Prof.

MarcoAurlioThompson

CURSO INTENSIVO DE TESTES DE INVASO PARA FINS DE SEGURANA

ABSIAssociaoBrasileiradeSegurananaInternet =2008=

Prof.MarcoAurlioThompson

Hacker [Ingl. , substantivo de agente do verbo to hack, dar golpes cortantes (para abrir caminho), anteriormente aplicado a programadores que trabalhavam por tentativa e erro.] Substantivo de dois gneros. 1. Inform. Indivduo hbil em descobrir falhas em sistemas de computao, podendo usar este conhecimento para o bem ou para o mal.
Fonte:DicionrioEletrnicoAurlio

[2]

CursodeHacker

Mdulo4:Cracker

Dia 1:
O hacker profissional

Objetivos:

Entenderoconceitodeconhecimentoproibido Sobreomercadoemergenteeasvantagensdopioneirismo Definiodohackerprofissionaledaticahackeraluzdomercado Oportunidadesdenegciosparahackers Exercciosparamentehacker

Introduo
Invadirparanoserinvadidoomesmoqueassaltarparanoserassaltado?No.Istoseriauma interpretao equivocada. O entendimento correto seria aprender como assaltar para no ser assaltadoeaprendercomoinvadirparanoserinvadido. TemosavantagemdepoderinvadiroprprioIP,domniossobnossaresponsabilidadeemquinas virtuais.Aprticadoassaltosempresercrime.Adainvasono.Porqueinvaso(noBrasil)no crime.Oquesefaznainvasoquepodeounoser. AspessoassesurpreendemquandosabemdocursodehackernaInternet.Parecequeensaiaram, poisaperguntaquefazem:_Istonoproibido? A atuao do hacker ainda no est clara para a sociedade. A imprensa, na falta de palavra melhor,relacionaotermohackerafraudesnossistemasinformatizados.Nosemmotivoquea populaoleigaficaapreensivaquandosabedealgumhackerporperto. Oconhecimentohackerfazpartedacategoriadeconhecimentoproibido.Tratasedeumgrupo desaberesnecessriosaodesenvolvimento,masqueaspessoas,pormedo,ignornciaouinveja, preferemqueningumsaibaoutoquenoassunto. O diabo: a histria nos apresentacomo diabo uma mistura de Pan1 com o tridente de Netuno2, ambientadonoinfernodescritonaobradeDante3.Masquemseatreveadizerqueestudasobre odiabo?

1 2

http://pt.wikipedia.org/wiki/Pan_(mitologia) http://pt.wikipedia.org/wiki/Neptuno_(mitologia) 3 http://pt.wikipedia.org/wiki/Dante

www.cursodehacker.com.br

[3]

Prof.MarcoAurlioThompson

Profanao de corpos: indigentes so usados em aulas de medicina. O professor alemo de anatomia Gunther von Hagens4 usa corpos de pessoas mortas para fazer esculturas. Voc seria capazdefazeresculturascomgentemorta?

Oartistaesuaobra:ummortoquevirouescultura.

Sexo:famosasemrevistasfamosassonartstico.Algumqueprocurepessoasquequeiramser fotografadasnuassertobemaceitoquantoosfotgrafosdasrevistasfamosas?Quemsermais bem aceito socialmente? Pedro que fotgrafo da Playboy ou Joo que fotografa as vizinhas nuas? No conhecimento proibido existe um pouco de hipocrisia, de empatia s avessas, ignorncia, preconceito,intolernciaeatumpoucodeinvejapornotercoragemdeagircomoooutro. Sofatodeestaraquiconoscojdeveriasermotivodecomemorao,poisvoctevequevencer algumas barreiras internas e uma provvel oposio da sua famlia. Isto ocorre sempre que lidamoscomoconhecimentoproibido. Oquepretendemoscomestetreinamentodedezdiastornlocapazdefazerinvasesderedes e computadores para fins de segurana. Mas tambm queremos mostrarlhe como fazer deste conhecimentoumaatividadeprofissionalrentvel.Eistocomeadeixandoomaisvontadecom o tipo de conhecimento que vai ter de agora em diante. No d para ser hacker sendo internamenteincapazdeaceitaronovoconhecimento.

