software livre. A palestra discute conceitos gerais de segurança da informação e testes de penetração, e apresenta 7 etapas de um teste de penetração, incluindo coleta de informações, mapeamento de rede, enumeração de serviços, busca por vulnerabilidades e exploração delas. O palestrante é especialista em segurança cibernética e software livre.
Você já sentiu isso? Aquele frio na barriga e o coração batendo mais forte? Você não sabe o que, mas alguma coisa está dando errado no seu teste de penetração. Você não consegue penetrar em nada. Não serão apenas novas técnicas, mas verdadeiras mudanças na sua visão. Aquele momento que dá um estalo quando você vê como fazer de verdade e que tudo era tão simples. Te espero para contar todos os segredos.
[1] O documento apresenta Paulo Renato Lopes Seixas, um especialista em segurança de redes e projetos de TI. [2] Ele descreve brevemente suas qualificações e experiência em implementação de soluções de segurança usando software livre como GNU/Linux. [3] O documento também fornece uma introdução sobre testes de penetração (pen test) e engenharia social.
O documento discute conceitos de segurança da informação, privacidade e resiliência. Apresenta princípios de governança da internet que enfatizam a segurança, estabilidade e confiança na rede. Explora propriedades da segurança como confidencialidade, integridade e disponibilidade. Também aborda riscos comuns, medidas de proteção como criptografia e detecção de atividades maliciosas.
O documento apresenta uma palestra sobre os 7 segredos sobre Pentest e Software Livre que todos deveriam saber. A palestra foi apresentada por Alcyon Junior na 13a Conferência Latino-Americana de Software Livre e discute conceitos gerais de Pentest, os 7 passos de um Pentest e tira dúvidas do público.
Aula03 – Códigos Maliciosos e Tipos de AtaquesCarlos Veiga
O documento discute vários tipos de ataques cibernéticos, incluindo obtenção de informações (sniffing, port scanning, spoofing), interrupção de serviço (DoS, DDoS) e malware. Ele explica como cada ataque funciona e como pode ser realizado, destacando a importância de proteger sistemas e redes para prevenir invasões.
O documento apresenta a agenda de um encontro sobre segurança da internet no domínio .gov.br, discutindo a evolução dos CSIRTs no Brasil, desafios atuais como botnets e mercado negro, e recomendações como tratamento de incidentes, criação de CSIRTs, e dicas para usuários.
O documento discute segurança da informação, abordando conceitos como vírus, invasões, hackers e engenharia social. Também apresenta estatísticas sobre riscos na internet e demonstra ferramentas para corrigir vulnerabilidades.
O documento discute como detectar fraquezas e backdoors intencionais em ativos de tecnologia da informação que podem facilitar a interceptação de comunicações por agências de inteligência estrangeiras e hackers. Ele propõe uma auditoria multidisciplinar para mapear os ativos, analisar configurações e tráfego de rede, e inspecionar software, firmware e hardware em busca de anomalias ou elementos não documentados que possam permitir o acesso não autorizado às informações.
Android é o sistema operacional móvel mais utilizado no Brasil, representando 88,72% do mercado. Dispositivos Android são alvos comuns de malware devido à sua popularidade e lojas de aplicativos menos restritas. A demonstração mostrou como ferramentas como o dSploit e AndroRAT podem ser usadas para explorar vulnerabilidades em dispositivos Android e comprometer a segurança da informação.
[In]segurança mobile: Android na Segurança da InformaçãoHenrique Galdino
Android é o sistema operacional móvel mais utilizado no Brasil, representando 88% do mercado. Dispositivos Android são alvos comuns de malware devido à sua popularidade e à disponibilidade de aplicativos fora das lojas oficiais. A demonstração mostrou como ferramentas como o dSploit e AndroRAT podem ser usadas para comprometer dispositivos Android remotamente e roubar informações.
Insegurança mobile: Android na Segurança da InformaçãoHenrique Galdino
Android é o sistema operacional móvel mais utilizado no Brasil. Apresenta riscos de segurança como vírus e cavalos de Tróia projetados para roubar informações financeiras dos usuários. Ferramentas como o dSploit podem explorar vulnerabilidades em dispositivos Android para executar ataques de negação de serviço ou controlar remotamente o dispositivo.
O documento discute técnicas de invasão e defesa de sistemas computacionais. Apresenta ferramentas como nmap, nessus e metasploit que podem ser usadas para invasão e também técnicas de defesa como firewalls e sistemas de detecção de intrusão.
