2. SUMRIO O que so? Por quem so usados? Para que servem? tica
Hacker Principais Tipos e Mtodos de Ataques: Engenharia Social
Google Hacking SQLi DOS & DDOS Exploits Viso no Mercado de
Trabalho e a tica Hacker
3. AMBIENTE DE TRABALHO Mquinas virtuais: - Kali Linux -
Windows XP e 7 Alvo para ataque: - http://testphp.vulnweb.com/
4. O que so? - So testes e mtodos utilizados para romper
mecanismos de segurana de um determinado alvo.
5. Tcnicas mais utilizadas: SQLi/BlindSQLi CSS (XSS) CSRF
Directory Transversal LFI / RFI Privilege Escalation Social
Engineering Remote Command Execution Buffer Overflow Brute
Force
6. Por quem so usados? - Por Hackers - Por Crackers - Por
Pentesters - Por Analistas de Segurana da Informao
7. Definies dos Chapus - White Hat (Chapu Branco) - Black Hat
(Chapu Preto) - Gray Hat (Chapu Cinza)
8. Ethical Hacker (tica Hacker) tica Hacker o termo que
descreve os valores morais e filosficos na comunidade hacker. O
ponto chave da tica o livre acesso a informaes e melhoria da
qualidade de vida.
9. Para que servem (na viso White hat)? - Tem finalidade de
testar em determinado alvo a qualidade de sua segurana a fim de
prevenir um possvel ataque e comprometimento da informao.
10. Engenharia Social Prticas utilizadas para conseguir acesso
a informaes. No necessrio nenhum equipamento para tal, apenas um
aproveito da falha humana, e para isso necessrio somente
habilidades de atuao: persuadir, explorar a confiana das pessoas.
Os tipos de explorao dessa tcnica atravs: Pessoas Sistemas
11. Engenharia Social 1. Pessoas Explorao de algumas
fragilidades do psicolgico humano: ego, vaidade, a vontade de ser
til... Tcnicas utilizadas: telefonemas, e-mails falsos, vasculhao
de lixo, e at aquisio de uma nova personalidade para se passar por
outra pessoa. Um engenheiro social se passando pelo chefe de um
departamento ou suporte de T.I para solicitar informaes de senhas e
de usurios. Quando as vtimas passam por essa situao, elas no
percebem que esto sendo manipuladas. 1. Pessoas 2. Sistemas
12. Engenharia Social 2. Sistemas As tcnicas utilizadas pelo
golpista so apenas on-line, consistindo em: Phishing: pginas falsas
desenvolvidas para capturar dados da vtima. Essas pginas podem
parecer legtimas e ter a mesma aparncia de pginas j conhecidas.
Exemplo de renovao de contas de bancos, boletos falsos, etc...
Malwares: Links(spans) ou anexos maliciosos. Ao serem abertos,
atacam de forma silenciosa, permitindo ao golpista controle total
do computador. Arquivos PDF ou documentos Microsoft Office
infectados.
13. Engenharia Social
14. Google Hacking Utiliza mecanismo de busca para procurar
falhas ou informaes refinadas. Onde podemos explorar falhas e
invadir dispositivos eletrnicos como roteadores, sites/servidores,
cmeras, impressoras, entre outros. Podemos buscar dados de pessoas
(podendo ser usando numa engenharia social). Mais da metades dos
ataques so ocorrida atravs deste mtodo.
15. Dorks So strings utilizadas pelo motor de busca as quais
permite encontrar alvos vulnerveis. Exemplo: filetype:pdf
inurl:hacking
16. intitle, allintitle - intitle: faz uma busca no contedo no
ttulo (tag title) da pgina. - allintitle: quebra a regra do exemplo
acima, dizendo ao Google que todas as palavras que seguem devem ser
encontradas no title da pgina (mais restrito). Exemplo intitle:
login.php
17. inurl, allinurl - inurl: encontra texto em uma URL. -
alliurl: funciona de maneira idntica ao inurl mas de forma
restritiva, exibindo resultados apenas em que todas as strings
foram encontradas. - Exemplo inurl: admin
18. filetype - Busca por um arquivo de determinado tipo
(extenso). O operador filetype pode ajud-lo na busca de tipo de
arquivos especficos. Mais especificamente, podemos utilizar esse
operador para pesquisas de pginas que terminam em uma determinada
extenso. Exemplo filetype: xls
19. intext,allintext - intext: localiza uma string dentro do
texto de uma pgina. - allintext: localiza o termo no texto da
pgina. Utilizar o operador allintext tambm pode servir como um
atalho para "encontrar esta string em qualquer lugar, exceto no
title, URL e links". - Exemplo intext: Dilma
20. Site - Direciona a pesquisa para o contedo de um
determinado site. Apesar de ser tecnicamente uma parte da URL, o
endereo (ou nome de domnio) de um servidor pode ser mais bem
pesquisada com o operador site. Exemplo site:gov.br
21. Google Hacking Buscando arquivos de anotaes de senha: #
intitle:index of / senhas.txt # filetype:txt + senha + com.br #
filetype:txt intext:senha Buscando backup de configuraes de CMSs #
intext:"~~Joomla1.txt" title:"Indexof /" Alvo interessante:
http://tiagofeitosa.com/cb/ # configuration.php_