http://www.youtube.com/watch?v=2zJyTZWg8g

[4]

CursodeHacker

Mdulo4:Cracker

Ohackerprofissional
Ohackerprofissionalaquelequefazdasaeshackersuaprincipalatividadegeradoraderenda. NoBrasilosurgimentodohackerprofissionalaindarecenteemalcompreendido.NosEUA,cuja populao comeou a acessar a Internet bem antes de ns, os termos black hat (chapu preto: hackervoltadoaocrime,poucoconfivel)ewhitehat(chapubranco:hackervoltadoaprestao deserviosdesegurana),buscasepararosprofissionaisdosbaderneiros. Paravocterumaidiadadefasagememrelaoaosestadunideneses,aInternetsfoiliberada paraacessopbliconofinalde1995.FoiesteoanodacapturadohackerKevinMitnick5,mesmo anodolanamentodofilmeHackerscomaAngeinaJolieeminciodecarreira.

Em 1995 no Brasil s existiam 100 mil contas de acesso a Internet fora do meio acadmico. Atualmente so 42 milhes de pessoas acessando a Internet. Nos EUA so 178 milhes e a populao tem acesso a bem mais tempo que ns brasileiros. No precisa muito para entender quevamosseguirocaminhodosEUAetambmabriroportunidadesparaohackerprofissional. Todosquepretendamsetornarhackersprofissionaisdevemestarcientesdequesopioneirose que estaro sujeitos a crticas e oposio. o preo que se paga por sair na frente, mas as recompensas tambm so maiores, pois quando o mercado finalmente entender que profissionalizarohackeramelhorformadeevitarquesejamcooptadospelocrimeorganizado ouusemseutalentoemaesdevandalismo,daroprefernciaaosqueestohmaistempono mercado. Aoposioaopioneirismoenrgicaepormuitasvezesabsurda.OsanitaristaOswaldoCruz6por exemplo,despertouairadapopulaoefoiduramentecriticadopelaimprensadoinciodosculo passado,porquererobrigaraspessoasasevacinar.

5 6

http://revistaepoca.globo.com/Epoca/0,6993,EPT6009361666,00.html http://cienciahoje.uol.com.br/2611

www.cursodehacker.com.br

[5]

Prof.MarcoAurlioThompson

Aticahackerecomovistapelomercadodetrabalho.
O maior equivoco que tenho percebido quando se fala em rica hacker quando as pessoas pensamqueohackerticoestrelacionadoaofatodeserumaboaoumpessoa.Aticahacker serefereaatquepontoohackerconfivel.Oqueomercadoquersabersepodeconfiarem vocenosevocbonzinhooumalvado. O segredo da tica hacker convencer o mercado que voc confivel, capaz de saber dos segredos da empresa sem aproveitarse deles. Esta credibilidade no surge de uma hora para outraetambmnoespontnea.Sehojesouconvidadoparaconhecerasvulnerabilidadesde empresasdemdioegrandeporteeporquesabemqueestoulparaajudloseseriaincapazde divulgar as falhas detectadas. Quem me contrata no est vendo um hacker. Est vendo uma pessoaquetemtodoumenvolvimentocomoassuntoedelongadata. Podemos comparar o hacker tico com o mdico que participa de congressos, tem trabalhos publicados,anosdeexperincia,reconhecimento.Nogarantiadeseromelhormdico,maspor causadabagagemquetraz,costumasermaisprocuradoedisputado. Algum que se apresente como hacker, independente do quanto sabe, se no conquistar a confiana do contratante ser identificado como hacker: o invasor, pessoa em relao a qual devemostercuidadoemanterdistncia. Suaticahackerserreconhecidaatravsdaformacomqueaspessoastevem.Evocnopode deixar esta imagem ser construda ao acaso. Se deixar que ocorra deste jeito, poder no ter imagemalgumaconstrudaouoquepior,verconstruidaumaimagemquenocorrespondeaos seusinteresses.Exemplo:vocnousaoconhecimentohackerparaaesilegaisouimorais,mas aspessoasachamqueusa.Nemsemprefcilmudarumaopinioanossorespeito,masmuito fcilcriarumaopinioquandononosconhecem. Omercadosabequeprecisadoshackers,mastemreceiodecontactlos.Ascertificaesdetica hackertentamcobrirestalacuna,amedidaqueobrigamseusalunosadeclararemquenofaro malusodoconhecimentoadquirido.Masaspessoasmentemenadaimpededealgumcomuma certificaodehackerticoseenvolvercomfraudes,invasesegolpesvirtuais. Semdicosejuzessopegoscomentendocrimes,quedirhackers.

