18 Como Não ser Hackeado

hackear é incrível mas a realidade é que ninguém quer ter as suas informações vazadas suas contas comprometidas e você como hacker além de conhecer as técnicas de invasão testes de vulnerabilidades você precisa sim conhecer as ferramentas necessárias para te manter seguro Afinal você não quer ser hackeado não é mesmo e nessa aula nós vamos falar sobre software de privacidade dicas de proteção e boas práticas de segurança Fique atento eu tenho certeza que ao final dessa aula você vai estar muito mais preparado e seguro pra nossa jornada de hacking vamos nessa e agora vamos falar de como não ser hackeado a primeira dica e talvez uma das mais importantes é a autenticação de duas etapas sempre que possível eu conheço diversos influenciadores e pessoas que só não tiveram as suas contas hackeadas por causa da autenticação de duas etapas tá basicamente ela funciona dessa forma aqui ó com algo a mais realmente uma segunda camada mesmo que a pessoa tenha o seu usuário e a sua senha ela não vai conseguir acessar a sua conta a não ser que ela insira um código que você recebe no seu celular e a verdade é que todo mundo hoje em dia anda com o celular Inclusive eu estou com meu aqui todo mundo hoje em dia tem o celular ou no bolso ou por perto e aí fica bem fácil e garante uma proteção a mais por exemplo eu vou tentar acessar aqui uma conta minha no Gmail e você vai ver o funcionamento da autenticação de duas etapas na prática eu vou digitar o meu e-mail e eu vou digitar minha senha vamos imaginar que você saiba minha senha e que minha senha seja Antonio ou seja uma mensagem de texto com código de verificação de seis dígitos acabou de ser enviado aí para o meu número do celular se eu abrir ele aqui já tá aqui e só eu tô com o meu celular claro que existem formas de você burlar essa etapa mas eu com esse número vou digitar ele aqui agora e aí eu consigo acessar a minha conta tá você não teria mesmo que você tivesse a minha senha Então você seria barrado nessa parte e não conseguiria acessar o meu e-mail Isso serve para várias redes sociais tá hoje em dia elas implementaram então o Instagram Facebook o próprio WhatsApp tem autenticação em duas etapas e para você colocar uma autenticação em duas etapas no seu Gmail é bem tranquilo vou te mostrar agora na prática então eu vou utilizar um e-mail aqui que a gente já utilizou anteriormente estou já no meu e-mail e aqui no canto super interior direito você vai vir em configurações de conta né da sua conta do lado esquerdo aqui você vai procurar por Security ou segurança e aqui descendo um pouco a mais e você vai procurar por autenticação em duas etapas no meu caso tá em inglês então vai ser two step verification agora ele voltou para o português aqui ó a verificação de duas etapas está desativada nessa conta em específico ela tá desativada mas você só clica para ativar clique em começar e agora é a hora que você vai colocar o seu número de celular então ele já identifica que nós estamos no Brasil é só você digitar o seu número aqui quer que seja aqui o DDD você digita realmente corretamente E aí você vai receber você pode escolher na verdade por mensagem de texto ou se você quer receber uma ligação eu costumo receber por mensagem de texto tá E aí aqui você já consegue configurar ele vai mandar uma mensagem de texto no seu celular você insere o código e aí ele já praticamente tá configurado dessa forma você consegue colocar uma autenticação de dois fatores no seu Gmail mas a recomendação é que em todos os sites que você utiliza que der essa opção você coloa autenticação de duas etapas há aqueles que falam mas aí toda vez eu vou ter que receber um código aqui para logar aí você verifica se vale a pena para mim vale muito a pena mesmo que acabe a bateria do meu celular eu ficar 2 3 horas sem acessar o meu e-mail ou alguma coisa do tipo do que algum hacker ou alguma invasão comprometer todos os meu meus dados e eu ter muito mais prejuízo e dor de cabeça depois futuramente tá uso de antivírus parece