5 MENTIRAS QUE


TE IMPEDEM DE

SER UM HACKER

@igdotdi
SEMANA DO HACKING

conceitos

→ Entender como ser um hacker;

→ Não vai mais ficar perdido, sem saber por onde

começar;

→ Ter entendimento das três principais etapas de

um ataque hacker;

→ Ter entendimento de termos do mercado:

pentest, vulnerabilidade, exploit, recon;

→ Aprender o que é seg info e os 3 pilares;

ferramentas

Aprender a instalar e usar as principais

ferramentas e sistemas de hacking ←

Vai aprender como funcionam programas de bug

bounty e como pode ganhar caçando falhas ←

Vai descobrir como começar a

programar em python ←

Ter conhecimento o suficiente

para ser ’’perigoso’’ ←

Hackear um sistema comigo (aula 4) ←

@igdotdi
 cat legiao.txt

Compartilhe seus estudos conosco com

a hashtag #SemanaDoHacking através
do instagram

@igdotdi

cat gratis.txt
treinamento
A imersão é gratuita! completo TDI

A jornada TDI funciona como uma

escada.
→

→
→
→

aulas
livro + imersão
gratuitas minicursos
@igdotdi
 cat 5-mentiras.txt

Quem é o mentiroso?

Os profissionais não estão abrindo caminho,

principalmente no Brasil. Não querem criar
novos hackers no país e o mercado precisa
disso.

Muitos querem mostrar como é difícil se

tornar um hacker e acabam dificultando,
criando uma cortina de fumaça para os
iniciantes e novos hackers.

O mercado precisa mais do que nunca de

novos hackers.

Precisamos de gente criando mas também

protegendo.

@igdotdi
 #1 É quase impossível hackear
um sistema

O que você entende por hackear um

sistema: ter uma senha de acesso, pegar um
dado confidencial, ter controle total, escalar
privilégios?

Usando o google hoje, você consegue

hackear vários sistemas — uma técnica
chamada google hacking.

Conseguimos encontrar informações

sensíveis, por exemplo.

Fazemos isso através de operadores de

busca avançados:

filetype:txt intext:senha
@igdotdi
 Três conceitos importantes no universo do
hacking. Qual a diferença de um para outro?

ameaça vulnerabilidade ataque

É o risco É uma fragilidade É a incidência, a
iminente do sistema que exploração de uma
pode vir a ser vulnerabilidade
explorada ou não

O hacker sabe diversas ameaças que podem

ser executadas sobre um sistema que é
vulnerável ou não.

@igdotdi
 #2 Precisa primeiro de
faculdade para ser hacker

A faculdade te auxilia no profissional

(organizacional). Um time de RH valoriza
profissionais que possuem graduação e desejam
ser contratados com CLT, por exemplo.

Mas para você se tornar hacker isso não é

necessário — até porque a faculdade não
vai te ensinar isso.

Hoje, certificações e histórico de falhas

encontradas é muito mais valorizado do que
o conhecimento teórico.

ceh OSCP HTB HACKERONE

@igdotdi
 #3 O caminho para ser hacker
está em camadas profundas da
deep web

Foram 11mil pessoas respondendo o

formulário — o que mais foi falado: não
saber por onde começar.

A deep web nem tem camada! Não existe

essa estrutura.

Mais do que nunca, hackear é uma profissão.

O problema é que você aprende hacking mas

não hackeia, não pratica porque sempre acha
que falta alguma coisa, o próximo passo.

O que você aprende de hacking você precisa

executar, praticar.

@igdotdi
 Onde está o conhecimento? Em livros,
nessa apostila, na internet — vídeos
gratuitos no YouTube.

O próprio google ta cheio de conhecimento

e podemos usar google hacking pra adquirir
essas informações pra gente.

O grande problema — hacking não é uma receita

de bolo. Não existe um conhecimento de hacking
que você fala: vou fazer esses dois passos e
hackear o sistema.

Isso porque os sistemas não são iguais, as redes

são diferentes. Cada cenário é único.

Por isso falamos que não existe um guia

definitivo, uma receita de bolo: existe uma
essência.

@igdotdi
 Base — é ampla! Você quer hackear o que?
Uma aplicação web, um site, aplicativo?

Por exemplo — aplicativos mobile são

construídos numa aplicação web, consomem
dados de uma API com um webview.