[6]

CursodeHacker

Mdulo4:Cracker

5formasdeganhardinheirosendohacker.
1) Hackerprofissionalautonomo Umhackerpodeserumprestadordeservios.Algunsserviosbastanteprocurados,so: recuperao de contas, incluindo eMail, recuperao de dados de HDs e outros dispositivosdememria,monitoriavirtual,blindarocomputadorcontraataques,etc.So muitas possibilidades de servios. O segredo para este trabalho dar certo voc ser competentenoquefaz,seapresentardeformaimpecveletrabalharapropagandacom buzzmarketing(bocaaboca).Noumtipodenegcioquevoccomeahojeeamanh jestfaturando.Masquandosetornarconhecido,servionovaifaltar. 2) Caadordevulnerabilidades(auditoriaonlinedevulnerabilidades)

Estaumavariaodasugestoanterior,squevoltadasempresasquemantmsitesna Internet. A idia testar os sistemas e emitir relatrio com as falhas encontradas, junto comaorientaosobreacorreo.UmserviodestetipobastanteconhecidonaInternet o Site Blindado7. O que faz esta empresa? Ela faz exatamente o que estamos sugerindo. Verifica as vulnerabilidades e orienta a empresa sobre como proceder para corrigir o problema. Utiliza um selo de certificao que acaba funcionando para tranquilizar o contratanteeosvisitantesdosite.Recomendoaleituradestapginaabaixoparavocter umavisogeraldestaatividade: http://www.siteblindado.com.br/tecnologia.html A evoluo das duas idias anteriores pode resultar na legalizao de uma empresa de segurana da informao. Os servios a serem prestados so voltados ao mercado empresarialeseguemnormasinternacionaisdeprocedimentos.Senoprimeirocasoquase nohouveinvestimento,nestasegundasugestosernecessrioumcapitalparalegalizar emanteraempresafuncionandoatdarlucro.Estetipodenegcionovoevaleapena comearagoraparaficarconhecidonomercado. 3) Escritordelivroshacker

Sevoctemhabilidadeparaescrever,valeapensaentrarparaomercadodeescritoresde livros de informtica. Existem poucos livros sobre hackers venda no mercado. Principalmente se levarmos em conta que a Web 2.0 trouxe novas vulnerabilidades e formasdeataqueedefesa. 4) Instrutordecursoshacker

Se voc tem facilidade para ensinar ou talvez at j lecione e atue como instrutor de informtica, deveria pensar na possibilidade de criar uma turma para ensinar tcnicas hacker.Aprocuraporestetipodeconhecimentogrande,maspraticamenteinexistente aofertadecursospresenciaissobretcnicashacker.

http://www.siteblindado.com.br/

www.cursodehacker.com.br

[7]

Prof.MarcoAurlioThompson

5) Palestrante Existeummercadobastantepromissorqueodospalestrantes.Palestrarconversarcom um grupo de pessoas, expondo idias, opinies ou transmitindo informaes sobre determinadoassunto.Vocpodecomearfazendopalestrasnoseubairroeamedidaque for pegando prtica e se aperfeioando, poder buscar parcerias com empresas especializadas em vender o trabalho de palestrantes. O excamelo David Portes um exemplodasoportunidadesdestesetor.Leiamaisem: http://www.milpalestras.com.br/noticia.php?codigo=89 So cinco dicas entre muitas outras possibilidades. O importante voc perceber que o mercadoestpraticamentevirgemequemsainafrenteteminmerasvantagens.Noespere aspessoascomearemparadepoisseguilas.Faaagora.Dotamanhoquefor,comoquetem, comoquesabe.Eseprecisardeorientao,podecontarcomigo.

[8]

CursodeHacker

Mdulo4:Cracker

Marketingpessoalparahackers.
Marketing pessoal a criao e gerenciamento de uma imagem para o mundo, mas especificamente, para um nicho de mercado. Vamos supor que voc trabalhe como tcnico em manuteno de micro e j possua alguns clientes. Poder capitalizar este network (rede de relacionamentos)ecomearadivulgarseusservioshackerentreestepessoal.Masvamossupor quevocatualmentetrabalhenumareaquenadatemavercomTIC(TecnologiadaInformao e Comunicao). Neste caso vai precisar trabalhar um network diferente. Prospectar novos mercados.Comofazeristo? Omarketingpessoalcomeadefinindoquemvocquerser(aparecer)paraomundo.Paraajud lo(a) a definir isto vou precisar quevoc pegueum pedaode papeleescreva a seguinte frase, substituindoQUALIDADEeATIVIDADEpeloquedoseuinteresse:

Queroserconhecido(a)comoo(a)[UMAQUALIDADE][UMAATIVIDADE][ESPAO GEOGRFICO].
Exemplo: _Queroserconhecidocomoomaiorhackerdobairro. Seformaisambicioso(a): _Queroserconhecidocomoomaiorhackerdomundo. DefinidooSER,passemosaosegundoexerccioqueadescriodocenrio.Umcenriouma descrio mental de como as coisas seriam se determinada situao j existisse. Usando o exemploacima,comoseromaiorhackerdomundo?Oquefazomaiorhackerdomundo?Como aspessoassabemquesetratadomaiordomundo?Comoele(a)chegoul?Namesmafolhaque voccriousuafrasedoSER,descrevaocenrioquevisualizou,comosejestivesseconcretizadoo objetivo: ComoSER? OqueFAZ? ComoaspessoasSABEMqueFAZ? OquePENSAMdisso? QUANTOganha? ONDEfaz? COMOfaz? ComoCHEGOUl?

Paratornarseumhackerprofissionalprecisodefinirestaimagemdesdej.Semaautoimagem definida, ser muito difcil convencer as pessoas de que voc quem diz ser. Note que ao responderalgumasperguntasocaminhoparairdeencontroaoSERvaisedelineando.

www.cursodehacker.com.br

[9]

Prof.MarcoAurlioThompson

Exercciosparaamentehacker.
A mente hacker nada mais que a habilidade de buscar solues diante de situaes aparentementesemsada.Algumaspessoasdesistemdiantedomenorobstculo.Recusamsea pensaremsoluesnoconvencionais.Soincapazesdeacreditarnoqueacontecealmdassuas crenas. A principal caracterstica da forma de pensar hacker a busca de solues no convencionais,aoestiloProfissoPerigo,umaantigasriedeTV,ondeopersonagemMacGyver8 selivravadetodotipodesituaousandoapenasoquetinhaaoalcance.Ohackertemqueter umpoucodoMacGyver,poisdevesercapazdecontornarobstculos(protees)comoquetem emmos(conexo,equipamentoeprogramas).

Alguns exerccios podem ajudar a detectar a forma de pensar necessria ao hacker e tambm ajudar a desenvolvla. Se voc ainda no conhece, recomendo o site abaixo, onde atravs de peguntasvaipermitiravoc'invadir'apginaseguinte: http://www.quizes.com.br/hacker/1.htm Isto mais ou menos o que ocorrer em nosso curso de invaso. A partir do conhecimento de algumas tcnicas que vamos ensinar, o mesmo modelo mental poder ser aplicado em outras situaescomboaschancesdexito.

http://pt.wikipedia.org/wiki/MacGyver

[10]

CursodeHacker