Executando verificação de segurança...

1 min de leitura ·

Vendedores de curso conseguiram gourmetizar ate a segurança da informação.

Recentemente, me deparei com um anúncio intrigante no YouTube. Bruno Fraga, o criador do curso 'Técnicas de Invasão', lançou uma ferramenta chamada HI SPY, que promete a capacidade de 'Espionar Dispositivos e Investigar Pessoas com Apenas Um Clique'. A promessa sensacionalista, por si só, já levanta algumas questões. Após adquirir e examinar minuciosamente a ferramenta, percebi que se trata simplesmente de uma página que permite a criação de links para capturar informações enviadas pelo header do navegador.

A ferramena promete capturar as seguintes informações:

"RASTREIO DE LOCALIZAÇÃO GPS",
"DESCOBERTA DE IP E PORTA",
"CAPTURA DE WEBCAM E CÂMERA",
"CAPTURA DE DADOS DO DISPOSITIVO",
"RELATÓRIOS DE ACESSOS",
"INVESTIGAÇÃO ATIVA 24/7"<

Os dados que a ferramenta realmente fornece incluem o IP e a porta utilizada para acessar o link (geralmente 80 ou 443), o User Agent e a localização. A ferramenta é vendida por 38,68 por mês. A questão que se coloca é se é ético prometer 'Espionar Dispositivos e Investigar Pessoas com Apenas Um Clique' e, na prática, entregar o mesmo que o site IPLogger oferece gratuitamente ?

Promessas onde você se tornara um hacker investigador de sucesso e podera trabalhar ate mesmo com a policia e advgoados não parece coisa de filme ?

Opa. Bruno Fraga aqui.

Acredito que todos aqui estão engajados com o crescimento do online e entendem a necessidade de investigar neste meio.

Desde 2021, notei um aumento significativo nas mensagens que recebo, com uma demanda crescente por criação de ambientes para captura de IP/PORTA/ASN (usado em inquéritos criminais), localização e outras informações.

Muitas dessas solicitações vêm de policiais, autoridades, investigadores e até pessoas que querem ter dados para fazer um boletim de ocorrência.

Já prestei inúmeros serviços para essas pessoas, o que me levou à criação do HI SPY, uma ferramenta que automatiza o trabalho manual que eu realizava.

Inclusive durante a live de lançamento, fui transparente sobre a natureza e a funcionalidade do HI SPY.

Na Live também mostrei como eu criava os ambientes de captura, com softwares open source/free (seeker, saychesse, ngrok, servidores…), sem custo algum. Enfatizando que ele serve para automatizar processos que eu, pessoalmente, executava e cobrava.

Link da Live de lançamento: https://www.youtube.com/live/KkWoiET-5Ew

Hoje, várias autoridades utilizam o HI SPY e têm alcançado resultados positivos com a ferramenta.

Quero muito realizar uma outra Live com alguns policiais e autoridades da SSP para compartilhar com vocês como tem contribuído para a segurança pública.

Agora sobre o que disseram de ESPIONAR E INVESTIGAR… Vamos aos significados:

Espionar = observar secretamente as ações ou obter informações de alguém ou algo, geralmente para obter uma vantagem.

Investigar = examinar ou pesquisar detalhadamente para descobrir informações ou esclarecer detalhes sobre algo específico.

HI SPY é projetado para espionar e investigar, capturando IP, PORTA, ASN, geolocalização do hardware e outros dados de forma eficiente com domains lookalike. É bem diferente de um "ip logger" como escreveram aqui.

Agora, se você considera essa captura uma coisa "simples" e óbvia, então o HI SPY não é para você e você nem precisa dele.

Em relação às questões jurídicas, o HI SPY não foi projetado para ter validade legal (ainda). É uma ferramenta não intrusiva, destinada à coleta de dados para a produção de conhecimento em inteligência investigativa e policial, podendo auxiliar as instituições policiais durante investigações e na produção de provas - respeitando a legislação.

Tenho meus princípios de vida e objetivos bem definidos. Trabalho todos os dias para me aprimorar e crescer, e continuarei nesse caminho.

Criei minha conta hoje no Tabews, espero aprender bastante por aqui e contribuir também.