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Rafael Biriba
O documento discute os perigos da segurança digital, incluindo malwares como vírus e spywares, phishing, hackers e crackers. Ele também explica como prevenir esses riscos usando ferramentas como antivírus, firewalls e navegando com cuidado.
Deveremos tratar, em outros artigos, outros aspectos relacionados à segurança na Web, como: aspectos relacionados à segurança da máquina, no cliente Web, dos dados em trânsito, assim como algumas recomendações para tornar seu servidor Web mais seguro
Segurança em aplicativos móveis de comunicação - Cnasi 2016Tiago Tavares
O documento discute segurança em aplicativos móveis e resume as principais ameaças e vulnerabilidades, incluindo: (1) vazamento de dados pessoais devido a armazenamento inseguro e falta de criptografia; (2) riscos de ataques como phishing e injeção de código devido a falhas nos aplicativos e redes; (3) a necessidade de testes de segurança e políticas de gerenciamento de dispositivos móveis para empresas.
Este certificado confirma que Gabriel de Mattos Faustino concluiu com sucesso um curso de 42 horas de Gestão Estratégica de TI - ITIL na Escola Virtual entre 19 de fevereiro de 2014 a 20 de fevereiro de 2014.
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...Faga1939
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
3. root@kembolle:~# Whoami
Kembolle Amilkar A.K.A Dr O.liverkall
# Tecnologia em Analise e Desenvolvimento de Sistemas;
# Governança de Tecnologia da Informação;
# Gerenciamento de Processo de Negócio e tecnologia da Informação;
# Segurança da Informação [ Conclusão ];
# CTO – Chief Tecnology Officer [ Samuray Consultoria ];
# Analista Segurança da Informação [ Sefaz – MT ];
# The Open Web Application Security Project (OWASP) Cuiabá;
# Brazil Underground Security – 2011;
10. root@kembolle:~# Cibercrimes
Senhas fracas permitiram invasão à TV que anunciou
ataque zumbi nos EUA :
●
●
Enquanto você assiste à televisão, o áudio do programa
original é cortado e, em seu lugar, surge uma voz alertando
um ataque de zumbis nas proximidades. Parece surreal? Isso
aconteceu nos Estados Unidos.
o governo ordenou às emissoras a mudarem as senhas para
o equipamento que as autoridades usam para divulgar
transmissões de emergência através do Sistema de Alerta de
Emergência (EAS, na sigla em inglês).
http://adrenaline.uol.com.br/seguranca/noticias/15564/senha
s-fracas-permitiram-invasao-a-tv-que-anunciou-ataque-zumbi
-nos-eua.html 15/02/2013
11. root@kembolle:~# Cibercrime
Refere-se a toda a actividade onde um
computador ou uma rede de computadores é
utilizada como uma ferramenta, uma base de
ataque ou como meio de crime.
●
E - Crime
●
Cibercrime (Cybercrime)
●
Crime Eletrônico
●
Crime Digital
12. root@kembolle:~# Cibercrime
Quais os Tipos Cibercrimes?
O crime envolvendo computadores abrange um
conjunto de atividades ilegais bastante variado:
●
Falsidade ideológica ( Fakes );
●
Acesso e uso ilegal de dados ( Espionagem );
●
Conteúdo Criminoso ( Pedofilia );
●
Criação de programas dedicado ao crime (backdoor's);
●
Pirataria de Software ( Serial Fishing );
13. root@kembolle:~# Cibercrime
Caracteristicas:
●
●
●
Transnacionalidade: O Cibercrime é um
fenômeno internacional, onde não há fronteiras de
ação e de alcance.
Universalidade: O Cibercrime não escolhe
nações, géneros estatutos sociais, entre outros
factores.
Omnipresença: Hoje em dia, a omnipresença da
tecnologia está no quotidiano dos cidadãos.
14. root@kembolle:~# Cibercrime
Vamos citar 3 Tipos de Criminosos:
Cracker é o termo usado para designar o
indivíduo que pratica a quebra (ou cracking) de
um sistema de segurança, de forma ilegal ou sem
ética.
Este termo foi criado em 1985 por hackers em
defesa contra o uso jornalístico do termo hacker.
16. root@kembolle:~# Cibercrime
Pirata
É aquele que se dedica à apropriação, reprodução,
acumulação e distribuição (em grande escala) de
software protegido por copyright, com fins
lucrativos.