básico e simples mas a realidade é que o uso de um antivírus garante uma camada Extra de proteção tá se você tiver o antivírus e como aqui diz segurança nunca é demais você vai ter uma barreira a mais para os vírus ou seja mesmo que sem querer você baixe algum aplicativo ou software aparentemente malicioso você tem ali algo trabalhando para te proteger Tá mesmo que os gratuitos Ah mas não é tão bom mas você tem algumas versões ali de softwares que o antivírus mesmo que o básico consegue pegar tá ele garante como nós comentamos uma camada Extra de proteção um detalhe que talvez algumas pessoas não saibam mas é que eles compartilham a a hash do arquivo em um banco de dados então A grande maioria quase 100% dos antivírus eles têm um grande banco de dados compartilhado que eles compartilham o que a gente chama de hash é uma forma que eles conseguem identificar arquivos maliciosos maliciosos uma vez que já detectado tá a gente vai ver o que que é hash hash é uma identificação é o RG do software é algo que é único só aquele software tem não dá para ter duas hashes ele é uma realmente como se fosse um RG Daquele programa tá os antivírus no geral eles também TM a quarentena a quarentena é um lugar criptografado todos os antivírus A grande maioria na verdade eles vêm com essa opção de quarentena que quando ele suspeita de um arquivo vamos imaginar que um vírus acabou de ser criado e nenhum antivírus ainda detectou ele tá totalmente indetectável Mas pelo comportamento dele aqui é comportamento do arquivo os antivírus podem suspeitar dele ser malicioso imagina que você tem uma calculadora e a calculadora Pede uma permissão para acessar a câmera e os contatos não faz sentido Por que uma simples calculadora vai querer acessar minha câmera então pelo comportamento ele consegue ali suspeitar daquele arquivo Mas como ele ainda não sabe se ele é malicioso ou não ele consegue colocar por exemplo numa quarentena esse e outros até mesmo suspeitos para ver o que que aquele arquivo quer fazer no seu computador e uma quarentena nada mais é do que um lugar onde o vírus vai ficar ali basicamente é como se fosse isso aqui ó essa é a Quarentena o vírus fica aqui dentro e aí o antivírus consegue H olhar o que que ele tá fazendo Quais as escritas em disco que aquele arquivo quer fazer o que que ele quer acessar e dessa forma ele consegue decidir e dar o veredito se o arquivo ele é malicioso ou não tá importante dizer Qual que é o melhor antivírus obviamente é você não tem discussão sobre isso eu conheço pessoas que pagam e pagaram antivírus muito caros anualmente mensalmente os melhores inclusive mesmo assim foram infectadas pagar um antivírus ou ter um antivírus considerado muito bom não garante 100% de proteção H vírus e a ma que são criados agora que burlam as proteções e mesmo o melhor dos antivírus não vai detectar não adianta você ter um melhor antivírus e baixar todos os arquivos que você vê pela frente qualquer e-mail que você recebe você abre e executa o arquivo que tem lá dentro dessa forma você é o melhor antivírus e Voltando a falar de hash agora eu vou te mostrar na prática como que nós pegamos a hash de um arquivo tá Como é que também os antivírus consegu analisar a hash do arquivo e como é que você faz para ver de maneira melhor ali na prática mesmo eu vou abrir aqui o powershell Então você vai isso no Windows tá você vai clicar aqui no iniciar e vai editar Power ele já aparece ó Windows Power Shell é esse azul aqui mesmo e nessa tela A minha tá preta mas a sua provavelmente pode ser que esteja Azul tá isso porque eu instalei aqui o terminal e nessa tela aqui você vai digitar o seguinte Gear ele faz uma listagem significa diretório tá ele vai listar tudo que eu tenho e eu quero entrar no desktop nada mais é do que a área de trabalho então eu vou dar um CD desktop Olha isso que legal eu começo a digitar o desk e dou um Tab ele preenche o resto dou um enter Agora eu estou na minha área de trabalho colocar aqui para você visualizar melhor tá E aí nessa tela aqui