quarta-feira, 20 de janeiro de 2010

invasão no orkut

Como é que os Hackers invadem E-mail, Orkut e MSN?
Como eu descubro a senha do orkut, msn, email de uma pessoa?
 
Não existem fórmulas mágicas para realizar tais feitos, existem sim brechas a serem exploradas! Achar que é possível entrar em servidores e descobrir senhas é uma ilusão para poucos, a chave para pobres mortais como nós são pequenas ferramentas e modos de ação.
Engenharia Social é um método utilizado para obter acesso à informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o ‘engenheiro’ pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada empresa ou área.
O engenheiro social não descobre senhas, ele induz a pessoa que as possui a entregá-las de bandeja. Ex: Ligue para uma empresa, de preferência para um funcionário novato dizendo que você é responsável pela segurança da empresa e que precisa de sua senha de acesso para resolver algum problema criado por ele. O funcionário com medo de ser punido por algo que fez de errado, entrega as senhas a uma pessoa que ele nunca viu na vida sem pensar duas vezes.

O engenheiro social pode atuar disfarçado como uma brecha do sistema. Já observei várias dicas na web de como roubar perfis do orkut. Na dica, a pessoa que deseja explorar uma falha do orkut, deve enviar para um email do google um código onde estão informações sobre a conta da pessoa que ela deseja hackear, mais as suas informações de login e senha para que possa receber os dados roubados. O que a pessoa não sabe é que o email não é do Google ou do Orkut e que ela acaba de enviar seus dados para alguma outra pessoa mal intencionada, no caso, um esperto engenheiro social.

Uma dica interessante é utilizar o famoso recurso esqueci minha senha onde a pessoa preenche formulários com informações pessoais e recebe uma nova senha de acesso ou permite a entrada no sistema para realizar a troca da mesma. Se você não conhece bem a pessoa atacada, pode levantar informações sobre ela para preencher os formulários simplesmente visitando o Orkut ou a página pessoal da vítima, hoje em dia é incrível como as pessoas expõem tanto suas informações pessoais.

Brute Force é a técnica que consiste em usar força bruta para invadir contas de email ou servidores. Utilizando programas de brute force, é possível testar automaticamente combinações de logins e senhas aleatórias em uma conta de email ou orkut até o programa encontrar a combinação correta.

Esta técnica além de muito demorada, pode ser falha, pois o programa pode levar meses testando todas as combinações possíveis e dependendo dos caracteres usados no login e na senha, nunca descobrir a combinação correta.

Hackers alemães descobriram chaves de ativação válidas do Windows Vista usando ataques de brute force a servidores de validação da Microsoft a poucas semanas. Neste site, existe um programa de brute force que eu já utilizei algumas vezes.

Ataques por Trojans-Horses (Cavalos de Tróia) ou simplesmente Trojans são programas recebidos como verdadeiros presentes de Grego, uma alusão ao cavalo de madeira dado de presente aos troianos que tinha o objetivo real de invadir as suas fortalezas. Portanto os Trojans são softwares criados com o intuito de dar acesso não autorizado a máquina da vítima, normalmente vêm disfarçados de programinhas úteis ou com títulos apelativos para induzir a sua execução.

Para permitir acesso a máquina da vítima é necessário que o software(o Trojan) abra uma conexão(porta) e fique em estado de alerta esperando a conexão do invasor. Eles rodam em background de forma totalmente furtiva e difícil detecção por usuários leigos. Um dos Trojans mais populares, apesar de antigo, é o NetBus, que permite que o invasor brinque com a máquina invadida, abrindo drives de cd, escrevendo mensagens na tela e roubando dados como logins e senhas.

Os sniffers são programas que, como o próprio nome diz, “farejam”o que passa pela rede. Eles são usados freqüentemente por administradores de rede para identificarem pacotes estranhos “passeando” pela rede ou por pessoas má intencionadas para tentar descobrir informações importantes, especialmente senhas.