Sobre a ocupação das escolas

Sobre a ocupação das escolas


Temos acompanhado nos noticiários o decorrer de um processo de IMPEACHMENT, enquanto os políticos se atacam numa briga frenética pela presidência do país, acontece em completo oposto, a luta dos estudantes por melhorias e benefícios mínimos que devem ter como, por exemplo, reforma nas escolas, livros entre outros.

Escolas foram ocupadas, eles foram lá reivindicar o direito deles. O governo e mídia tentam criminalizar o ato como se o errado fosse lutar por qualidade de ensino e uma escola decente. Para o estado é melhor que seus estudantes cresçam sem saber o que podem ou não ter, a partir do momento que os alunos começam a pensar e ir contra ao pré-programado que é aceitar qualquer coisa que lhes forem impostas o que vemos é isso, pouca visibilidade e nenhum apoio ao ato.

Se a ocupação continuar sem que nada seja resolvido os alunos perderão o ano letivo, perdem algo que lhes é direito lutando por outro direito. Greves de professores por melhores salários em vários estados, não é algo exclusivo ao RJ. Mas a um país que é carente de educação decente.

Na última segunda-feira, a cantora Marisa Monte visitou o Colégio Estadual André Maurois, na Gávea, zona sul do Rio. Pelo Facebook, a cantora postou uma nota de apoio e a lista do que os estudantes precisam. “São jovens estudantes, batalhando pela educação e cuidando com amor do que é público. De forma organizada, cada um fazendo a sua parte e dando exemplo para este país. Cantei quatro músicas com eles e com o Dadi e pude voltar a ter esperança em uma força transformadora”.

Enquanto muitos se queixam do bloqueio que ocorreu ao aplicativo WhatsApp, uma das escolas ocupadas teve o fornecimento de energia interrompido, governo a qualquer custo tentando fazer com que desistam da ocupação, aqueles estudantes me representam, representam a real força de um povo contra o sistema.

OCUPA!



Sra. EU Author  Sra. Eu Posted on May 4, 2016

Read More

LAVA JATO OQUE VOCÊ NÃO SABIA

EXCELENTÍSSIMO JUIZ FEDERAL DA 13ª VARA FEDERAL DA SEÇÃO JUDICIÁRIA DO
PARANÁ
Distribuição por dependência aos autos n
º
5049557-14.2013.404.7000 (IPL originário),
5004996-31.2015.404.7000
(IPL referente
a Mario Goes
), 5085114-28.2014.404.7000 (Busca
e Apreensão RIOMARINE)
e conexos



Ministério Público Federal
PROCURADORIA
DA
REPÚBLICA
NO
PARANÁ
FORÇA
-
TAREFA
L
AVA
J
ATO
EXCELENTÍSSIMO JUIZ FEDERAL DA 13ª VARA FEDERAL DA SEÇÃO JUDICIÁRIA DO
PARANÁ
Distribuição por dependência aos autos n
º
5049557-14.2013.404.7000 (IPL originário),
5004996-31.2015.404.7000
(IPL referente
a Mario Goes
), 5085114-28.2014.404.7000 (Busca
e Apreensão RIOMARINE)
e conexos
O
MINISTÉRIO PÚBLICO FEDERAL
, por seus Procuradores da República
signatários, no exercício de suas atribuições constitucionais e legais, comparecem,
respeitosamente, perante Vossa Excelência, com base no inquérito policial em epígrafe e
com fundamento no art. 129, I, da Constituição Federal, para oferecer
DENÚNCIA
em face de:
ADIR ASSAD
, brasileiro, nascido em 14/02/1953, filho
de
Nazira Elias
Muhamad, inscrito no
CPF/MF sob n º
758.948.158-00
, residente na
Av
enida
Giovanni Gronchi, 5021, ap
artamen
to 12, Morumbi, São Paulo/SP, CEP 05724-000;

ATENÇÃO ARQUIVO COM 219 PAGINAS

CLIQUE AQUI

Read More

Perguntas frequentes

Perguntas frequentes

Como Hackear

Por favor, não faça perguntas como essas e seja específico. Também vou te levar mais a sério se você nunca usar o trabalho "hack"

Você pode incluir o X em um tutorial?