18. root@kembolle:~# - Técnicas de Intrusão
A Owasp hoje possui um top10 de vulnerabilidades mais utilizadas para
realizar exploração de Ambientes “ WEB”
A1-Injection
●
A2-Broken Authentication and Session Management
●
A3-Cross-Site Scripting (XSS)
●
A4-Insecure Direct Object References
●
A5-Security Misconfiguration
●
A6-Sensitive Data Exposure
●
A7-Missing Function Level Access Control
●
A8-Cross-Site Request Forgery (CSRF)
●
A9-Using Components with Known Vulnerabilities
●
A10-Unvalidated Redirects and Forwards
https://www.owasp.org/index.php/Top_10_2013-Top_10
19. root@kembolle:~# - Técnicas de Intrusão
Top 10 Mobile Risks
●
M1: Insecure Data Storage
●
M2: Weak Server Side Controls
●
M3: Insufficient Transport Layer Protection
●
M4: Client Side Injection
●
M5: Poor Authorization and Authentication
●
M6: Improper Session Handling
●
M7: Security Decisions Via Untrusted Inputs
●
M8: Side Channel Data Leakage
●
M9: Broken Cryptography
●
M10: Sensitive Information Disclosure
https://www.owasp.org/index.php/Projects/OWASP_Mobile_Security_Proj
ect_-_Top_Ten_Mobile_Risks
20. root@kembolle:~# - Técnicas de Intrusão
Botnet: são computadores “zumbis”.
●
●
Em suma, são computadores invadidos por um
determinado cracker, que os transforma em
um replicador de informações.
Dessa forma torna-se mais difícil o
rastreamento de computadores que geram
spams e aumentam o alcance das mensagens
propagadas ilegalmente.
23. root@kembolle:~# - Técnicas de Intrusão
Denial of Service (DoS): “Ataque de negação de
serviços” é uma forma de ataque que pretende
impedir o acesso dos usuários a determinados
serviços. Alvos mais frequentes são servidores
web, pois os crackers visam deixar páginas
indisponíveis.
As consequências mais comuns neste caso são:
consumo excessivo de recursos e falhas na
comunicação entre sistema e usuário.
EX: CVE-2013-1896 Denial of Service (DoS)
vulnerability in Apache HTTP Server
28. root@kembolle:~# - Técnicas de Intrusão
Social Engineering (Engenharia Social): é o ato de
manipular pessoas para conseguir informações
confidenciais sobre brechas de segurança .
36. root@kembolle:~# - Técnicas de Intrusão
o app malicioso DroidWhisperer, criado por Kevin McNamee, um pesquisador da área
de segurança da Kindsight. Ele escondeu o malware junto de um Angry Birds e
começou a distribuir o aplicativo em uma loja não oficial.
37. root@kembolle:~# - Técnicas de Intrusão
Sem ser notificado de nada, ele concedia autorização para
capturar áudio do microfone, relatar sua posição exata e
ainda baixar sua lista de contatos, permitindo a utilização
desses dados de uma forma nada benéfica. E tudo isso de
modo silencioso, comandando o aparelho hackeado pela
internet.
No caso do DroidWhisperer, isso tudo é bem simples. Por
meio de um painel de controle é possível ver todos os
aparelhos conectados, acessando o conteúdo enviado por
eles como se acessa um gerenciador de arquivos, tudo via
internet, sem nenhuma conexão cabeada.
48. root@kembolle:~# - Investigação
De: cte@xxx.com.br [mailto:cte@xxx.com.br ]
●
Enviada em: quinta-feira, 5 de setembro de 2013 20:04
●
Para: Sistema CTE - Conhecimento de Transporte Eletrônico
●
Assunto: Cobrança : Prestação em atraso
●
Para melhor visualizar este e-mail clique em Não tenho certeza. Vou verificar
●
Prezado(a) Cliente:
●
Arquivo(s) em Anexo(s): [ Cobranca 2a.via Boleto.pdf ] link
●
Tendo em vista que não nos procurou no prazo estipulado em nossa carta de 24/07/13,
●
comunicamos que o Boleto em questão foi levado a protesto, medida inicial no
●
processo de execução que iremos intentar contra, caso o pagamento não seja
●
efetuado no 1º Cartório de Protesto de Letras e Títulos.
●
Att,
●
Ricardo Garcia,
●
Gerente do Departamento Jurídico.
50. root@kembolle:~# - Investigação
Dentro de acessos.php e acessos.txt tem Mais informações vejamos...
