AS 05 MENTIRAS SOBRE SE TORNAR UM HACKER @igdotdi cat resultados.txt Com a Imersão Plano Imediato você vai: conceitos → Entender como ser um hacker; → Não vai mais ficar perdido, sem saber por onde começar; → Ter entendimento das três principais etapas de um ataque hacker; → Ter entendimento de termos do mercado: pentest, vulnerabilidade, exploit, recon; → Aprender o que é seg info e os 3 pilares; ferramentas Aprender a instalar e usar as principais ferramentas e sistemas de hacking ← Vai aprender como funcionam programas de bug bounty e como pode ganhar caçando falhas ← Vai descobrir como começar a programar em python ← Ter conhecimento o suficiente para ser ’’perigoso’’ ← Hackear um sistema comigo (aula 4) ← @igdotdi cat legiao.txt Compartilhe seus estudos conosco com a hashtag #Hackingem2022 através do instagram @igdotdi cat gratis.txt treinamento completo TDI A imersão é gratuita! A jornada TDI funciona como uma escada. → → → → aulas livro + imersão gratuitas minicursos @igdotdi cat 5-mentiras.txt Quem é o mentiroso? Os profissionais não estão abrindo caminho, principalmente no Brasil. Não querem criar novos hackers no país e o mercado precisa disso. Muitos querem mostrar como é difícil se tornar um hacker e acabam dificultando, criando uma cortina de fumaça para os iniciantes e novos hackers. O mercado precisa mais do que nunca de novos hackers. Precisamos de gente criando mas também protegendo. @igdotdi cat 5-mentiras.txt #1 É quase impossível hackear um sistema O que você entende por hackear um sistema: ter uma senha de acesso, pegar um dado confidencial, ter controle total, escalar privilégios? Usando o google hoje, você consegue hackear vários sistemas — uma técnica chamada google hacking. Conseguimos encontrar informações sensíveis, por exemplo. Fazemos isso através de operadores de busca avançados: filetype:txt intext:senha @igdotdi cat 5-mentiras.txt Três conceitos importantes no universo do hacking. Qual a diferença de um para outro? ameaça vulnerabilidade É o risco iminente É uma fragilidade do sistema que pode vir a ser explorada ou não ataque É a incidência, a exploração de uma vulnerabilidade O hacker sabe diversas ameaças que podem ser executadas sobre um sistema que é vulnerável ou não. @igdotdi cat 5-mentiras.txt #2 Precisa primeiro de faculdade para ser hacker A faculdade te auxilia no profissional (organizacional). Um time de RH valoriza profissionais que possuem graduação e desejam ser contratados com CLT, por exemplo. Mas para você se tornar hacker isso não é necessário — até porque a faculdade não vai te ensinar isso. Hoje, certificações e histórico de falhas encontradas é muito mais valorizado do que o conhecimento teórico. ceh @igdotdi OSCP HTB HACKERONE cat 5-mentiras.txt #3 O caminho para ser hacker está em camadas profundas da deep web Foram 2.500 pessoas respondendo o formulário — o que mais foi falado: não saber por onde começar. A deep web nem tem camada! Não existe essa estrutura. Mais do que nunca, hackear é uma profissão. O problema é que você aprende hacking mas não hackeia, não pratica porque sempre acha que falta alguma coisa, o próximo passo. O que você aprende de hacking você precisa executar, praticar. @igdotdi cat 5-mentiras.txt Onde está o conhecimento? Em livros, nessa apostila, na internet — vídeos gratuitos no YouTube. O próprio google ta cheio de conhecimento e podemos usar google hacking pra adquirir essas informações pra gente. O grande problema — hacking não é uma receita de bolo. Não existe um conhecimento de hacking que você fala: vou fazer esses dois passos e hackear o sistema. Isso porque os sistemas não são iguais, as redes são diferentes. Cada cenário é único. Por isso falamos que não existe um guia definitivo, uma receita de bolo: existe uma essência. @igdotdi cat 5-mentiras.txt Base — é ampla! Você quer hackear o que? Uma aplicação web, um site, aplicativo? Por exemplo — aplicativos mobile são construídos numa aplicação web, consomem dados de uma API com um webview. É preciso desenvolver essa base pra iniciar no hacking — monte sua