Skip to content

Instantly share code, notes, and snippets.

@whoisroot

whoisroot/no-tech_hacking.md

Created March 13, 2021 02:36
Show Gist options
  • Star 0 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save whoisroot/1cb00e8990ee895370097c26de4fe8e3 to your computer and use it in GitHub Desktop.
Save whoisroot/1cb00e8990ee895370097c26de4fe8e3 to your computer and use it in GitHub Desktop.
Download ZIP
Raw
no-tech_hacking.md

Como assim hacking sem computadores?

Uma versões deste texto formatadas em em [html][html] e [pdf][pdf] estão disponíveis.

Hackers

Quando se fala de "Hackers" vem à mente de muitas pessoas a clássica imagem do criminoso de moletom preto com capuz abaixado e máscara, digitando loucamente em um terminal preto com letras verdes no seu quarto escuro com diversas luzinhas piscando nos variados eletrônicos à sua disposição.

Stock Image do hacker no imaginário popular.

Mas o que poucos sabem é que o termo, cunhado no clube de ferromodelismo do MIT na década de 601, tem seu principal significado na designação do indivíduo inventivo e entusiasta do conhecimento, que procura soluções alternativas para seus problemas e subverte o uso comum das tecnologias para criar coisas novas. Acho que uma das melhores definições do Hacker e da cultura Hacker é dada por Loyd Blankenship (The Mentor) em sua dissertação The Conscience of a Hacker2 publicada na Zine Phracker em 1986:

[...]

This is our world now... the world of the electron and the switch, the
beauty of the baud.  We make use of a service already existing without paying
for what could be dirt-cheap if it wasn't run by profiteering gluttons, and
you call us criminals.  We explore... and you call us criminals.  We seek
after knowledge... and you call us criminals.  We exist without skin color,
without nationality, without religious bias... and you call us criminals.
You build atomic bombs, you wage wars, you murder, cheat, and lie to us
and try to make us believe it's for our own good, yet we're the criminals.

My crime is that of curiosity.  My crime is
that of judging people by what they say and think, not what they look like.
My crime is that of outsmarting you, something that you will never forgive me
for.

[...]

Para quebrar o estigma de que Hacking é algo altamente tecnológico, limitado a poucos e feito discretamente em quartos escuros, apresentarei algumas formas de Hacking não informatizado, também conhecidas como no-tech hacking ou low-tech hacking.

No-Tech Hacking

A busca principal do Hacker é pela informação, e ela pode se esconder atrás de diferentes barreiras e desafios. Apesar do estigma, nem sempre essas barreiras envolvem tecnologia diretamente. Explicarei algumas das técnicas usadas por Hackers para ultrapassar suas limitações.

Dumpster diving

Há um ditado que diz "O lixo de um homem é o tesouro de outro", e em busca de tesouros alguns se aventuram!

dumpster diving

Você já pensou que coisas vão todos os dias, literalmente, para o lixo? Livros, equipamentos eletrônicos, pilhas enormes de papel, comida ainda comestível, embalagens diversas e muito mais.

E que informações valiosas podem ser reveladas sobre quem os descartou? Manuais detalhando o funcionamento dos equipamentos usados na empresa, embalagens dos produtos recém adquiridos e possivelmente ainda não bem entendidos, documentos com dados financeiros sigilosos, informações pessoais ou segredos industriais, recibos de estabelecimentos frequentados ou equipamentos eletrônicos com informações sigilosas como senhas, nomes ou números de cartão. Algumas dessas informações podem ser bem úteis para realizar outra técnica de ataque, a Engenharia Social.

Engenharia Social

Também conhecida como "a arte de hackear pessoas", a Engenharia Social foca seus esforços do elo mais sensível da cadeia de segurança e o mais difícil de assegurar.

dave

O intuito da Engenharia Social é convencer a manipulação psicológica de pessoas para a execução de ações ou divulgar informações confidenciais3. Alguns exemplos clássicos de técnicas de engenharia social são:

  • Tailgating: Seguir alguém e se aproveitar de portas abertas ou da boa ação de alguém abrir ou segurar aberta uma porta para alguém carregando coisas pesadas.
  • Impersonation: Se passar por alguém como um técnico que precisa de acesso físico para realizar algum reparo ou um funcionário que está em seu primeiro dia e precisa dos acessos necessários para trabalhar. Ou se passar por uma autoridade e explorar o medo de contrariar que a(s) outra(s) pessoa(s) possa(m) sentir para agir sem ser questionado.
  • Phishing: Construção de "iscas" que levem a pessoa a clicar em um link, executar alguma ação indevida ou abrir um arquivo malicioso utilizando sentimentos como medo ("sua conta bancária foi bloqueada"), felicidade ("você ganhou um sorteio") ou simplismente simulando a comunicação cotidiana (emails com documentos internos anexos) de forma a não serem percebidas as discrepâncias em relação ao legítimo.
  • Vishing: Ataque de phishing por telefone. Exemplos comuns são ligações fingindo ser de uma instituição financeira, imitando algum funcionário da empresa ou se passando por um parente sequestrado.

Lock picking

Trancas de cilindro tem um funcionamento bastante simples, são uma sequência de duplas suportes e pinos com diferentes tamanhos. Quando os pinos são colocados na altura correta pela chave, os suportes ficam alinhados com o cilindro e o deixam rodar livremente.

key

No entanto, o processo de fabricação das trancas e seus componentes não é perfeito, gerando pequenas variações na espessura dos pinos e suportes, no posicionamento, inclinação e no diametro dos furos e também nas paredes do cilindro. Por causa disso, ao rodar os pinos não enconstam nas paredes ao mesmo tempo. Aplicando um pouco de tensão na fechadura, eh possível travar os pinos na parede um de cada vez, posicionando eles na altura certa até que todos os suportes estejam na posição correta para o cilindro rodar.

pick

Shoulder surfing

shoulder surfing

Outros truques curiosos

  • Colocar imãs em sensores para manter uma porta aberta enquanto os sistemas de segurança acreditam que esteja fechada
  • Utilizar ar comprimido pelo vão da porta para gerar um diferencial de temperatura e abrir portas com sensores de presença
  • Na década de 1970 um Phreaker (Hacker de telefonia) descobriu que podia fazer ligações gratuitas utilizando um apito de plástico (que vinha de brinde em uma caixa de cereais) que reproduzia fielmente o tom de 2600 Hz, usado para acessar diretamente o satélite nas chamadas de longa distância.

Conclusão

Por incrível que pareça, Hackers saem de casa e estão em todos os lugares, procurando obter e difundir conhecimento utilizando das mais diferentes técnicas. Espero que este artigo tenha ajudado a compreender melhor sobre a cultura hacker e algumas das suas técnicas não usuais.

Footnotes

  1. https://web.archive.org/web/20160507193534/https://slice.mit.edu/2015/04/06/happy-birthday-hack/

  2. http://www.phrack.org/issues/7/3.html

  3. https://pt.wikipedia.org/wiki/Engenharia_social_(seguran%C3%A7a)#cite_note-Nakamura-1 [html]: https://whoisroot.keybase.pub/no-tech_hacking.html [pdf]: https://whoisroot.keybase.pub/no-tech_hacking.pdf

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment