Durante dois dias eu tive a grande honra e oportunidade de participar do evento MVP Community Day 2017 onde palestrei nos dois dias. O MVP Rodrigo Immaginario, especialista em segurança propôs um novo formato de palestra e com apoio da Fernanda Saraiva (Community Manager at Microsoft) foi um sucesso.
Ninguém sabia que iriamos fazer uma palestra ao fim do dia e muito menos que faríamos alguns tipos de ataques nos próprios participantes do evento. Era um teste, tanto para nós quanto para as vitimas.
Montamos “acampamento” no fundão e começamos a fazer a lista de possíveis ataques e obtivemos sucesso usando diversos equipamento e métodos para concluir a nossa palestra.
A ideia era mostrar as fragilidades dos ambientes públicos, a exploração da confiança e ainda assim não expor ninguém durante a apresentação.
Escolhemos utilizar os ataques mais comuns, afinal, eram vários alvos, sem nada pré-formatado. Nos devíamos explorar durante o evento as vulnerabilidades (técnicas e sociais) e tentar juntar informações que seriam utilizadas na apresentação e exibir os resultados do Pentest. Optamos por :
- Sniffing
- Man-In-The-Middle
- Engenharia Social
- Shoulder Surfing
- Wifi Hacking
- BackDoors
- System Attacks
- DNS Spoofing
Como software utilizamos vários recursos.
Wireshark para capturar e ler os dados capturados através do tcpdump e do ettercap um software para ataques MITM. Utilizamos também o DWall para capturar as imagens durante o ataque o MITM (Isso foi hilário).
Apresentamos o USB Rubber Duck e vários outros gadgets utilizados na série Mr. Robot. Onde fizemos os ataques de Eng. Social.
Resultado: Vários notebooks explorados com Pen-Drives, Senhas capturadas via Shoulder Surfing, Redes Wifi exploradas usando o Wifi Pineapple com MITM e centenhas de milhares de pacotes de dados capturados.
Se você quiser saber mais dos Gadgets que usamos, veja o vídeo:
Alguns links legais:
- https://www.hak5.org/
- https://www.wireshark.org/
- http://www.100security.com.br
Seja o primeiro a comentar