Se eu sei o suficiente sobre isso, claro. Dê-me algum tempo e vou adicioná-lo.

Preciso de uma versão específica do Kali Linux?

Não, não realmente. Eu estarei trabalhando no Kali Linux Sana (2.0), mas qualquer distro linux baseada no Debian funcionará (debian, Ubuntu, tails, etc)

Quando as lições começarão e pararão?

Em meados de maio e eles terminarão por volta de setembro. Ocasionalmente, atualizarei este site durante todo o ano.

Eu preciso de ajuda!

Sinta-se à vontade para entrar em contato comigo, mas primeiro procure por informações on-line antes de fazer perguntas.

Read More

Análise de Vulnerabilidade

Análise de Vulnerabilidade


A análise de vulnerabilidade, também conhecida como avaliação de vulnerabilidade, é um processo que define, identifica e classifica as brechas de segurança em um computador, rede ou infraestrutura de comunicações. Pode ser muito semelhante à coleta de informações, pois é basicamente a varredura. Embora haja muito mais do que isso. Quando você está no processo de coleta de informações, está descobrindo tudo o que há para saber sobre a vítima. As portas que eles abriram ou fecharam, o sistema operacional e quaisquer serviços que eles executam. A análise de vulnerabilidade é mais específica e pode ser mais útil. Ele está usando o conhecimento que você reuniu e vendo se alguma coisa poderia ser explorável, sem realmente explorar nada. Isto é importante porque se você ativar algum tipo de aviso enquanto estiver neste estágio de ataque, você apenas levantará bandeiras e alertará seu alvo.


Por exemplo, a coleta de informações está digitalizando uma parte da sua LAN e percebendo que elas estão executando o samba. O V.A está analisando sua versão do samba para ver se está desatualizado e pode ser explorado. Assim como no meu último tutorial, eu darei três ou quatro ferramentas que eu pessoalmente uso com frequência ao lidar com esse estágio do meu ataque. Todos os softwares serão prontamente disponibilizados no kali linux e facilmente instaláveis ​​em qualquer sistema baseado no Debian.


Fuzzing Fuzzing é honestamente minha parte favorita da análise de vulnerabilidades. É quando um invasor propositadamente insere uma entrada malformada para causar uma falha. Existem dois tipos principais de fuzzing. Há fuzzing inteligente e mudo. Ambos podem ser uma excelente maneira de determinar se um sistema é vulnerável.


O Smart Fuzzing é quando você tem um programa (ou você) e uma entrada baseada em informações que você conhece. Isso geralmente leva muito mais trabalho, mas a taxa de sucessão é geralmente maior quando se trata de encontrar um explorável, mas. Difusão difusa é quando a entrada é puramente aleatória. O fuzzing mudo é ótimo porque é mais facilmente roteirizado e pode ser usado de maneira mais versátil entre os programas. Também é melhor no bug discovory


Uma das melhores coisas sobre fuzzing é que você pode muito bem fuzz qualquer e tudo. Do tráfego HTTP para imagens PDF. Você pode fuzz qualquer programa que requer qualquer tipo de entrada. Então, se você quiser encontrar bugs em um programa, agora você pode!


