diff --git a/Palestras/Cybersegurança na prática.md b/Palestras/Cybersegurança na prática.md index 8a8ebb7..9f508f6 100644 --- a/Palestras/Cybersegurança na prática.md +++ b/Palestras/Cybersegurança na prática.md @@ -6,37 +6,189 @@ Olá, meu nome é Álvaro, conhecido pelos apelidos **Russo Incendiário** Gosto muito de ciência, tecnologia e pirotecnia. -## Parte 1: Quebrando o mito -> *beep boop* - We're in +# Parte 1 — Quebrando o mito -Cybersegurança não é hoodie + tela verde. -- Hackers não “adivinham senha”. -- Não é força bruta cinematográfica. -- É entender como o sistema funciona melhor que quem construiu. +> *beep boop* — "We're in." -Se você tem um cadeado que precisa ser aberto, você não precisa da chave. Você precisa entender como o cadeado funciona. +Essa é a imagem que a gente tem de cybersegurança. + +Tela preta. +Código verde. +Um cara de hoodie digitando freneticamente. +Três telas. +Uma animação 3D do planeta Terra sendo invadido. + +Isso é Hollywood. + +Cybersegurança não é isso. + +Hackers não “adivinham senha”. +Não é força bruta cinematográfica. +Não é mágica. +Não é genialidade sobre-humana. + +É engenharia. + +É entender como um sistema funciona — +melhor do que quem construiu. + +--- + +Se você tem um cadeado que precisa ser aberto, +você não precisa da chave. + +Você precisa entender como o cadeado funciona. + +Como os pinos se alinham. +Como a mola responde. +Onde está a tensão. + +Um chaveiro sabe abrir um cadeado +sem a chave. + +Não porque ele é mágico. +Mas porque ele entende o mecanismo. + +Ser hacker é isso. + +--- ### Exercício mental - Eu quero invadir sua casa. Quem eu chamo? - 1. Um ladrão profissional. - ![Ladrão](../Pasted%20image%2020260222135251.png) -2. O chaveiro da esquina. - ![O chaveiro](../Pasted%20image%2020260222135340.png) -## Parte 2: O Maior Vetor de Ataque Não É Técnico +Eu quero invadir sua casa. + +Quem eu chamo? + +1. Um ladrão profissional. +2. Ou o chaveiro da esquina? + +O ladrão talvez quebre a porta. +Faça barulho. +Chame atenção. + +O chaveiro? +Ele abre. +Sem quebrar nada. +Sem alarme. +Sem ninguém perceber. + +Hackear é ser o chaveiro. + +Não é destruir o sistema. +É manipulá-lo. + +--- + +E aqui está o ponto importante: + +A maioria dos sistemas não é invadida +porque alguém foi brilhante. + +É invadida +porque alguém deixou um parafuso solto. + +Cybersegurança não é sobre impedir o impossível. + +É sobre revisar cada engrenagem +antes que alguém curioso resolva entender como ela funciona. + +# Parte 2 — O Maior Vetor de Ataque Não É Técnico + > “É mais fácil convencer alguém a abrir a porta do que arrombar a porta.” -Coloque na sua cabeça: -- Humanos são parte do sistema. +Se você quer proteger um sistema, +precisa aceitar uma coisa desconfortável: + +Humanos são parte do sistema. + +E humanos são previsíveis. + +Coloque isso na sua cabeça: + - Usuários são superfície de ataque. - Confiança é explorável. -- Phishing funciona porque parece legítimo. +- Pressa é explorável. +- Autoridade é explorável. +- Curiosidade é explorável. +- Medo é explorável. + +Phishing funciona +não porque as pessoas são burras. + +Mas porque ele parece legítimo. + +Ele imita: +- Linguagem +- Layout +- Urgência +- Contexto + +Ele explora algo que já existe: +confiança. + +--- + ### Exercício mental + O que é mais fácil fazer para conseguir seus dados bancários? -1. Hackear a agência do Nubank - ![](../Pasted%20image%2020260222135655.png) -2. Descobrir qual jogador do Real Madrid você seria. - ![](../Pasted%20image%2020260222135622.png) + +1. Hackear a infraestrutura do Nubank? + Invadir datacenter. + Quebrar criptografia. + Burlar monitoramento. + Fugir de auditoria. + Não deixar log. + +Ou... + +2. Criar um site dizendo: + “Descubra qual jogador do Real Madrid você seria” + e pedir seus dados para “confirmar identidade”? + +Qual dos dois exige mais engenharia? +Qual dos dois dá menos trabalho? +Qual dos dois é menos arriscado? + +Silêncio estratégico aqui. + +--- + +A maioria dos ataques não acontece +porque alguém invadiu o banco. + +Acontece porque alguém clicou. + +Porque alguém confiou. +Porque alguém estava com pressa. +Porque parecia normal. + +--- + +E aqui está a parte importante para vocês como programadores: + +Quando você constrói um sistema, +você não está protegendo só código. + +Você está protegendo pessoas. + +E pessoas: +- reutilizam senha, +- clicam sem ler, +- ignoram alerta, +- acreditam em urgência. + +O atacante sabe disso. + +Ele não começa pelo firewall. +Ele começa pelo comportamento. + +--- + +Segurança não começa na criptografia. + +Começa na cultura. + +--- ## Parte 3: Conheça seu alvo Pergunte para qualquer estrategista como vencer uma batalha. Sua provavelmente resposta será > "Conheça seu inimigo"