Oliveira Lima

Como costumo dizer: não simule a ameaça — seja a ameaça. Para isso, precisamos de certas doses de OPSEC para preparar os times defensores a lidarem com ameaças que estão realmente prontas para tal. Falaremos sobre por que, muitas vezes, os operadores são detectados — não por azar, mas simplesmente por não se atentarem à forma como suas ações são executadas. Desde o exemplo simples do operador que utiliza um equipamento com setup em VMs, usando orquestradores como Proxmox. Será que os operadores sabem que, dependendo de como suas redes estão configuradas, ao obter acesso à rede interna durante um pedido DHCP, o pacote pode enviar um “banner” gigante chamado Proxmox? Ou que, dependendo da configuração de rede do setup, pacotes do protocolo mDNS/Bonjour em broadcast podem denunciar a presença do operador? Levarei também diversas outras situações vividas ao longo de anos de operações de Red Team no Brasil e no mundo, além de exemplos técnicos e casos apresentados em conferências.