Existem alguns ótimos programas de fuzziing que meu favorito é o zzuf. O Zzuf ajuda a automatizar o processo, por isso é fácil incluir em muitos scripts. Normalmente não é instalado no linux. para instalá-lo basta digitar:

sudo apt instala zzuf

Por favor, note que as versões mais recentes do Debian estão se livrando do apt-get, então se você pode apenas usar o apt, se não o apt-get está ótimo. Inicie o zzuf digitando "zzuf" em um terminal. Você será saudado com nada. Quando você inserir uma linha de texto e pressionar Enter, ela será repetida em um formato incorreto. O Zzuf é aleatório, então se o seu texto for muito curto, nada acontecerá. Agora você vê zzuf pode fuzz stdin mas também pode ser usado para fuzz a entrada e saída de programas. por exemplo, podemos fuzz cat. O Cat é uma ferramenta do gnu que permite a saída do conteúdo de um arquivo. Tem plently de funcionalidade, mas agora vamos deixar isso para aquilo. A fim de fuzz cat tudo que você precisa fazer é malformar alguns arquivos e continuar usando cat para abri-los.


Para uma execução rápida, use um editor para criar test.txt. Preencha o novo arquivo com a letra "A". Agora, se você digitar:

cat /path/to/test.txt

Você deve pegar uma longa seqüência de "A" s. Para fuzz cat você pode digitar:

zzuf cat /path/to/test.txt

Isso fará com que a saída do arquivo seja malformada. Alguns "A" s devem ser substituídos. Agora isso é apenas o básico do zzuf. A funcionalidade é incrivelmente ampla e sugiro passar alguns dias pesquisando todas as opções. Especificamente -s -r -n -p e -X Por último, note que todas as opções do Zzuf precisam ir antes do programa que você está fuzzing. Então, se você quiser mostrar o conteúdo de um arquivo fuzzed 20 vezes, você precisa fazer isso:

zzuf -r .01 -s 0:20 -X cat /path/to/file.txt

e não isso:

zzuf cat /path/to/file.txt -r .01 -s 0:20 -X

Qualquer coisa depois do programa você está fuzzing, no nosso caso é gato, serão as opções desse programa e não zzuf. Zzuf também não é sua única opção. Existem mais ferramentas de fuzzing.


A próxima ferramenta é um script de shell. Ele só é executado em sistemas baseados em unix (embora eu tenha certeza de que existe um equivalente do Windows). Quando executado, parece que o sistema encontrou erros de configuração que você pode usar para elevar seus privilégios e se tornar root. No Kali esta ferramenta já está instalada e se você quiser rodar em você mesmo, você pode digitar:

unix-privesc-check

Isso é útil quando você tem execução de código em um destino ou em uma vítima, mas está preso como um usuário comum. Para executar este script, você precisará transferi-lo para sua máquina de victos. Lembre-se que você também pode registrar a saída do script usando

unix-privesc-check> log.txt

Para todos os outros que não estão no Kali linux você pode instalá-lo daqui

https://github.com/pentestmonkey/unix-privesc-check

Honestamente, isso é tudo. É uma ajuda também, mas incrivelmente simples de usar. E finalmente temos o sqlmap. Sqlmap é uma ferramenta que automatiza injeções de sql. Estes são surpreendentemente comuns e podem levar a um grande vazamento de informações. Eu não vou muito fundo nesta ferramenta porque eu irei repassar como pré-forma uma injeção manual de SQL mais tarde. Mas se você já conhece o conceito de uma injeção SQL, você deve definitivamente olhar para esta ferramenta. Tudo o que você precisa fazer é fornecer um URL vulnerável e enumerar todos os bancos de dados. Você pode então escolher qual linha ou coluna deseja despejar. Você pode instalá-lo com o seguinte comando

sudo apt update && sudo apt instalar sqlmap


Há também uma opção interna para usar isso com a rede tor, a fim de anonimizar seus pedidos. Se você encontrar uma máquina explorada, você tem a opção de executar um shell usando o ambiente do servidor. Eu não vou mais fundo do que isso porque pode ter que cair em exploração. Eu sugeriria olhar para isso.

Read More

O futuro

Tutoriais de verão


Este é um anúncio de que, ao longo dos meses de junho a setembro, farei muito do meu tempo fazendo tutoriais para segurança cibernética. Ele será focado no Kali Linux e eu planejo fazer tópicos para um tópico específico no CodeGreen para discutir e para as pessoas fazerem perguntas.

