vault backup: 2026-02-22 14:22:38
This commit is contained in:
parent
92c0560066
commit
e7a719f8ec
@ -163,8 +163,7 @@ Qual dos dois é menos arriscado?
|
|||||||
|
|
||||||
Ou vamos pensar menos.
|
Ou vamos pensar menos.
|
||||||
|
|
||||||
O que é mais fácil fazer para conseguir sua senha da Steam?
|
O que é mais fácil fazer para conseguir sua senha da Steam? Você provavelmente duvidaria do seu primo com WhatsApp novo pedindo 100 reais para pagar uma conta. Mas você duvidaria tanto assim se ele estivesse pedindo sua conta na Steam emprestada para jogar Terraria?
|
||||||
1.
|
|
||||||
|
|
||||||
---
|
---
|
||||||
|
|
||||||
@ -204,12 +203,8 @@ Segurança não começa na criptografia.
|
|||||||
Começa na cultura.
|
Começa na cultura.
|
||||||
|
|
||||||
---
|
---
|
||||||
## Parte 3: Conheça seu alvo
|
## Parte 3: Exemplo de caso real
|
||||||
Pergunte para qualquer estrategista como vencer uma batalha. Sua provavelmente resposta será
|
## Dramatizado
|
||||||
> "Conheça seu inimigo"
|
|
||||||
|
|
||||||
### Exemplo de caso real
|
|
||||||
## Caso real (adaptado)
|
|
||||||
Uberlândia, 14h37.
|
Uberlândia, 14h37.
|
||||||
|
|
||||||
O CEO de uma empresa local está no escritório.
|
O CEO de uma empresa local está no escritório.
|
||||||
@ -311,10 +306,83 @@ A pergunta não é:
|
|||||||
|
|
||||||
A pergunta é:
|
A pergunta é:
|
||||||
Onde estava o parafuso solto?
|
Onde estava o parafuso solto?
|
||||||
## Parte 4: Vulnerabilidades do Mundo Real
|
## Parte 4: ## Conheça seu alvo
|
||||||
|
|
||||||
### Caso 1: Sistema de Controle de Acesso vazando senhas de rede.
|
Se você perguntar para qualquer estrategista
|
||||||
|
como vencer uma batalha,
|
||||||
|
|
||||||
- SQL Injection em simulador
|
a resposta provavelmente será:
|
||||||
- PostgreSQL exposto sem autenticação
|
|
||||||
- Redis aberto (pode mencionar como exemplo clássico)
|
> “Conheça seu inimigo.”
|
||||||
|
|
||||||
|
Em cybersegurança,
|
||||||
|
isso significa uma coisa muito simples:
|
||||||
|
|
||||||
|
Antes de atacar,
|
||||||
|
você coleta informação.
|
||||||
|
|
||||||
|
E coletar informação
|
||||||
|
não começa invadindo nada.
|
||||||
|
|
||||||
|
Começa pesquisando.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
Hoje, boa parte do trabalho de um atacante
|
||||||
|
é feito no Google.
|
||||||
|
|
||||||
|
- LinkedIn dos funcionários
|
||||||
|
- Instagram da empresa
|
||||||
|
- Vagas de emprego
|
||||||
|
- Subdomínios esquecidos
|
||||||
|
- Repositórios públicos no GitHub
|
||||||
|
- PDFs publicados no site com metadados
|
||||||
|
- Vazamentos antigos em bancos de dados públicos
|
||||||
|
|
||||||
|
Isso se chama OSINT —
|
||||||
|
Open Source Intelligence.
|
||||||
|
|
||||||
|
Inteligência de fontes abertas.
|
||||||
|
|
||||||
|
Nada ilegal.
|
||||||
|
Nada sofisticado.
|
||||||
|
Só informação pública.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
Exemplo simples:
|
||||||
|
|
||||||
|
Se eu descubro que:
|
||||||
|
- A empresa usa um sistema específico
|
||||||
|
- O e-mail padrão é nome.sobrenome@
|
||||||
|
- O time de TI tem 3 pessoas
|
||||||
|
- Um dev publicou um print do painel interno
|
||||||
|
|
||||||
|
Eu já tenho:
|
||||||
|
|
||||||
|
- Padrão de e-mail
|
||||||
|
- Tecnologia utilizada
|
||||||
|
- Possível versão do sistema
|
||||||
|
- Nomes reais para phishing direcionado
|
||||||
|
|
||||||
|
Eu não estou hackeando ainda.
|
||||||
|
|
||||||
|
Eu estou montando o mapa.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
Vazamentos de dados funcionam assim também.
|
||||||
|
|
||||||
|
Muitas invasões não começam quebrando algo.
|
||||||
|
|
||||||
|
Começam reaproveitando algo que já vazou.
|
||||||
|
|
||||||
|
Senha reutilizada.
|
||||||
|
Token exposto.
|
||||||
|
Chave esquecida em repositório público.
|
||||||
|
Backup deixado aberto.
|
||||||
|
|
||||||
|
O atacante não começa destruindo a porta.
|
||||||
|
|
||||||
|
Ele começa andando em volta da casa,
|
||||||
|
olhando pelas janelas.
|
||||||
Loading…
Reference in New Issue
Block a user