🎩

Eu sou de infra de TI e muita coisa como essa é bem zuada pois na maioria dos casos essas informações não servem de nada, para que IP e porta se o ip é gerado via DHCP e muda constantemente e por padrão as portas de todos os firewalls são fechadas para trafegos de entrada.

Quem quer ser hacker de verdade e poder contribuir nesse nível precisa estudar a fundo, não curso de 6 meses. Para se tornar um hacker nesse nível precisa ter conheicimento técnico e experiencia.

Comprar uma serra não lhe faz um carpinteiro e sim estudar como funciona arquitetura e engenharia assim você poderá fazer o design de móveis bonitos e resistentes, além da experiencia os primeiros moveis que fizer o corte não será muito bom, pode ficar algumas rebarbas desapercebidas, o verniz pode ter sido aplicado em excesso ou em falta.

Tudo no mundo depende de tempo, conhecimento e experiencia.

Autor

Exatamente, umas das coisas que mais me deixam inignado e que ele vende o curso afirmando que trabalha junto com a policia em investigações kk, vendendo literalmente dados do header do navegador...

Você deve ser de T.I mesmo, T.I que não entende nada de (ISP)!
Eu te aconselho a seguir o seu proprio conselho, estude a fundo, mas fundo mesmo, porque saber que na INTERNET as comunicações depende de IP + Porta ( ipv4 e ipv6 ) é o basico de um profissinal NOC.
Pra começar a entender, pesquise BRAs ou BNG, CGNAT, como caixas A10 por exemplo, vai enteder o uso de ip+porta para ISP em log.
Alias pelo nivel de conhecimento que escreveu ai de redes, ipv6 deve ser algo do outro mundo pra voce inclusive, entao nem adinta indicar esse agora.

Abraços.

Um adendo: obter o IP de uma pessoa tem sim finalidade. Todo acesso a internet é logado pela provedora de internet, isso é obrigatório por lei. Se a polícia tem o IP de uma pessoa e um mandado judicial, ela pode pedir para a provedora entregar os dados da pessoa que estava usando o IP X na hora Y.

Agora se você está pensando em uma mentalidade de "justiça com as próprias mãos", aí a utilidade é baixa mesmo. Embora, vale mencionar, que roteadores podem ter falhas de segurança também.

Autor

VPN, PROXY e etc resolveriam este problema.

Primeiro que isso não é um "problema", é uma solução. Ou você gosta de criminosos saiam impunes?

Segundo que não, não "resolvem". O que te faz achar que a empresa que tá fornecendo a VPN ou o proxy vai manter segredo dos dados de alguém se a polícia solicitar eles? São só mais servidores registrando logs da atividade criminosa do "cidadão".

Na verdade nenhuma dessas soluções resolvem o problema mais fácil, é só criar uma conta na linode com um CPF gerado no 4devs e colocar um cartão clonado em nome de laranja.

A não ser q o bandido seja burro ou inexperiente esses cursos serviriam para algo.

Por que vocês estão falando como se a polícia conseguir rastrear um criminoso fosse um "problema"???????????

Gente, é exatamente o contrário. Se não conseguirem isso é um problema.

E investigação criminal vai muito mais a fundo do que isso. Não, usar cartão de laranja não seria suficiente para evitar que a polícia encontre o criminoso.

Sugiro pesquisarem sobre análise forense. É muito mais difícil evitar deixar rastros do que vocês pensam. 🤦

Por isso que mesmo ele vendendo esse HI Spy ai eu não compro. Ainda vendem com acesso limitado como se fosse a coisa mais legal do mundo mas é apenas uma ferramenta como qualquer outra.

Autor

O problema não se limita apenas ao HI Spy, mas também à comercialização do campo de segurança como algo simplificado. A ideia de que em apenas seis meses de estudos é possível auxiliar advogados, investigadores e até mesmo a polícia é enganadora. Os cursos disponíveis nesse contexto muitas vezes não oferecem conteúdo significativo além de meras aulas que ensinam a executar um punhado de comandos. Essas aulas não se aprofundam na explicação do funcionamento desses comandos, nem no motivo pelo qual são eficazes. Em vez disso, os alunos apenas aprendem a repetir sequências de ações sem compreender o porquê por trás delas.