Esses tutoriais que estarei postando serão principalmente focados em exploração de software e exploração remota. Isso é para hacking ético e a maioria das coisas que eu vou compartilhar provavelmente não serão legais em seu país, então lembre-se disso. Esses tutoriais também assumem que você é um pouco conhecedor do Linux e do terminal bash, porque você o usará bastante.

Coleta de informações


Coleta de informações é a parte mais importante de qualquer teste de caneta se você não sabe o que você está atacando há nenhuma maneira você será bem sucedido. Quando você está atacando uma máquina ou um servidor, você precisa saber quase tudo para saber sobre a máquina. Você precisa descobrir qual sistema operacional está sendo usado, quais serviços estão sendo executados, a versão desses serviços e qualquer outra coisa que deve saber. Se o destino estiver esgotando o software datado, poderá haver maneiras de verificar. Existe um ótimo site que permite que você procure por explorações conhecidas, é uma ótima fonte para exploração. https://www.exploit-db.com


Agora vamos entrar em alguma varredura real. Os sites que não estão no darknet são fáceis de digitalizar. Minha sugestão é anotar tudo o que você precisa saber sobre um alvo em um arquivo ou em um pedaço de papel. Eu vou mais de três ferramentas interessantes que eu uso com freqüência.


A primeira ferramenta em que entraremos é o nmap. É uma ferramenta muito comum e fácil de instalar. Se você estiver usando um sistema baseado no Debian como o Ubuntu ou o Kali Linux, você pode instalá-lo digitando:

sudo apt-get update && sudo apt-get instala o nmap

Você pode acionar a ferramenta com o comando:

nmap X.X.X.X

Onde X.X.X.X é o endereço IP do destino. Para a maior parte, isso deve ser usado para computadores em sua LAN, mas pode ser usado em WLAN. Isso é praticamente inútil, porque a maioria dos sites vai ter porta 80 e talvez 443 aberto para http e https, mas não pode doer ter certeza. Por todos os meios olhar através de todas as opções nmap é uma ferramenta muito flexível. Você pode fazer isso com:


nmap --help

Existem muitas versões desta ferramenta também. Zenmap é nmap mas com um gui sobre ele, mas eu sugiro nmap para que você possa entender como tudo funciona. O nmap também pode ser usado para procurar por portas abertas em um site .onion. lembre-se de não colocar um http: // no comando.


Para exploração remota, o nmap é uma ótima ferramenta, mas você precisará de mais. Outra ótima ferramenta é nikto. Esta é uma ferramenta de análise de sites que automatiza varreduras de sites fáceis e simples. Ele é baseado na linguagem perl, mas tenho certeza de que existem muitas versões por aí. Para instalar o nikto se você estiver usando um sistema operacional baseado no Debian, você pode simplesmente digitar

sudo apt-get instala nikto

Bem simples. Você pode executar o nikto digitando:

nikto -h X.X.X.X -o Name_of_File

O -h significa host. Então você coloca o ipaddress do host ou apenas a url da página da web. -o significa saída. Ele irá gravar tudo no arquivo e salvá-lo no seu diretório pessoal. Nikto é ótimo para determinar em que tipo de servidor a página está sendo executada e ainda melhor para encontrar injeções de sql e vulnerabilidades de XSS (que serão discutidas mais adiante). A desvantagem do nikto é que ele pode mostrar vulnerabilidades que não são tão fáceis de explorar como uma vulnerabilidade do xss, mesmo que a página da Web não tenha campos de texto.


Tor pode ser usado com o nikto para que sua digitalização seja anônima. Isso só pode (AFAIK) ser feito com proxychains4. Proxychains4 não está em nenhum repositório, então você precisará instalá-lo a partir de sua página github.