eu vou dar um Dear de novo nesse dear agora ele listou toda a minha área de trabalho nessa tela a gente vai pegar a hash desse arquivo executável aqui ó então get tro file hash Esse é o comando para você pegar a hash de qualquer arquivo Lembrando que ela é imutável e única então só esse arquivo tem essa hash se eu pegar do burb Switch por exemplo ele vai ser outra hash então pegar aqui ndesk eu dou um Tab ele com ele completa né dou um enter e agora olha só que legal eu tenho a hash do arquivo pode ver el é um número bem extenso mesmo tá Ele termina aqui com 4f se eu fizesse esse mesmo comando só que para o burp olha só que legal já mudou Ele termina com C5 começa com 8f aqui ele é único eu vou pegar a hash desse primeiro e agora nós vamos jogar em Alto Nível existe um site chamado vírus total nós vamos acessá-lo virus Total abriremos o primeiro olha só que legal nessa tela você pode simplesmente jogar o arquivo aqui então vou clicar em choose file eu vou escolher o mesmo arquivo que nós vamos analisar aqui o nesk ele começa a carregar aqui em cima você vê que ele já dá um código ele não identificou nada Maravilha e na comunidade você consegue olhar o que as pessoas estão dizendo sobre esse aplicativo só que no vírus Total além de você conseguir colocar um arquivo você consegue jogar o arquivo aqui ó você consegue analisar uma url também se você desconfia de algum site você pode jogar ele aqui vou jogar o google. com Ó que legal ele analisa o Google e ele dá o veredito ó Limpo limpo e ele não Analisa em um antivírus só ele Analisa em vários antivírus nesse caso de 89 antivírus que olharam não teve nenhuma detecção ou seja está limpo e agora no final Aqui nós temos uma outra opção além do arquivo e da URL tem a opção de search que você pode procurar por exemplo além de URL IPS e também Você pode procurar por hash Exatamente Essa aqui que a gente pegou ó eu posso pegar a hash do arquivo eu coloco aqui e assim que eu dou enter ele também me dá o veredito olha só que legal hum Sem problema nenhum o arquivo e olha aqui que legal ó Ali Baba o Avast o beit defender ele tem vários e vários antivírus que fazem essa análise lembra que nós jogamos o arquivo aqui olha só grava aqui ó começou com o c 4f a gente comentou da rest do arquivo que os antivírus fazem essa análise se eu vier aqui no vírus total e eu não peguei a hash agora eu vou jogar o arquivo vou escolher choose file eu vou colocar aqui o ndesk olha aqui em cima que legal ó ele automaticamente joga hash sozinho eu não copiei não colei aqui foi ele que jogou ali em cima e é dessa forma que eles analisam os arquivos tá se eu pegasse aqui vamos ver se ele considera malicioso o burp sut vou jogar aqui eu posso trocar só aqui em cima também ó para uma nova hash clicar em pesquisar ele não encontrou no match found não enrou mas assim é dessa forma também que os antivírus conseguem burlar tá se eles criam agora um vírus os vírus conseguem burlar né na verdade e se eles criam agora um vírus que não passou por nenhuma detecção nenhum antivírus olhou comportamento nem nada e é por isso que você não pode 100% confiar no antivírus tá e aqui a gente acabou de descobrir como pega a hash de um arquivo no Windows então o comando é get pile hash e na frente o nome do arquivo Se eu quisesse pegar o a hash do do Itaú do ban Itaú assim que eu dou um enter eu tenho aqui a hash do arquivo do ban Ita tá detalhe e muito importante agora a gente vai ver isso no Linux eu vou abrir aqui a minha máquina virtual perfeito Estamos aqui na tela inicial do cali Linux eu vou digitar a senha cali cali e agora aqui no meu terminal eu vou abrir ele e olha só que legal Não se preocupa ainda com os comandos tá a nossa intenção aqui e o intuito é que você aprenda o comando para pegar a hash de um arquivo estou aqui na minha área de trabalho eu dei um LS para listar eu tenho alguns arquivos e eu vou criar um arquivo aqui agora chamado aula. txt dentro desse arquivo vai ter apenas o nome escrito t e assim que eu Listo ele tá aqui ó aula.

