95% dos ataques cibernéticos ocorrem por falha humana | Cortes CD Talks - Vídeo Dailymotion

O Antagonista

Na conversa com o hacker ético Luli Rosenberg, Claudio Dantas conta como a inteligência colombiana conseguiu descobrir o paradeiro do líder das Farc Raúl Reyes.  Assista à íntegra do programa: https://youtu.be/ZaVGqQNWEeE  Cadastre-se para receber nossa newsletter: https://bit.ly/2Gl9AdL​  Confira mais notícias em nosso site: https://www.oantagonista.com​  Acompanhe nossas redes sociais: https://www.fb.com/oantagonista​ https://www.twitter.com/o_antagonista​ https://www.instagram.com/o_antagonista https://www.tiktok.com/@oantagonista_oficial

Transcript

00:00Há alguns anos eu estive na Polícia Federal, aqui no setor justamente que investiga ataques cibernéticos

00:09e me surpreendi, porque você tinha uma sala grande, enorme, mas sei lá, você tinha três pessoas na sala.

00:16E eu perguntei, onde está o resto? Ele falou, não, é porque um está em missão, o outro não sei o que.

00:21Mas você tem o quê? Meia dúzia de funcionários? Seis funcionários?

00:25Infelizmente, a nossa área ainda não é valorizada.

00:27Quer dizer, me lembrou, inclusive, a própria criação do setor de combate a crimes ambientais,

00:35que também levou quase duas décadas para ter capacidade de enfrentar crimes que aconteciam à luz do dia,

00:46que eram frequentes, que movimentavam bilhões de dólares no mercado internacional.

00:52E, infelizmente, parece que a gente aqui não conseguia enxergar, ainda não consegue enxergar o volume

01:02de quanto movimenta esses crimes cibernéticos, quanto eles movimentam no mercado global, né, Oluli?

01:11Vocês estão... Interessante que eu acabei de ler, né, eu participo de vários grupos, alguns fóruns abertos,

01:17alguns fechados, de hackers éticos e de pessoas ligadas a esse ramo.

01:21E li, ontem, à noite mesmo, perdão, li que só no ramo de criptomoedas, de roubos de criptomoedas,

01:302022, que ainda não terminou, já bateu mais de 3 bilhões de dólares de roubos.

01:36Então, isso é um número, assim, bem expressivo.

01:41Outra coisa também é o aumento na pandemia, pelo fato de todos nós estarmos em casa também,

01:48e estarmos distantes uns dos outros, a internet se tornou o único meio de comunicação com o resto do mundo.

01:56Só no Brasil, se eu não me engano, não estou na dúvida se é Brasil ou América do Sul,

02:01mas, de qualquer forma, foram 3.4 também bilhões de incidentes.

02:07Claro que nem todos são de milhões de dólares, mas incidentes que significa que alguém perdeu a conta,

02:12ou alguém ficou bloqueado fora da rede social e assim por diante, levou um golpe.

02:18Então, assim, são números realmente gritantes.

02:21E é exatamente baseado nisso que eu estou falando.

02:23Acho que a gente está numa era onde o celular faz parte do nosso dia a dia,

02:28a gente tem tudo na palavra, não tudo mesmo.

02:30A gente tem tanto contra-cheques, quanto a nossa ficha médica,

02:37conversa de WhatsApp nem se fala, fotos pessoais, etc, etc.

02:41Então, tudo isso está sujeito à violação caso a gente não saiba como lidar,

02:47caso a gente não saiba como proteger todas essas informações,

02:51a nossa vida pode de uma hora para outra virar de cabeça para baixo,

02:55caso a gente sofra um ataque.

02:56E é uma coisa, como eu acabei de falar, 3.4 bilhões só na pandemia.

03:00Em 2020, se não me engano, lá atrás, no início da Covid.

03:04E, Luli, você que faz esse trabalho reverso, muitas vezes,

03:10para conseguir detectar falhas,

03:13como que é utilizada a engenharia social na detecção de falhas de sistemas operacionais?

03:20Espera aí, primeiro explica o que é engenharia social,

03:23porque isso aí já é um papo muito nerd.

03:27Vamos acessar.

03:28Eu ia começar sobre isso.

03:30Vamos dar acessibilidade aqui para o nosso espectador, para mim, inclusive.

03:35Então, aliás, abrindo um parênteses aqui importante que eu também não citei,

03:38eu atuei durante alguns bons anos com muito orgulho na Saizos,

03:42que é uma empresa israelense que trabalha com cursos de capacitação

03:48na área de cibersegurança, de segurança cibernética.

03:51Hoje em dia, atuo na JFrog, que também é uma empresa que presta serviços

03:54para as maiores empresas do mundo.

03:57Mas, então, eu tenho o gosto, assim, de simplificar ao máximo

04:01assuntos que, às vezes, podem parecer complexos.

04:04Então, engenharia social, nada mais é do que a manipulação do ser humano.

04:11Afinal de contas, nós temos, num ataque cibernético,

04:14dois vetores de ataques.

04:15A gente tem o vetor tecnológico, ou seja, o sistema está falho,

04:20tecnologicamente está falho, ou seja, ele foi implementado de forma errada,

04:23foi configurado de forma errada.

04:26E a gente tem também, como eu falei, a pessoa que configura o sistema

04:29ou a pessoa que é responsável pelo sistema,

04:32que está também sujeita à manipulação psicológica,

04:35que pode ser ela por vários meios.