É preciso desenvolver essa base pra iniciar no

hacking — monte sua base, tenha na cabeça
essas falhas.

BASES web FALHAS OWASP

→ Web hacking
→ O que é a falha?

→ Front-end
→ Como encontrar essa
→ JavaScript
falha?

→ API
→ Como se explora ela?

Uma aplicação web tem funcionalidades:

login, upload, trocar senha, ver compras. É
preciso conhecer seu alvo e listar todas as
funcionalidades possíveis.

@igdotdi
 No login pode ter → falha de validação, problemas no
2FA, problemas de armazenamento e segurança de
tokens dos usuários, etc e vamos testar cada uma
delas.

Domine a base e se especialize, encha sua cabeça de

falhas.

Existem hackers que focam apenas em uma única

falha: se torna especialista nela e ganha dinheiro
apenas com isso.

#4 Precisa ser um
programador avançado para
ser um hacker

Se você programa, você precisa aprender

hacking obrigatoriamente. Mas se você não
é programador ainda, esse não é o primeiro
passo.

@igdotdi
 O QUE É HACKEAR?

Os maiores ataques hackers hoje são de

criminosos que não programam.

Caso de políticos que foram hackeados no

Brasil → a quadrilha que fez isso não tinha
conhecimento técnico para programação.
Apenas um tinha conhecimento técnico e
não sabia programação.

programação

Existe sim uma porcentagem de hackers

que programam.

Esse conhecimento ajuda muito, mas não é

obrigatório para começar no hacking.

@igdotdi
 Ataque direcionado: muitas vezes precisamos
automatizar processos e pra isso usamos
conhecimentos de programação.

Desenvolver ferramentas, agilizar alguns processos

e também ler o código de uma aplicação.

EXPLOITS

Exploits — servem como uma ‘’receita de bolo”

(aqui sim existe uma receita), para explorar alguma
vulnerabilidade.

Uma pessoa que encontra uma falha e cria algo pra

explorar aquela falha no sistema → isso pode ser
replicado e usado em diversos locais.

@igdotdi
 banco de dados hacker

Por isso existe um banco de dados chamado

Exploit-DB onde hackers navegam a procura
de exploits pra falhas específicas em
aplicações e sistemas, dependendo da
versão.

Podemos usar aquilo para executar nosso

ataque.

python - a linguagem dos hackers

Por isso, saber programar ajuda demais a

entender exploits, podemos até criar nossos
próprios exploits.

Se você está aprendendo agora, a

linguagem que recomendo é python.

@igdotdi
 #5 Hacking é crime

Esse é o crime perfeito: hackear empresas,

plataformas e ganhar dinheiro com isso.

Pensa comigo...por que testar um carro antes dele

ser liberado no mercado? Por que testar um
prédio contra terremotos?

Testamos para não acontecer uma tragédia.

Já pensou um avião cair por falha no software?

Testes são fundamentais.

É pra isso que testamos, é pra isso que

hackeamos. Isso não é mais opcional — é
obrigatório!

@igdotdi
 Existe uma plataforma chamada open bug
bounty — eles fazem uma intermediação
para o hacker que reportar falhas.

Essa plataforma serve para reportar falhas

em empresas que não são encontradas nas
grandes plataformas de bug bounty.

Principais serviços:

pentest

Você é contratado por um

período pré determinado

bug bounty
Ninguém te contrata. Você
reporta e recebe pela falha
validada

red team

É um serviço contínuo.

@igdotdi
 ATIVOS DIGITAIS

Hoje para as empresas o que mais vale é a

informação, os dados. O que vale mais? A
inteligência, os dados.

Na nossa era isso está tudo no digital e nós

precisamos proteger isso.

brasil

Nosso país é emergente — ele possui

muitas oportunidades para solucionar
problemas ainda não resolvidos, os
chamados: institucional voids.

Startups agarram inúmeras oportunidades

de crescimento.

@igdotdi
 COREIA DO SUL

Porém, quando passamos para os países

desenvolvidos a estratégia muda: não
perder aquilo que conquistou, os dados que
possui.

Caso da Coreia do Sul — investem pesado

para proteger os dados.

CRIME

Quando é crime?

Pense no chaveiro! Você gostaria que

alguém fizesse uma cópia da sua chave e
tentasse entrar na sua casa?

Casos e situações onde não há

conhecimento e permissão configuram
crimes!

@igdotdi