TXT como é que eu faço para pegar a hash do arquivo aula. txt no Linux Você lembra que aqui quando a gente buscou pela hash no Windows mesmo ele dá aqui ó x 256 que é o algoritmo da criptografia e da hash aqui no que Ele tá dizendo para nós x 256 é um tipo de algoritmo que é o que essa hash tem a nos oferecer esse mesmo x 256 eu consigo pegar ele aqui no no Linux ou no cali tá eu posso digitar x 256 sun Então esse é o comando ó x 256 sun e na frente eu passo o arquivo que eu quero no caso aula. txt assim que eu dou enter Olha aqui que legal ele tem a hash do arquivo aula.

txt tá bem legal Lembrando que cada arquivo mesmo com com o mesmo nome mesmo que com o mesmo tamanho de bytes de megabytes ele é único então aqui eu criei um arquivo chamado aula. txt escrito dentro dele se eu der um catch aula tá escrito teste é como se fosse um arquivo em TXT do bloco de notas escrito teste mas é único não existe outro no mundo igual mesmo se eu vier aqui no Windows agora se eu vier aqui no Windows ó vou abrir o bloco de notas e vou digitar teste que é uma nota né Vou salvar como arquivo TXT escrito aula então ele vai virar um arquivo aula. txt vou voltar aqui ó tô no desktop dou dear ele tá aqui ó aula.

txt correto é o mesmo arquivo com o mesmo escrito dentro significa então que a hash vai ser a mesma certo errado a gente viu que hash é cada um tem uma então se eu der um aqui um comando que é o get traço file hash aula olha só ele me deu uma hash começando com quatro terminando com cinco e aqui no nosso cali Linux o mesmo mesmo entre aspas arquivo chamado aula. txt com teste dentro Eu tenho aqui a hash dele começando com zero e terminando com qu Ou seja é muito comum em em provas também às vezes a gente precisa fazer o que a gente chama de CDC que é cadeia de Custódia cadeia de Custódia E aí nessas cadeias de custódias a gente precisa pegar a prova que aquele Arquivo ele é o mesmo arquivo então a gente tira has desse arquivo porque se Qualquer mudança se eu pegar aqui por exemplo e alterar o que tem dentro desse aula. TXT eu V fazer uma modificação eu vou pegar aqui agora e vou colocar teste 1 2 3 V eu só acrescentei 1 2 3 na frente salvei agora se eu vier em xar 256 s no aula e eu dou um Tab olha só ele agora começa com dois termina com cinco a hash ela mudou ela altera ou seja agora se alguém tivesse visto a hash do primeiro arquivo e ela vê agora a hash do segundo arquivo ela fala não o arquivo foi modificado a mesma coisa serve para fotos serve para vídeos serve para provas documentos se a has ela é modificada significa que alguma coisa naquele arquivo foi modificado ele já não é mais o mesmo tá então isso é muito importante esse conceito sobre hh para que você saiba Então você também acabou de ver aqui virus total que além de hash você consegue ver url de arquivos de sites na verdade e você consegue ver até arquivos também jogando ele aqui você pode analisar não só no seu antivírus você pode analisar em mais de 80 antivírus aí de maneira gratuita e online tá vai comprar em sites vai fazer alguma compra em algum site que seja diferente você não tá acostumado até em sites confiáveis mesmo porque a gente não sabe ele pode ser invadido a qualquer momento né sites tem brechas essas brechas T vulnerabilidades que permitem que hackers acessem executem baixem os seus dados então a recomendação é que você utilize um cartão virtual cartão virtual tá Como é que eu faço para ter um cartão virtual verifica aí no aplicativo do seu banco acredito hoje que 100% dos bancos devem ter essa opção se não tem você dá uma consultada fala com com gerente do banco geralmente tem tá é só habilitar no próprio celular eu habilitei o meu por exemplo e ele tem uma vantagem de ser um cartão temporário Então se você for fazer uma compra num site que tá com aquela cara suspeita você não sabe ou só para por precaução mesmo é realmente recomendado que você utilize um cartão virtual porque eu posso fazer uma compra agora