Palestra IMESEC

Estudos de Caso...
TC Ricardo Sant’Ana
 Sumário

1 Apresentação

2 Introdução

3 Estudos de Caso

4 Desafio

5 Conclusão
 Apresentação

• Quem sou eu ?
 Apresentação

• Quem sou eu ?
– Engenharia de Telecomunicações 1997
– Mestrado IME 2003
–…
–…
– Doutorado iniciado em 2018!
 Apresentação

• Fazendo o que nestes 15 anos ?

 Apresentação

• Quem sou eu ?
• Centro de Desenvolvimento de Sistemas (2003 – 2017)
• A partir de 2015 Divisão de Segurança da Informação
– Laboratório de Testes de Artefatos
 Introdução

• Opiniões são pessoais

• Importância da Segurança da Informação
– Conscientização dos alunos sobre aspectos
de segurança da informação
– Aplicação DIÁRIA!
• Abordagem da Palestra
– Experiência pessoal (ou não!)
• Histórias baseadas em fatos reais
 Introdução

• Os casos por mim descritos PODEM ou NÃO ser

reais.
• Não gravar a apresentação !!!!!!!!!
• O conteúdo apresentado será apenas para fins
de aprendizado!
 Estudo de Caso

• 1. Quando tudo começou (1)

– 1986/1987 – Agenda Criptograda
– Meninas da Turma escreviam na agenda de forma cifrada
(sobre meninos)
• Deixaram a agenda comigo → desafio !
 Estudo de Caso

• 1. Quando tudo começou (1)

– Basicamente:
• Letras trocadas por símbolos
• Sem espaço em branco entre os símbolos
• Sem letras repetidas: rr ou ss.
– É isso !

– Eu jogava forca
• Eu sabia que algumas letras eram mais prováveis
– a,e, o, s, r. talvez o d ou c depois...
 Estudo de Caso

• 1. Quando tudo começou (1)

– Eu não sabia análise de frequência
• Mas a agenda me fornecia um texto GRANDE !!!!!
– Erro principal cometido pelas meninas

– Abordagem:
• Livro de Machado de Assis
– Contei as ocorrências das letras para um texto (10-20 páginas)
• Contei os símbolos e selecionei os 6 primeiros de maior ocorrência
– Fiz o casamento da primeira letra com primeiro símbolo e
assim por diante.
– Já comecei a ler o texto e preencher as outras letras.
– TUDO DECIFRADO em 3-4 dias de trabalho !
» TODA AGENDA!
 Estudo de Caso

• 1. Quando tudo começou (1)

– Imaginem como foi levar uma página da agenda decifrada

 Estudo de Caso

• 1. Quando tudo começou (2)

– 1988 - O pianista
– Programa em Basic + Assembly
– Assembly → tocava a música e verificava autoria
• “Para obter mais músicas, coloque um novo disquete no
drive”
• Engenharia Social
 Estudo de Caso

• 1. Quando tudo começou (2)

– Quando fui abordado...
 Estudo de Caso

• 2. Engenharia Social (1)

– 1994 – Cindy Crawford
– Programa Trojan!
• Foto da Cindy Crawford
• “Clique aqui para ver fotos mais
ousadas”
• Reiniciava o computador!!
• BBS → distribuído.
– Amigo me chama para dizer que
computador dele iniciava direto,
mas ele não sabia o porque !
 Estudo de Caso

• 3. Arquivos Apagados (1)

– Desenvolvimento de Software Sigiloso
• Sistema Operacional Windows
• Apagar um arquivo não é apagar o
conteúdo:
 Estudo de Caso

• 3. Arquivos Apagados (1)

– Desenvolvimento de Software Sigiloso
• Sistema Operacional Windows
• Apagar um arquivo não é apagar o
conteúdo:
 Estudo de Caso

• 3. Arquivos Apagados (1)

– Desenvolvimento de Software Sigiloso
• Sistema Operacional Windows
• Apagar um arquivo não é apagar o
conteúdo:
 Estudo de Caso

• 3. Arquivos Apagados (1)

– Nunca confie em ninguém:
• Início do Dia:
– Decifrar TODOS os arquivos do código fonte
» Senha: “M@tchD0Secul0Fisch&rxSp@ssky1972”
– Apagava os arquivos cifrados
• Trabalhava !
• Final do dia:
– Cifrava todos os arquivos
– Apagava (usando Explorer mesmo) todos os arquivos
– Rodava programa para preencher o HD com um grande
arquivo de conteúdo 0x00.
– Apagava Arquivo grande.
 Estudo de Caso

• 3. Arquivos Apagados (1)

– Nunca confie em ninguém:
• Final do dia:
– Criava subpastas no projeto original falsas.
– Adicionada arquivos falsos
» Rotinas de filtros
» Rotinas de criptografia simples (xor)
» Rotinas de log
– Cifrava todos os arquivos falsos (originalmente em
pendrive) com senha 1234.
 Estudo de Caso

• 3. Arquivos Apagados (2)

– Amigo deletou arquivos de música (2002-2003)
• Napster
• Zip drive
– Por favor, é muito importante !!!!
– Claro que vou ajudar → sem interesse algum !
 Estudo de Caso

• 3. Arquivos Apagados (2)

– 30 arquivos de música MP3!!!! (100Mb)
 Estudo de Caso

• 3. Arquivos Apagados (2)

– 30 arquivos de música MP3!!!! (100Mb)
 Estudo de Caso

• 3. Arquivos Apagados (2)

– Situação do Zipdisk
 Estudo de Caso

• 3. Arquivos Apagados (2)

– Programa em C →
• Procura por cabeçalho de MP3.
• Estima tamanho do arquivo mp3 (cabeçalho)
• Salva de volta no contents
 Estudo de Caso

• 3. Arquivos Apagados (2)

– Programa em C →
• Procura por cabeçalho de MP3.
• Estima tamanho do arquivo mp3 (cabeçalho)
• Salva de volta no contents

Musica 01.mp3
 Estudo de Caso

• 3. Arquivos Apagados (2)

– Aprox. 30 arquivos recuperados !!!!
– Depois que eu consegui !!!!
 Estudo de Caso

• 3. Arquivos Apagados (2)

– Arquivos recuperados
• Expected: Arquivo 01.mp3
– claro que não lembro disso !

