Session Hijacking, Senha pra quê -...

21
Session Hijacking, Senha pra quê ?!

Transcript of Session Hijacking, Senha pra quê -...

Page 1: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Session Hijacking,Senha pra quê ?!

Page 2: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

# whoami● João José R Neto

○ Analista de Segurança da Informação

○ Pós Graduado em Redes de Computadores e Segurança de

Sistemas - UFG

○ Tecnólogo em Segurança da Informação - Senac

○ Certificado ISO 27002 Foundation

[Off-Topic]

■ Adepto da ideologia “Open Source”

■ Curto “brincar” com IoT

Page 3: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Estudando um pouco de...

Page 4: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Assuntos abordados...● Engenharia social

-> Explorando o elo mais fraco;- -> Phishing;- - -> Injetando executável dentro de outro; - -> Rubber ducky;- - -> Shell Reverso com NETCAT;

● ARPSpoof-> EU SOU O TOM CRUISE!!!!!!!!

● SSLStrip-> Cuidado onde você acessa;- -> Certificado fake;

● Session Hijacking-> Senha??? Pra quê ?!

Page 5: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Engenharia Social

Engenharia social é termo utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.

Page 6: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Phishing...

Phishing é uma maneira desonesta que cibercriminosos usam para enganar você a revelar informações pessoais, como senhas ou cartão de crédito, CPF e número de contas bancárias. Eles fazem isso enviando e-mails falsos ou direcionando você a websites falsos.

Page 7: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Rubber Ducky

O Rubber Ducky é um pequeno dispositivo USB semelhante a um Pen Drive utilizado para Teste de Intrusão. O aparelho emula o funcionamento de dispositivos (Ex. teclado, mouse) e executa uma sequência de ações no dispositivo de forma automática.

Page 8: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

ARPSpoof

● “Quem controla os dados de saída, controla o tráfego” - Elliot Alderson

○ 1º Episódio - 1ª Temporada

Page 9: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

“ EU SOU O

TOM CRUISE!!!” O ARP spoofing é uma técnica em que um atacante envia mensagens ARP com o intuito de associar seu endereço MAC ao endereço IP de outro host, como por exemplo, o endereço IP do gateway padrão, fazendo com que todo o tráfego seja enviado para o endereço IP do atacante ao invés do endereço IP do gateway.

Page 10: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

SSLStrip com Fake certificate

● Ataque do tipo “man-in-the-middle”;

Page 11: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Como infectar a vítima??

Page 12: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Interceptando o tráfego https

Page 13: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Mas como isso funciona?

Page 14: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Session Hijacking● Outro ataque do tipo “man-in-the-middle”;

● Roubando os “cookies”.

Page 15: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Mas como isso funciona?

Page 16: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Capturei o “Cookie”, e agora??

É necessário remontar a sessão...

Page 17: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Modo RAÍZ…

Page 18: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Modo NUTELLA…

Page 19: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Como se proteger??

Page 20: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Dúvidas

Page 21: Session Hijacking, Senha pra quê - 2017.fgsl.net2017.fgsl.net/up/2/o/00033_14_Session_Hijacking_-_Senha_pra_quê_-.pdf · Engenharia Social Engenharia social é termo utilizado para

Obrigado!!

João José R. Neto

joaoneto.ti

@j040n3t0

[email protected]


VALÊNCIAS AMBIENTAIS EM ENGENHARIA BIOLÓGICA fileValências Ambientais em Engenharia Biológica Valências Ambientais em Engenharia – Licenciatura em Engenharia do Ambiente –

VALÊNCIAS AMBIENTAIS EM ENGENHARIA BIOLÓGICA fileValências Ambientais em Engenharia Biológica Valências Ambientais em Engenharia – Licenciatura em Engenharia do Ambiente –

ENGENHARIA DA ENGENHARIA - Páginas Pessoaispaginapessoal.utfpr.edu.br/gustavobborba/material/files/SLIDES... · Método da engenharia. Jay B. Brockman, Introdução à Engenharia:

ENGENHARIA DA ENGENHARIA - Páginas Pessoaispaginapessoal.utfpr.edu.br/gustavobborba/material/files/SLIDES... · Método da engenharia. Jay B. Brockman, Introdução à Engenharia:

Congresso do Ensino de Engenharia* O ensino de Engenharia ...analisesocial.ics.ul.pt/documentos/1224253337O7vMF2jp9Me89ZB… · de Engenharia* O ensino de Engenharia: contribuição

Congresso do Ensino de Engenharia* O ensino de Engenharia ...analisesocial.ics.ul.pt/documentos/1224253337O7vMF2jp9Me89ZB… · de Engenharia* O ensino de Engenharia: contribuição

CONCURSO PÚBLICO DE INGRESSO PARA PROVIMENTO … · Desenvolvimento Urbano I – Disciplinas: Arquitetura, Engenharia Civil, Engenharia Elétrica, Engenharia Mecânica e Engenharia

CONCURSO PÚBLICO DE INGRESSO PARA PROVIMENTO … · Desenvolvimento Urbano I – Disciplinas: Arquitetura, Engenharia Civil, Engenharia Elétrica, Engenharia Mecânica e Engenharia

INTRODUÇÃO - teses.usp.br · Computação, Ciências Atmosféricas, Engenharia Ambiental, Engenharia de Bioprocessos, Engenharia Civil, Engenharia da Computação, Engenharia de

INTRODUÇÃO - teses.usp.br · Computação, Ciências Atmosféricas, Engenharia Ambiental, Engenharia de Bioprocessos, Engenharia Civil, Engenharia da Computação, Engenharia de

ESCOLA DE ENGENHARIAS E CIÊNCIAS EXATAS - unp.br · nismo, Engenharia Ambiental, Engenharia de Computação, Engenharia Civil, Engenharia de Produção - Mossoró, Engenharia Petróleo

ESCOLA DE ENGENHARIAS E CIÊNCIAS EXATAS - unp.br · nismo, Engenharia Ambiental, Engenharia de Computação, Engenharia Civil, Engenharia de Produção - Mossoró, Engenharia Petróleo

ORMEC ENGENHARIA Terceirização Logística ORMEC ENGENHARIA.

ORMEC ENGENHARIA Terceirização Logística ORMEC ENGENHARIA.

FACULDADE DE ENGENHARIA E ARQUITETURA. FACULDADE DE ENGENHARIA E ARQUITETURA Arquitetura e Urbanismo Design de Mobiliário Engenharia Ambiental Engenharia.

FACULDADE DE ENGENHARIA E ARQUITETURA. FACULDADE DE ENGENHARIA E ARQUITETURA Arquitetura e Urbanismo Design de Mobiliário Engenharia Ambiental Engenharia.

da.tecnico.ulisboa.pt...Engenharia e Arquitectura Naval Engenharia Aeroespacial Engenharia Geológica e de Minas Engenharia do Ambiente IST ode Gest.äo RogétiCfCôtaço lassÓRtos

da.tecnico.ulisboa.pt...Engenharia e Arquitectura Naval Engenharia Aeroespacial Engenharia Geológica e de Minas Engenharia do Ambiente IST ode Gest.äo RogétiCfCôtaço lassÓRtos

Programa internacional de admissões - Brasil · industrial - Ciência e engenharia dos materiais – Engenharia mecânica - Engenharia offshore - Arquitetura naval - Engenharia civil

Programa internacional de admissões - Brasil · industrial - Ciência e engenharia dos materiais – Engenharia mecânica - Engenharia offshore - Arquitetura naval - Engenharia civil

Início - Centro Universitário Unifacvest€¦ · Web viewENGENHARIA AMBIENTAL ENGENHARIA CIVIL - NOTURNO ENGENHARIA CIVIL - INTEGRAL ENGENHARIA DE COMPUTAÇÃO ENGENHARIA DE PRODUÇÃO

Início - Centro Universitário Unifacvest€¦ · Web viewENGENHARIA AMBIENTAL ENGENHARIA CIVIL - NOTURNO ENGENHARIA CIVIL - INTEGRAL ENGENHARIA DE COMPUTAÇÃO ENGENHARIA DE PRODUÇÃO