e assim que eu faça a compra eu excluo o cartão e pronto se um dia aquele site foi invadido e alguém conseguir aquele número de cartão tentar fazer uma compra nele não vai conseguir porque ele já não existe mais tá ele foi realmente temporário Essa é a parte bem legal e vantajosa e não corre aquele risco de você perder né o cartão físico porque ele é um cartão ali online virtual temporário tá o simples funciona não acredite aqui que eu vou falar Milagres ou dar uma Fórmula Mágica o simples funciona e eu quero aqui dizer para você não compartilhe senhas não ah mas eu não compartilho Minhas senhas já cansei de ver influenciadores pessoas que precisavam com a equipe compartilhar senhas precisa é necessário Então a gente tem um método mais seguro para fazer isso tá precisa compartilhar a senha Existe uma forma que você pode compartilhar a sua senha com o limite de visualizações e tempo de expiração gente eu já passei por isso tá eu vi e-mails de dois 3 anos atrás de algo como exemplo Olá suporte eu preciso de ajuda para a corrigir aqui erros na minha máquina Essa é a senha e dois anos depois o e-mail tava lá com a mesma senha com o mesmo usuário além da recomendação da troca periódica que aí às vezes fica inviável né você tem que trocar cas às vezes não lembra você pode mandar um link com uma senha com limite de visualizações e com tempo de expiração ou seja Vamos ver isso agora existe um site chamado pwpush não sei se você conhece olha só que interessante eu posso vir aqui e eu preciso um exemplo compartilhar minha senha com você eu vou aqui colocar ó aula senha segura 1 2 3 eu preciso compartilhar essa senha com você mas eu Vou definir que esse link ele vai inspirar em uma em uma data em uma quantidade de tempo então aqui eu vou colocar que ele vai esperar em três dias e depois de três visualizações olha só que legal esse erro de 2 anos 1 ano uma semana lá minha senha exposta para alguém se aquele e-mail é invadido alguém pode ver não tem mais agora com esse site isso acaba Tá eu vou mandar essa senha para vocês só que eu não vou mandar ela em texto Claro não vou mandar ó minha senha é aula 1 2 3 não eu vou criar um link aqui através do pwpush com limite de TR dias e com três visualizações aqui embaixo você define né e aqui você clica em P você clica em P E aí eu vou copiar esse link aqui ó na verdade é esse link que eu vou te enviar então assim que eu te enviar falar ó Marcos Pedro aqui minha senha tá nesse site assim que a pessoa acessa aqui ó as aulas sen seg agora ele sabe que essa é a minha senha só que olha só que legal depois de TRS dias esse link já não é mais válido e não só três dias a primeira vez que eu acessei Agora ele já dá duas mais visualizações Ou seja eu só tenho mais duas visualizações se eu acessar de novo ah não lembro a senha Ele acabou de me passar mas não lembro é uma senha difícil ele vai abrir e vai tá aqui agora eu só tenho mais uma visualização se ele não anotar ou copiar aqui ó que tem a opção copy to clipboard que é para ele copiar e usar no site na onde ele quiser é claro agora não tem mais nenhuma visualização acabou se eu colocar aqui ó Opa Se eu tentar recarregar a página ou clicar nos link de novo ele já diz o seguinte ó nós pedimos desculpa mas o link expirou já não dá mais acabou então se ele esqueceu no e-mail ou se ele mandou esse link para alguém depois de uma terceira tentativa acabou ninguém mais consegue acessar tá é claro que isso ah não vai como eu comentei se ele anotar a sua senha isso aqui não vai servir você mandou o link você foi seguro mas Ele anotou em algum lugar deixou ali papel ou até no celular mas você garante um pouquinho mais de proteção aí pr sua senha Principalmente quando a gente fala de equipe tá então o básico funciona e algumas formas da gente se proteger e essa é uma delas que eu inclusive utilizo sempre quando eu vou compartilhar minhas senhas tá proton VPN nós temos algo aqui gratuito e se você criou a conta