E finalmente temos skipfish. É outra ferramenta de análise de páginas da web, como a nikto. Mas a saída é uma página da Web bem organizada. Isso é ótimo para compartilhar os resultados de uma verificação. Na minha opinião, não é melhor que nikto. Mas se você estiver trabalhando em equipe, será útil hospedar um site da darknet e compartilhar a verificação com outras pessoas. Você pode instalar o skipfish em uma página do github, mas, novamente, se você estiver usando um sistema baseado no Debian, você pode usar o apt-get ou apenas o apt para instalar:

apt-get install skipfish

Depois de instalá-lo em seu sistema, você pode ativá-lo digitando 'skipfish' em um terminal. Se você fizer isso, você deve receber um aviso dizendo que você não especificou um servidor para escanear. Para ver todas as opções do skipfish, digite:

skipfish - ajuda

Isso deve mostrar muitas opções e mostrar a sintaxe básica da ferramenta. Skipfish é ótimo porque o scanner por si só pode não ser melhor que nikto, mas tem muito mais funcionalidade, por exemplo, você pode usar skipfish para autenticar via http, você pode usar para rastrear uma página da Web e especificar o quão profundo você precisa ir, usar ataques de dicionário, etc


Para usar geralmente skipfish você precisa de muito tempo porque a varredura demora muito tempo. Para iniciar uma varredura geral, o comando é:

skipfish -o / caminho / para / pasta X.X.X.X

Novamente -o significa saída e você precisa especificar uma pasta para armazenar os arquivos de imagem e html que ela cria. Em seguida, especifique uma página da web. Se as portas 80, 8080 e 443 estiverem abertas no servidor (verifique com o nmap), talvez você queira especificar uma porta, por exemplo:

skipfish-o / caminho / para / pasta X.X.X.X: PP

Quando a varredura estiver concluída, você terá uma pasta com uma tonelada de arquivos de imagem e arquivos html. Se você quiser ver os resultados rapidamente, você pode hospedá-los localmente com python:

sudo python -m SimpleHTTPServer 80

Certifique-se de fazer o cd na pasta com os resultados do skipfish antes de executar este comando. Além disso, obviamente, certifique-se de que um firewall não está bloqueando o tráfego de entrada na porta 80. A partir daí, abra um web br
Enviar feedback
Histórico
Salvas
Comunidade

owser e vá para "localhost" se tudo estiver correto, você será capaz de ver seus resultados da varredura organizada por gravidade. Se você quiser compartilhar isto via tor apenas edite seu arquivo / etc / tor / torrc. Mas você provavelmente deve certificar-se de que você não está usando python para hospedá-los usar nginx. Fique longe do apache.


Também pensei que isso seria uma coisa muito boa para adicionar. Existem algumas maneiras de se manter anônimo com a varredura, roteando o tráfego através do tor. Existem algumas ferramentas que você pode usar. Lembre-se que o tor usa somente conexões TCP e somente as digitalizações usando tcp funcionarão. Eu não vou estar indo sobre as ferramentas, mas você precisa também procurá-los e se familiarizar com cada um. As ferramentas são torsocks proxychains e proxychains4

Read More

Hacking

Hacking

Por definição, hacker é o indivíduo que se dedica, com intensidade incomum, a conhecer e modificar os aspectos mais internos de dispositivos, programas e redes de computadores. Por consequência, um hacker tem um grande poder em mãos, e é isso que desperta o fascínio e o desejo de muitos por se tornar um hacker.

​Você provavelmente chegou nesta página por essa razão. Aqui, tentarei dar um rumo para aqueles que querem se iniciar nesse mundo, mas se veem perdidos e sem orientação de por onde começar, e orientar os que ainda têm uma visão distorcida do que um hacker realmente é.

De início, saiba que um hacker pode trabalhar em inúmeras áreas dentro da própria computação, tais como segurança de dados, forense, phreaking, vulnerabilidades web, auditoria, entre outras. A ação de um hacker vai muito além de invadir um Facebook, e se esse é todo seu objetivo, digo que estudar hacking será, para você, uma perda de tempo, ainda mais se você acha que conseguirá isso de forma fácil.