• Reality: Arquivo 02.mp3

– claro que lembro disso!!!

– Resultado??
 Estudo de Caso

• 3. Arquivos Apagados (3)

– Mãe preocupada que a filha estivesse usando
drogas (OU PIOR!)
• Veio me solicitar ajuda!

– A filha andava para cima e para baixo com a

câmera digital (que era da mãe).
• Apagava conteúdo com frequência (utilizando
ferramenta da câmera)

– Solicitei a câmera!
 Estudo de Caso

• 3. Arquivos Apagados (3)

– Situação da Câmera:
 Estudo de Caso

• 3. Arquivos Apagados (3)

– Mãe preocupada que a filha estivesse usando
drogas
• Veio me solicitar ajuda!

– Resultado: muitas fotos do dia a dia.

• Nada relacionado com drogas.
• As outras fotos eram pessoais. Nada foi
passado para a mãe.
 Estudo de Caso

• 4. Senhas (1)
– Amiga da Academia !
– Namorado Invadiu meu e-mail !!!!
• Gmail
• Nunca passei a senha do e-mail para meu
namorado !!!

– Será que ele hackeou meu celular ? Meu

computador ? Meu computador do trabalho ?
 Estudo de Caso

• 4. Senhas (1)
– Fui à casa dela …
– Primeira coisa que ela me diz: a senha do wifi é
brida0808.

– Eu perguntei “brincando”: “E por acaso essa é a

senha do seu gmail ?”
– Ela disse que SIM !”
 Estudo de Caso

• 5. Dados Públicos (1)

– Site da Faculdade
• Administrador do Banco de Dados → Aluno
• Auditoria →

– Encontrado:
• Nenhum log de banco de dados → não havia
registro de acesso ao banco de dados. Ou seja,
se o aluno consultasse dados dos alunos, ou
fizesse um “download” de todos os dados, isso
não ficaria registrado.
 Estudo de Caso

• 5. Dados Públicos (1)

– Site da Faculdade
• Simplesmente todas as informações dos
alunos (INCLUINDO A SENHA) estavam em
claro no banco de dados.

• E o que uma pessoa pode fazer com essas

informações?
 Estudo de Caso

• 5. Dados Públicos (1)

– Site da Faculdade
• Gerar um boleto falso para todos os alunos informando que a
faculdade está dando desconto.
• Use dados dos alunos para “dar credibilidade” ao e-mail. Usar logo da
faculdade → IMPORTANTE; Assinar com nome do diretor financeiro;
• Se avisos da faculdade são apresentados para os alunos em algum
mural utilizando como referência um número, utilizar essa informação
(aviso nrº 5 por exemplo) ;
• Coagir o aluno a realizar o pagamento o mais breve → desconto até
determinada data. Desconto atraente!
• NÃO COMETER ERROS DE PORTUGUÊS NO TEXTO !

• Criar e-mail no gmail para envio: facerj_financeiro@gmail.com

– Utilizar uma lan house para criar e enviar os e-mails
 Estudo de Caso

• 5. Dados Públicos (1)

Conforme aviso nrº 5, a faculdade FACERJ irá cobrar um

valor de mensalidade com desconto de 20% para àqueles
alunos que realizarem o pagamento até dia 30 deste mês
Aluno: Erick de Souza
CPF: 000.000.000-00
Identidade: 00.00000 - SSPXX

Matrícula: 0207334-9
Curso: Sistemas de Informação – 4º período
Valor da Mensalidade com desconto: R$367,00 R$293,06
 Estudo de Caso

• 5. Dados Públicos (1)

– Site da Faculdade

Dados da Faculdade
Valor da “Mensalidade
com Desconto”

Dados da conta do
“laranja”
 Estudo de Caso

• 5. Dados Públicos (1)

– Enviar
– Se apenas 200 pessoas de 1000 caírem no golpe?
• Aprox. R$ 58.000,00 !!!!

– Golpe similar já aconteceu com uma faculdade !!!

• Invadiram a faculdade e colocaram um malware
para alterar todos os boletos!
• Boleto era gerado online no site da faculdade
pelo aluno!
 Estudo de Caso

• 5. Dados Públicos (1)

– E o que fazer com a senha em claro ?
• Com o e-mail cadastrado pelo aluno e com a
senha utilizada para o site da faculdade, cabe a
pergunta:

• Será que o aluno utilizou a MESMA senha da

faculdade para o e-mail ?
 Estudo de Caso

• 5. Dados Públicos (1)

– E o que fazer com a senha em claro ?
• Será que o aluno utilizou a MESMA senha da
faculdade para o e-mail ?
• Minha experiência: fiz o experimento e 50%
utilizada a mesma SENHA!
 Conclusão

• Perguntas ?
 Ricardo Sant´Ana
ricksant2003@gmail.com
www.facebook.com/ricksant2003