04:38Então, essa é a engenharia social.

04:39Engenharia social é nada mais, nada menos do que pegar alguém,

04:42algum ser humano, e explorar as falhas humanas,

04:47que é uma coisa que está mais ligada à parte da psicologia,

04:50mas que também ajuda muito.

04:51Afinal de contas, dentre os 100% dos ataques cibernéticos,

04:56mais de 90%, 95%, na verdade, são graças ao fator humano.

05:02Ou seja, é muito mais fácil um black hat, alguém mal intencionado,

05:07invadir a maior empresa do mundo, ou qualquer que seja o sistema que ele quer,

05:12através do fator humano, que está lá responsável pelo sistema,

05:16do que ele tentar invadir de forma tecnológica pura.

05:20Tendo isso entendido, a engenharia social,

05:21agora sim a pergunta do Renê Excelente,

05:23como é que a gente vê essa conexão,

05:27Renê, se eu estiver errado, me corrija,

05:29mas como é que a gente vê a conexão entre a engenharia social,

05:32ou seja, a exploração do fator humano e a parte tecnológica.

05:37Então, é muito interessante, porque assim,

05:39a gente pode ter, e a gente vê,

05:41muitos casos de empresas que estão muito bem estruturadas,

05:44têm, assim, realmente uma fortaleza tecnológica,

05:47mas não tomam cuidado com o fator humano,

05:50com a engenharia social,

05:51e acabam pecando e sendo derrubadas por isso.

05:55Porque não importa, quer dizer,

05:57em alguns casos sim importa,

05:58mas na grande maioria das vezes,

06:00não importa o quanto você se esforce na parte tecnológica.

06:03Se você tiver alguém que vai abrir uma porta dos fundos

06:07para o hacker manutencionado, o Black Hat, ele vai entrar.

06:11Então, exemplificando, um exemplo.

06:14Então, o cidadão que vai, estuda, mais uma vez,

06:18a coleta de informações, entende como é que funciona a empresa X,

06:22vê que empresa X, os funcionários se vestem com uma camiseta polo laranja

06:26e uma calça jeans, todos eles, e um crachá.

06:30Vê como é que funciona o crachá,

06:32cria um crachazinho, compra uma camisa polo laranja,

06:35compra uma jeans,

06:36e entra de manhã no balcão lá da recepção,

06:39com um crachazinho.

06:40A moça da recepção, que está muito ocupada,

06:42vê mais um, como todos os outros, e deixa ele entrar.

06:44Ele vem, esse nosso camarada Black Hat,

06:48vem, como é que se diz, munido de um pequeno,

06:54um tipo de um pendrive, não é exatamente um pendrive,

06:56mas suponhamos que seja um pendrive,

06:58que está escrito em cima do pendrive,

07:00salários funcionários 2022.

07:03E ele, sem querer, por engano, esquece esse pendrive

07:06lá no corredor onde todo mundo passa.

07:08O que vai acontecer é muito simples.

07:11Alguém que tem, mais uma vez, a psicologia humana,

07:14que tem a curiosidade de saber

07:17quanto que os meus colegas ganham,

07:19quanto os meus chefes ganham,

07:21e quanto que os chefes dos chefes ganham,

07:24ele quer saber, ele vai conectar o pendrive dele

07:26no computador, na estação de trabalho,

07:28e no segundo que ele fizer isso,

07:29ele vai estar dando uma conexão remota

07:31para o nosso querido Black Hat,

07:33que entrou vestido com a camisa polo laranja

07:36e a calça jeans.

07:36Então, isso é um exemplo bem simples.

07:38Pode falar, pode falar.

07:40Não, não, não, duas coisas.

07:42Uma, aqui não tem esse problema,

07:45você vê, né?

07:46Eu estou aqui de camisa,

07:47o Renê está com a camisa de flor,

07:50cada um tem o seu jeito.

07:51Aqui é difícil, é anti-requer.

07:56Outra segunda coisa, você me lembrou

07:58quando a inteligência colombiana

08:04conseguiu identificar, localizar o Raul Reis,

08:08que era um dos líderes das FARC,

08:11da guerrilha colombiana,

08:12a narco-guerrilha colombiana,

08:14e eles fizeram uma coisa,

08:17na época, não era o pendrive,

08:19era ainda o CD,

08:20e eles fizeram uma coisa bem parecida.

08:22Eles fizeram chegar a um jornalista

08:25que acessava muito as lideranças das FARC,

08:28fizeram chegar um CD

08:29com hinos da guerrilha,

08:33com coisas históricas e tal,

08:36e ele ingenuamente

08:38levou isso como um presente

08:41lá para a turma do Raul Reis,

08:43bastou ele enfiar isso no notebook dele,

08:46que eles acessaram toda a rede

08:49e conseguiram, por geolocalização,

08:52encontrar onde ele estava na selva,

08:54foram lá e fizeram um bombardeio

08:56e mataram ele.

08:57Então, assim, isso eu sei porque

08:59eu também cobri essa área

09:02durante muito tempo

09:03e tive acesso a essas informações.

09:07Foi realmente muito interessante

09:09entender como é que a coisa funcionava.

09:27e aí

09:34eu também

95% dos ataques cibernéticos ocorrem por falha humana | Cortes CD Talks

Categoria

Transcrição

Recomendado