●
Qua - 04/Set/2013 as 20:53:18 – 177.221.27.xx - - - Brazil
●
Qui - 05/Set/2013 as 10:57:29 - 177.221.27.xx - - - Brazil
●
Qui - 05/Set/2013 as 11:56:55 - 186.202.153.xx - - - Brazil
●
Qui - 05/Set/2013 as 15:05:37 - 177.132.247.xx - - Mato Grosso - Brazil
●
Qui - 05/Set/2013 as 15:08:44 - 186.212.206.xx - Curitiba - Paraná - Brazil
●
Qui - 05/Set/2013 as 15:11:08 - 177.54.98.xx - - - Brazil
●
Qui - 05/Set/2013 as 15:14:03 - 200.205.104.xx - - São Paulo - Brazil
●
Qui - 05/Set/2013 as 15:14:40 - 200.198.51.xx - - - Brazil
●
Qui - 05/Set/2013 as 15:17:05 - 201.92.118.xx - Bauru - São Paulo - Brazil
●
Qui - 05/Set/2013 as 15:17:11 - 177.139.165.xx - - São Paulo - Brazil
●
51. root@kembolle:~# - Investigação
0x01- http://jorgetadeuslp.com/css/acessos.php
0x02- http://jorgetadeuslp.com/css/acessos.txt
É lista enorme de pessoas que já baixarão e
executarão o “ terra.php “ ..
Continuando....
53. root@kembolle:~# - Investigação
É apenas um redirect para arquivo malicioso.....Bom chegamos a
Hospedagem do Arquivo , Vamos dar uma analisada:
●
GET /css/Boleto.2a.via.arquivo.anexos.visualizar.zip HTTP/1.1
●
Host: tadeuforense.pusku.com
●
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US;
rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13
●
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
●
Accept-Language: en-us,en;q=0.5
●
Accept-Encoding: gzip,deflate
●
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
●
Keep-Alive: 115
●
Connection: keep-alive
●
Certo então vamos ao Browser ver o que tem por la!? (:
59. root@kembolle:~# - Investigação
Ele gera vários arquivos e retorna insert’s nos registros e temporários.
http://recrutinha2016.com/adm/contador.php
:Label1
@echo off
del C:Users005757~1DesktopBOLETO~1.VISBOLETO~1.EXE
if Exist C:Users005757~1DesktopBOLETO~1.VISBOLETO~1.EXE
goto Label1
Call C:Users005757~1DesktopBOLETO~1.VISBOLETO~1.EXE
del C:Users005757~1DesktopBOLETO~1.VISBOLETO~1.bat
Exit
60. root@kembolle:~# - Investigação
Conclusão:
# Este arquivo é um “Loader” criado em Delphi para realizar execução de
vários arquivos maliciosos.
Caracteristicas Backdoor:
# Possui varias bibliotecas de Keylogger’s e Screenlogger para coleta de
informações bancárias;
# Realiza alteração de DNS para servidores ( Pharming )
( C:WINDOWSsystem32driversetcHosts );
# é criado arquivo Call
C:Users005757~1DesktopBOLETO~1.VISBOLETO~1.EXE que
funciona como Botnet para enventuais ataques de negação de serviço.
71. root@kembolle:~# - Como se proteger?
IDS e IPS?
# nmap -P0 -sI 1.1.1.1:1234 192.1.2.3
O Parametro -P0 -sl é uma
técnica de varredura para
esconder seu IP :D Seguindo
o exemplo, usa uma técnica de
varredura ociosa. Ele utiliza a
porta 1234 no IP 1.1.1.1 como
como um zumbi para fazer a
varredura de acolhimento –
192.1.2.3 ( alvo );
72. root@kembolle:~# - Como se proteger?
Honeypoth ?????
Oh yeah! I love IT! :D
http://map.honeynet.org
73. root@kembolle:~# - Metodologias [OWASP]
A Open Web Application Security Project
(OWASP) é uma entidade sem fins lucrativos e
de reconhecimento internacional, que contribui
para a melhoria da segurança de softwares
aplicativos reunindo informações importantes
que permitem avaliar riscos de segurança e
combater formas de ataques através da
internet.
74. root@kembolle:~# - Metodologias [OWASP]
Os estudos e documentos da OWASP são
disponibilizadas para toda a comunidade
internacional, e adotados como referência
por entidades como U.S. Defense
Information Systems Agency (DISA), U.S.
Federal Trade Commission, várias
empresas e organizações mundiais das
áreas de Tecnologia, Auditoria e Segurança,
e também pelo PCI Council.
75. root@kembolle:~# - Metodologias [OWASP]
A OWASP utiliza uma metodologia baseada na
classificação do risco (Risk Rating Methodology) para
priorizar sua lista Top 10, que é mantida atualizada
periodicamente a partir de pesquisas e estatísticas sobre
ataques identificados em todo o mundo.
Além de identificar os ataques de maior risco, a OWASP
faz várias recomendações de segurança para que cada
um daqueles ataques sejam evitados a partir das etapas
do desenvolvimento das aplicações.