Frequentemente vemos notícias de ações gloriosas de hackers, como boicotes a sites importantes e invasões em perfis de celebridades. O que muitos não sabem, é que tais ações são apenas o ápice de um processo que demandou horas de estudo, experiências próprias, fracassos e inúmeras pesquisas, muitas das quais acabaram por se mostrar improdutivas. Se você realmente quer entrar nesse mundo, é necessário primeiro ter ciência disso e estar preparado para correr atrás desse objetivo sozinho. A não ser que pague um instrutor, ninguém irá lhe entregar algo de bandeja, até por que pessoas habilitadas a isso tem ocupações mais importantes.

Se você ainda continua lendo, é por que entendeu o desafio que há por vir e está disposto a enfrenta-lo. Antes de “colocar a mão na massa”, é necessário que você primeiro entenda como um hacker pensa.

Não há uma maneira única e 100% funcional de se fazer algo, especialmente se estivermos nos referindo a burlar algum sistema. Por isso, o hacker precisa, antes de tudo, ser capaz de procurar e encontrar essas maneiras, ter espírito investigativo. Vale lembrar que isso não se aplica apenas na informática, mas em qualquer outra situação. Pensar em formas diferentes de se burlar algo, encontrando falhas de segurança em um sistema talvez seja um bom exercício.

Em seguida, é o momento de começar a realmente se iniciar no mundo hacker. Felizmente, existem diversos livros que dão uma noção geral de todas as áreas do hacking (deixarei esses livros ao final do post). Tais leituras lhe ajudarão a compreender como ataques são feitos, como evita-los, e também lhe darão um bom vocabulário sobre o tema, que será útil mais adiante.

Durante todo esse processo, nunca deixe de pesquisar outras fontes, testar recursos e realizar experiências. A maioria desses materiais também apresenta exemplos de ataques em ambientes controlados. Procure reproduzi-los, verifique em quais condições eles acontecem e não tenha receio de procurar essas mesmas condições em sites reais.

Não se esqueça também da engenharia social, que é algo importantíssimo quando lidamos, além da computação, com o fator humano. Existem vários livros sobre o assunto, entre eles, A Arte de Enganar, do famoso hacker Kevin Mitnick.

A partir desse ponto, você já estará apto a entender a maioria dos ataques, e quando alguém lhe sugerir uma situação, já conseguirá criar mentalmente as estratégias para realiza-la. Mas lhe faltará prática, afinal até então você apenas se utilizou das ferramentas que lhe foram fornecidas, a maioria das quais já estão ultrapassadas.

Este é o momento de escolher uma área (ou várias) com a qual tenha maior afinidade e se aprofundar. Procure por materiais mais técnicos (e talvez em outro idioma). Deste ponto em diante, terá de trabalhar com exploits e ferramentas dedicados ao público experiente, e não mais para iniciantes. Provavelmente, será preciso talvez desenvolver as suas próprias ferramentas, ou modificar as de terceiros.

É aí que entender programação se torna crucial. Então, tire um tempo de seu estudo para estudar lógica de programação e aprender o básico de alguma linguagem de alto nível, como Python. Isso não será difícil e lhe dará uma base para, quando necessário, se aprofundar em alguma outra linguagem mais específica, dependendo da área em que escolher. Por exemplo, se trabalha com web, provavelmente precisará de Perl ou alguma linguagem de servidor. Se seu foco é software, C e Assembly serão necessários.

Ao final desse processo, você finalmente estará apto para se considerar um hacker. Caso queira levar seu novo hobby a sério, poderá trabalhar formalmente na área, seja prestando consultoria para empresas, testando sistemas que deveriam ser seguros ou trabalhando com computação forense.

Livros: os links serão disponibilizados em breve.

Read More