base, tenha na cabeça essas falhas. BASES web FALHAS OWASP → Web hacking → O que é a falha? → Front-end → JavaScript → Como encontrar essa falha? → API → Como se explora ela? Uma aplicação web tem funcionalidades: login, upload, trocar senha, ver compras. É preciso conhecer seu alvo e listar todas as funcionalidades possíveis. @igdotdi cat 5-mentiras.txt No login pode ter → falha de validação, problemas no 2FA, problemas de armazenamento e segurança de tokens dos usuários, etc e vamos testar cada uma delas. Domine a base e se especialize, encha sua cabeça de falhas. Existem hackers que focam apenas em uma única falha: se torna especialista nela e ganha dinheiro apenas com isso. #4 Precisa ser um programador avançado para ser um hacker Se você programa, você precisa aprender hacking obrigatoriamente. Mas se você não é programador ainda, esse não é o primeiro passo. @igdotdi cat 5-mentiras.txt O QUE É HACKEAR? Os maiores ataques hackers hoje são de criminosos que não programam. Caso de políticos que foram hackeados no Brasil → a quadrilha que fez isso não tinha conhecimento técnico para programação. Apenas um tinha conhecimento técnico e não sabia programação. programação Existe sim uma porcentagem de hackers que programam. Esse conhecimento ajuda muito, mas não é obrigatório para começar no hacking. @igdotdi cat 5-mentiras.txt Ataque direcionado: muitas vezes precisamos automatizar processos e pra isso usamos conhecimentos de programação. Desenvolver ferramentas, agilizar alguns processos e também ler o código de uma aplicação. EXPLOITS Exploits — servem como uma ‘’receita de bolo” (aqui sim existe uma receita), para explorar alguma vulnerabilidade. Uma pessoa que encontra uma falha e cria algo pra explorar aquela falha no sistema → isso pode ser replicado e usado em diversos locais. @igdotdi cat 5-mentiras.txt banco de dados hacker Por isso existe um banco de dados chamado Exploit-DB onde hackers navegam a procura de exploits pra falhas específicas em aplicações e sistemas, dependendo da versão. Podemos usar aquilo para executar nosso ataque. python - a linguagem dos hackers Por isso, saber programar ajuda demais a entender exploits, podemos até criar nossos próprios exploits. Se você está aprendendo agora, a linguagem que recomendo é python. @igdotdi cat 5-mentiras.txt #5 Hacking é crime Esse é o crime perfeito: hackear empresas, plataformas e ganhar dinheiro com isso. por que hackear, bruno? Pensa comigo...por que testar um carro antes dele ser liberado no mercado? Por que testar um prédio contra terremotos? Testamos para não acontecer uma tragédia. Já pensou um avião cair por falha no software? Testes são fundamentais. É pra isso que testamos, é pra isso que hackeamos. Isso não é mais opcional — é obrigatório! @igdotdi cat 5-mentiras.txt Existe uma plataforma chamada open bug bounty — eles fazem uma intermediação para o hacker que reportar falhas. Essa plataforma serve para reportar falhas em empresas que não são encontradas nas grandes plataformas de bug bounty. Principais serviços: pentest Você é contratado por um período pré determinado bug bounty Ninguém te contrata. Você reporta e recebe pela falha validada red team É um serviço contínuo. @igdotdi cat 5-mentiras.txt ATIVOS DIGITAIS Hoje para as empresas o que mais vale é a informação, os dados. O que vale mais? A inteligência, os dados. Na nossa era isso está tudo no digital e nós precisamos proteger isso. brasil Nosso país é emergente — ele possui muitas oportunidades para solucionar problemas ainda não resolvidos, os chamados: institucional voids. Startups agarram inúmeras oportunidades de crescimento. @igdotdi cat 5-mentiras.txt COREIA DO SUL Porém, quando passamos para os países desenvolvidos a estratégia muda: não perder aquilo que conquistou, os dados que possui. Caso da Coreia do Sul — investem pesado para proteger os dados. CRIME Quando é crime? Pense no chaveiro! Você gostaria que alguém fizesse uma cópia da sua chave e tentasse entrar na sua casa? Casos e situações onde não há conhecimento e permissão configuram crimes! @igdotdi