Uploaded by Luis Moreira

APOSTILA-AULA-1-DA-IMERSAO

advertisement
AS 05 MENTIRAS
SOBRE SE TORNAR
UM HACKER
@igdotdi
cat resultados.txt
Com a Imersão Plano Imediato você vai:
conceitos
→ Entender como ser um hacker;
→ Não vai mais ficar perdido, sem saber por onde
começar;
→ Ter entendimento das três principais etapas de
um ataque hacker;
→ Ter entendimento de termos do mercado:
pentest, vulnerabilidade, exploit, recon;
→ Aprender o que é seg info e os 3 pilares;
ferramentas
Aprender a instalar e usar as principais
ferramentas e sistemas de hacking ←
Vai aprender como funcionam programas de bug
bounty e como pode ganhar caçando falhas ←
Vai descobrir como começar a programar em python ←
Ter conhecimento o suficiente para ser ’’perigoso’’ ← Hackear um sistema comigo (aula 4) ←
@igdotdi
cat legiao.txt
Compartilhe seus estudos conosco com
a hashtag #Hackingem2022 através do
instagram
@igdotdi
cat gratis.txt
treinamento
completo TDI
A imersão é gratuita!
A jornada TDI funciona como uma
escada.
→
→
→
→
aulas
livro + imersão
gratuitas minicursos
@igdotdi
cat 5-mentiras.txt
Quem é o mentiroso?
Os profissionais não estão abrindo caminho,
principalmente no Brasil. Não querem criar
novos hackers no país e o mercado precisa
disso.
Muitos querem mostrar como é difícil se
tornar um hacker e acabam dificultando,
criando uma cortina de fumaça para os
iniciantes e novos hackers.
O mercado precisa mais do que nunca de
novos hackers.
Precisamos de gente criando mas também
protegendo.
@igdotdi
cat 5-mentiras.txt
#1 É quase impossível hackear
um sistema
O que você entende por hackear um
sistema: ter uma senha de acesso, pegar um
dado confidencial, ter controle total, escalar
privilégios?
Usando o google hoje, você consegue
hackear vários sistemas — uma técnica
chamada google hacking.
Conseguimos encontrar informações
sensíveis, por exemplo. Fazemos isso através de operadores de
busca avançados:
filetype:txt intext:senha
@igdotdi
cat 5-mentiras.txt
Três conceitos importantes no universo do
hacking. Qual a diferença de um para outro?
ameaça
vulnerabilidade
É o risco
iminente
É uma fragilidade
do sistema que
pode vir a ser
explorada ou não
ataque
É a incidência, a
exploração de uma
vulnerabilidade
O hacker sabe diversas ameaças que podem
ser executadas sobre um sistema que é
vulnerável ou não.
@igdotdi
cat 5-mentiras.txt
#2 Precisa primeiro de
faculdade para ser hacker
A faculdade te auxilia no profissional
(organizacional). Um time de RH valoriza
profissionais que possuem graduação e desejam
ser contratados com CLT, por exemplo.
Mas para você se tornar hacker isso não é
necessário — até porque a faculdade não
vai te ensinar isso.
Hoje, certificações e histórico de falhas
encontradas é muito mais valorizado do que
o conhecimento teórico.
ceh
@igdotdi
OSCP
HTB
HACKERONE
cat 5-mentiras.txt
#3 O caminho para ser hacker
está em camadas profundas da
deep web
Foram 2.500 pessoas respondendo o
formulário — o que mais foi falado: não
saber por onde começar.
A deep web nem tem camada! Não existe
essa estrutura.
Mais do que nunca, hackear é uma profissão.
O problema é que você aprende hacking mas
não hackeia, não pratica porque sempre acha
que falta alguma coisa, o próximo passo.
O que você aprende de hacking você precisa
executar, praticar.
@igdotdi
cat 5-mentiras.txt
Onde está o conhecimento? Em livros,
nessa apostila, na internet — vídeos
gratuitos no YouTube.
O próprio google ta cheio de conhecimento
e podemos usar google hacking pra adquirir
essas informações pra gente.
O grande problema — hacking não é uma receita
de bolo. Não existe um conhecimento de hacking
que você fala: vou fazer esses dois passos e
hackear o sistema. Isso porque os sistemas não são iguais, as redes
são diferentes. Cada cenário é único.
Por isso falamos que não existe um guia
definitivo, uma receita de bolo: existe uma
essência.
@igdotdi
cat 5-mentiras.txt
Base — é ampla! Você quer hackear o que?
Uma aplicação web, um site, aplicativo?