conosco lá no proton mail você temha direito a acessar uma VPN da proton tá tá aqui ó você consegue se conectar e o seu IP já não é mais o seu IP você consegue ali camuflar tá vamos ver isso na prática você vai lá comigo lá no site da proton Abre o site da proton Aí clica em singin e aqui você vai logar com a sua conta tá com seu usuário com seu e-mail parte aqui é bem tranquila você já vai ter o acesso Então vou digitar aqui meu usuário minha senha já estou no meu e-mail e olha só que interessante aqui no canto superior esquerdo nós temos uns quadradinhos se eu clicar eu tenho a opção aqui ó proton VPN vou clicar ele já vai me redirecionar para um site específico aqui ó com o diretório barra vbn perfeito ele diz ó nosso plano que é gratuito free ele dá direito a uma conexão de VPN em até 193 service em três países diferentes Então você tem um plano gratuito aí também você vai ter direito a esse plano tá descendo aqui no canto inferior esquerdo eu acho que você não vai conseguir ver deixa eu aumentar aqui minha tela ó aqui a gente tem essa opção aqui ó Open VPN na verdade em cima é VPN Apps tem esse sinalzinho de download ó tá vendo aí assim que eu clico você vai escolher qual que é o seu sistema então tem para Android tem PR iOS Windows no meu caso tem até PR Linux aqui ó Linux caso você queira utilizar o VPN no Linux e até PR Mac também ó eu vou baixar aqui para windows clicarem em fazer o download já vai redirecionar pro site procura aí o botão de download aqui achamos download pron VPN você vai escolher onde você quer salvar Vou salvar aqui mesmo na na pasta de downloads não tem problema e vamos aguardar ele fazer o download perfeito ele terminou aqui de fazer um download eu posso clicar aqui no Arquivo ele vai dizer ó deseja permitir que ess aplicativo faça alterações sim porque eu vou instalar ele vai começar a instalar português brasileiro Ok e não tem segredo tá é sempre avançar avançar até instalar a pasta avançar avançar instalar geralmente vai bem rapidinho Lembrando que a gente vai precisar logar com a nossa conta tá ele deve estar instalando aqui ó agora chegou o momento mais uma vez eu vou logar com a minha conta e aqui você vai digitar sua senha já está iniciando e a interface aqui dele é bem tranquila não é difícil de meer iniciou na primeira ele dá boas vindas ele pode te mostrar PR você fazer um tour recomendo você pode fazer um tour você vai descobrir algumas ferramentas a mais ali no caso eu vou pular eu vou te mostrar aqui direto como é que a gente faz para trocar o nosso IP aqui ele tá dando o nosso IP olha ele tá mostrando Ó seu IP você não tá protegido o que isso significa que aonde for se eu acessar por exemplo gmail aqui agora se eu acessar um site Qualquer que seja o site técnicas de invasão com Acabei de acessar o site no servidor ele vai mostrar o log do meu IP então se você fizer um ataque em algum site e não tiver utilizando VPN vai o seu IP seu IP mesmo da sua máquina então tô tá indo o meu IP aqui a minha rede e tudo mais agora eu vou usar uma VPN olha só que legal inclusive até para te mostrar melhor meu ip.

com. br tem um site que mostra aqui ó assim que eu acesso o meu IP ele vai mostrar Ó seu IP é esse se eu copiar esse IP e vi aqui abuse iptb Esse é um outro site também ó abuse ipd. com e você jogar o IP aqui ele vai te mostrar Ó você tá no Brasil país vai te mostrar algumas informações aí interessantes mas olha só que legal agora aqui no própria VPN na própria VPN eu vou clicar em conexão rápida olha só que interessante ele tá conectando em Países Baixos servidor gratuito pronto tá conectado Ou seja eu tô em Países Baixos depois você pode escolher ó se eu quero se conectar nos Estados Unidos tem opção aqui conectar no Japão eu posso conectar tem alguns servidores aqui gratuitos tá E olha só que legal agora eu vou dar um Reload nessa página aqui ó vou clicar para recarregar e ele identificando meu IP real eu vou acessar aqui ele ó meuip.

com.