OP concordo totalmente, e como ja trampo com S.I. (appsec) desde 2016 acredito que eu possa afirmar que o cara realmente vende uma ilusão.

Mas cada dia que passa os caras ficam mais carudos msm, prometendo o trigo e entregando o joio, basicamente ensinando os entusiastas a apertarem botões em uma interface.

Mas o foda msm é que o mercado sabe reconhecer e filtrar esses "profissionais instantâneos".

Primeiro vamos por os pingos nos Is, porque para mim isso é importante: a ferramenta faz o que ela diz que faz sim. Só que demanda uso de JavaScript e que o usuário autorize o acesso a geolocalização, câmera etc. Um leigo cairia nessa. Na verdade deixa eu corrigir minha frase: leigos caem nessa todo santo dia.

Dito isso. Esse problema na área de segurança está longe de ser novidade. Vejo relatos de gente reclamando disso desde, pelo menos, os anos 2000. Só o que mudou é que o YouTube aumentou o alcance dessa galera.

E por mais que eu goste de ofender o cidadão mencionado no post, ele não é o problema. O problema é muito maior:

90% da galera que eu vejo falando de segurança na internet, não entende absolutamente nada de segurança. Nunca nem sequer trabalhou na área (igual o carinha mencionado no post).
Entre os outros 10%, 90% entende algo de segurança e até trabalha na área. Mas o conteúdo que compartilha na internet é lixo porque o cara só quer like e atenção. Ou publica conteúdo "reclicado" (algo que todo mundo repete igual papagaio) ou, pior do que isso, começa a falar de áreas mais "avançadas" só para fingir que entende do assunto.

Igual já vi um carinha uma vez falando de exploração de binários no LinkedIn, usando conteúdo gerado pelo ChatGPT que estava ridiculamente errado. Detalhe: o cara trabalha na área de segurança desde 2011 (segundo ele).

Então o verdadeiro problema não é um vendedor de curso aqui ou ali, é todo mundo querendo publicar qualquer bosta de conteúdo para ganhos próprios por um simples motivo: FUNCIONA!

A galera gosta, compartilha, recomenda para os amigos. Se alguém falar mal do conteúdo, a galera vem defender com unhas e dentes... Funciona! As pessoas gostam de conteúdo lixo.

Esse é o problema. As pessoas precisam ser educadas para questionar, duvidar do que as pessoas falam. Enquanto continuarem aceitando qualquer conteúdo lixo e acreditando nele, vai ter gente assim se aproveitando disso ao seu favor.

Isso não acontece só na segurança. Já cansei de ver isso em programação, finanças etc. Estão fazendo isso em toda área, porque funciona.

E o problema não é só com "YouTuber" ou "curso". Tem muito livro com conteúdo ruim, tem muito professor de faculdade compartilhando conteúdo ruim. Já vi um, por exemplo, que dizia ter mais de 30 anos de experiência e que escreveu 2 livros sobre linguagem C. Acontece que eu já vi o nível de conhecimento dele na linguagem, e é o nível técnico que eu esperaria de um iniciante. Alguém com uns 6 meses de experiência, no máximo.

E sabe qual é a pior parte desse problema? As pessoas que consomem conteúdo lixo não sabem que estão fazendo isso. Quantas vezes eu não já vi gente reclamando de cursos como o do cidação mencionado no post, mas que consumiam outros conteúdos tão lixo quanto...

Quantas vezes eu não já vi programador reclamando de conteúdo ruim no YouTube, mas que era fã do professor que eu mencionei há pouco...

Enfim. Sonho com o dia que as pessoas irão descobrir que computação é uma área de exatas e que conceitos técnicos não devem ser aprendidos ou discutidos com base em emoções. Mas é só isso mesmo, um sonho... 🤦

Autor

"a ferramenta faz o que ela diz que faz sim", "Espionar Dispositivos e Investigar Pessoas com Apenas Um Clique", a ferramenta não espiona dispositivos e nem investiga pessoas com um clique o suposto criminoso apenas utilizando uma VPN ou Proxy mais simples que seja inutilizaria todos os dados coletados pela ferramenta, tornando a ferramenta inutil.

Assim como uma máscara inutiliza uma câmera de segurança. Por causa disso podemos dizer que câmeras de segurança são inúteis?