Por exemplo — aplicativos mobile são
construídos numa aplicação web, consomem
dados de uma API com um webview. É preciso desenvolver essa base pra iniciar no
hacking — monte sua base, tenha na cabeça
essas falhas.
BASES web
FALHAS OWASP
→ Web hacking
→ O que é a falha?
→ Front-end
→ JavaScript
→ Como encontrar essa
falha?
→ API
→ Como se explora ela?
Uma aplicação web tem funcionalidades:
login, upload, trocar senha, ver compras. É
preciso conhecer seu alvo e listar todas as
funcionalidades possíveis.
@igdotdi
cat 5-mentiras.txt
No login pode ter → falha de validação, problemas no
2FA, problemas de armazenamento e segurança de
tokens dos usuários, etc e vamos testar cada uma
delas. Domine a base e se especialize, encha sua cabeça de
falhas. Existem hackers que focam apenas em uma única
falha: se torna especialista nela e ganha dinheiro
apenas com isso.
#4 Precisa ser um
programador avançado para
ser um hacker
Se você programa, você precisa aprender
hacking obrigatoriamente. Mas se você não
é programador ainda, esse não é o primeiro
passo.
@igdotdi
cat 5-mentiras.txt
O QUE É HACKEAR?
Os maiores ataques hackers hoje são de
criminosos que não programam. Caso de políticos que foram hackeados no
Brasil → a quadrilha que fez isso não tinha
conhecimento técnico para programação.
Apenas um tinha conhecimento técnico e
não sabia programação.
programação
Existe sim uma porcentagem de hackers
que programam. Esse conhecimento ajuda muito, mas não é
obrigatório para começar no hacking.
@igdotdi
cat 5-mentiras.txt
Ataque direcionado: muitas vezes precisamos
automatizar processos e pra isso usamos
conhecimentos de programação. Desenvolver ferramentas, agilizar alguns processos
e também ler o código de uma aplicação.
EXPLOITS
Exploits — servem como uma ‘’receita de bolo”
(aqui sim existe uma receita), para explorar alguma
vulnerabilidade. Uma pessoa que encontra uma falha e cria algo pra
explorar aquela falha no sistema → isso pode ser
replicado e usado em diversos locais.
@igdotdi
cat 5-mentiras.txt
banco de dados hacker
Por isso existe um banco de dados chamado
Exploit-DB onde hackers navegam a procura
de exploits pra falhas específicas em
aplicações e sistemas, dependendo da
versão. Podemos usar aquilo para executar nosso
ataque.
python - a linguagem dos hackers
Por isso, saber programar ajuda demais a
entender exploits, podemos até criar nossos
próprios exploits. Se você está aprendendo agora, a
linguagem que recomendo é python.
@igdotdi
cat 5-mentiras.txt
#5 Hacking é crime
Esse é o crime perfeito: hackear empresas,
plataformas e ganhar dinheiro com isso.
por que hackear, bruno?
Pensa comigo...por que testar um carro antes dele
ser liberado no mercado? Por que testar um
prédio contra terremotos?
Testamos para não acontecer uma tragédia. Já pensou um avião cair por falha no software?
Testes são fundamentais. É pra isso que testamos, é pra isso que
hackeamos. Isso não é mais opcional — é
obrigatório!
@igdotdi
cat 5-mentiras.txt
Existe uma plataforma chamada open bug
bounty — eles fazem uma intermediação
para o hacker que reportar falhas. Essa plataforma serve para reportar falhas
em empresas que não são encontradas nas
grandes plataformas de bug bounty.
Principais serviços:
pentest
Você é contratado por um
período pré determinado
bug bounty
Ninguém te contrata. Você
reporta e recebe pela falha
validada
red team
É um serviço contínuo.
@igdotdi
cat 5-mentiras.txt
ATIVOS DIGITAIS
Hoje para as empresas o que mais vale é a
informação, os dados. O que vale mais? A
inteligência, os dados. Na nossa era isso está tudo no digital e nós
precisamos proteger isso.
brasil
Nosso país é emergente — ele possui
muitas oportunidades para solucionar
problemas ainda não resolvidos, os
chamados: institucional voids.
Startups agarram inúmeras oportunidades
de crescimento.
@igdotdi
cat 5-mentiras.txt
COREIA DO SUL
Porém, quando passamos para os países
desenvolvidos a estratégia muda: não
perder aquilo que conquistou, os dados que
possui. Caso da Coreia do Sul — investem pesado
para proteger os dados.
CRIME
Quando é crime? Pense no chaveiro! Você gostaria que
alguém fizesse uma cópia da sua chave e
tentasse entrar na sua casa? Casos e situações onde não há
conhecimento e permissão configuram
crimes!
@igdotdi
Related documents
Download