ENGENHARIA DE SOFTWARE...ENGENHARIA DE SOFTWARE AULA 3 – Engenharia de sistemas com base em computadores Processo de Engenharia de Sistemas •Fases de processo da Engenharia de

ENGENHARIA DE SOFTWARE...ENGENHARIA DE SOFTWARE AULA 3 – Engenharia de sistemas com base em computadores Processo de Engenharia de Sistemas •Fases de processo da Engenharia de

RELATÓRIO DE ACTIVIDADES 2006 - eng.uminho.pt · Biomédica, Engenharia de Comunicações, Engenharia Electrónica Industrial e Computadores, Engenharia de Materiais, Engenharia

RELATÓRIO DE ACTIVIDADES 2006 - eng.uminho.pt · Biomédica, Engenharia de Comunicações, Engenharia Electrónica Industrial e Computadores, Engenharia de Materiais, Engenharia

Engenharia Biomédica Departamento de Engenharia ... · Engenharia Biomédica Departamento de Engenharia Electrotécnica e de Computadores (DEEC) Faculdade de Engenharia da Universidade

Engenharia Biomédica Departamento de Engenharia ... · Engenharia Biomédica Departamento de Engenharia Electrotécnica e de Computadores (DEEC) Faculdade de Engenharia da Universidade

Palestrante: Eng. José Wagner Braidotti Junior - JWB Engenharia Treinamentos de Engenharia de Manutenção JWB Engenharia Treinamentos Técnicos de Engenharia.

Palestrante: Eng. José Wagner Braidotti Junior - JWB Engenharia Treinamentos de Engenharia de Manutenção JWB Engenharia Treinamentos Técnicos de Engenharia.

CURSOS DA ESCOLA DE ENGENHARIA UFMG GRADUAÇÃO: Engenharia Civil Eng.de Controle e Automação Engenharia Elétrica Engenharia Mecânica Engenharia de Minas.

CURSOS DA ESCOLA DE ENGENHARIA UFMG GRADUAÇÃO: Engenharia Civil Eng.de Controle e Automação Engenharia Elétrica Engenharia Mecânica Engenharia de Minas.

CONCURSO PÚBLICO PARA INGRESSO NO CORPO DE … · Engenharia Elétrica 12 Engenharia Eletrônica 12 Engenharia Mecânica 15 Engenharia Mecatrônica 01 3. Engenharia Naval 08 Engenharia

CONCURSO PÚBLICO PARA INGRESSO NO CORPO DE … · Engenharia Elétrica 12 Engenharia Eletrônica 12 Engenharia Mecânica 15 Engenharia Mecatrônica 01 3. Engenharia Naval 08 Engenharia

A Internet está saudável?2017.fgsl.net/up/2/o/00007_06_IHR_apresentacao_FGSL_2017.pdf · Inclusão Digital Dispositivos móveis colocam a internet ao seu alcance Inovação Aberta

A Internet está saudável?2017.fgsl.net/up/2/o/00007_06_IHR_apresentacao_FGSL_2017.pdf · Inclusão Digital Dispositivos móveis colocam a internet ao seu alcance Inovação Aberta

EDITAL Nº 12/2018 SRI/UFF ANEXO I 122018... · Engenharia Agrônoma, Engenharia de Alimentos, Engenharia Elétrica, Engenharia Eletrônica, Engenharia de Computação, Engenharia

EDITAL Nº 12/2018 SRI/UFF ANEXO I 122018... · Engenharia Agrônoma, Engenharia de Alimentos, Engenharia Elétrica, Engenharia Eletrônica, Engenharia de Computação, Engenharia

FEIRA DE ESTÁGIO · Engenharia Civil Engenharia de Produção Engenharia Química Engenharia Mecânica Engenharia de Controle e Automação Administração Engenharia Elétrica Engenharia

FEIRA DE ESTÁGIO · Engenharia Civil Engenharia de Produção Engenharia Química Engenharia Mecânica Engenharia de Controle e Automação Administração Engenharia Elétrica Engenharia