Olha, eu não pagaria por essa ferramenta jamais porque qualquer programador consegue, com muita facilidade, fazer um JavaScript equivalente sem pagar nenhum centavo.

Mas isso não significa que obter dados de um criminoso seja inútil.

Autor

"obter dados de um criminoso seja inútil", imagine que você e um investigador, compra o produto e agora acha que tem o poder de espionar qualquer pessoa com um clique, se o criminoso utilizar o 4G do celular o investigador vai ter dados do header e um ipv6 inutil, você deve ter uma noção de quanto tempo demora para ser emitido toda a papelada para a operadora entregar os dados do portador do cartão SIM utilizando aquele ipv6 no momento, você acha mesmo certo ele fazer horas e horas de aulas não mostrando nada mas apenas prometendo que com o HI Spy você se tornara um hacker investigador de sucesso, que o tal dono do curso reuniu suas mais valiosas tecnicas e ferramentas fodasticas em um so lugar.

Se torne um hacker etico, mas isso e etico ?

Cara, qual parte de que eu não gosto desse cara você não entendeu? Eu não estou dizendo que o que ele faz é certo. Já fiz dois posts no TabNews afirmando o exato oposto:

Fora os vários outros posts que eu fiz fora do TabNews.

Então já que você não entendeu o que eu estou dizendo, eu vou repetir: obter dados de um criminoso é útil. Não para você que não vai poder fazer nada com isso, mas para a PF é.

"Demora"? Sim, brother. Tudo no Brasil demora, burocracia do caramba. Mas é isso ou fazer nada. Qual você acha que é melhor? Ficar assistindo o cybercrime de boca aberta e babando, ou tentar obter dados do criminoso para poder começar um processo lento e burocrático para poder incriminá-lo?

E vale mencionar uma coisa: é "lento" no Brasil. Se você cometer um crime contra uma empresa do USA, é o USA que vai te investigar e não o Brasil. Daí você vai ter um gostinho de como é uma investigação rápida.

Autor

"Qual parte de que eu não gosto desse cara você não entendeu?", eu entendi a unica coisa que discordei foi "a ferramenta faz o que ela diz que faz sim" porque ela não entrega oque promete :/ "Espionar Dispositivos e Investigar Pessoas com Apenas Um Clique"

Só que isso não é uma promessa, é um merchant. Olha, não vejo porque eu precisaria explicar o que você mesmo disse. Na dúvida, apenas releia o que você escreveu no post e compare entre: o que você disse que a ferramenta faz e o que ela realmente faz. E me diga se está coerente ou se é uma alegação justa.

Você tem uma visão muito romantizada de que basta usar VPN e pronto, "impossível te rastrearem". Cara, já que você tem interesse em segurança da informação eu sugiro que você estude sobre análise forense.

Só quem diz que VPN te deixa "anônimo" são as empresas que vendem VPN e as pessoas que são patrocinadas por essas empresas. Isso não é verdade, cara. Se fosse fácil assim a gente nunca veria notícias de cybercriminosos sendo presos.

Eu até gostaria de te explicar como cybercriminosos realmente fazem para evitar serem rastreados pela polícia (que não é contratando os serviços de uma VPN ou proxy), mas o jeito que você fala é muito suspeito e fico em dúvida sobre sua índole. Com todo o respeito.

E detalhe, se cybercriminosos são raramente presos no Brasil não é porque eles usam VPN. É porque o governo do Brasil ainda é muito imcompetente na área de segurança da informação. Mas vai um criminoso fazer merda no USA usando VPN para ver se ele não se fode...

Autor

"Você tem uma visão muito romantizada de que basta usar VPN e pronto", cara a questão não e ter uma visão romantizada e sim entender que o criminoso não esta sendo investigado pela policia, e sim por um cidadão comum iludido pelo tal professor kkkk.

Mas não foi isso que você afirmou. E você sabe muito bem que sua afirmação não tem relação nenhuma com o curso ou ferramenta desse tal sujeito.

Cara o bruno fraga ja é antigo na net, ele sempre aparece vendendo ou curso ou enganando o pessoal que é besta mesmo. uma vez eu nem paguei esses cursos dele e conseguir acesso e o curso era uma porcaria. na moral.