Marco Aurélio Thompson
Curso de Hacker Recuperação de Contas de e-Mail 2ª Edição (Curso de Invasão de e-Mail para fins de Segurança)
Editora do Autor www.editoradoautor.com.br 2015
Copyright © 2012-2015 da ABSI – Associação Brasileira de Segurança na Internet Thompson, Marco Aurélio Curso de Invasão de e-Mail para fins de Segurança / Marco Aurélio Thompson. — 2. ed. — Salvador: ABSI -Associação Brasileira de Segurança na Internet, 2015.
ISBN: 978-85-98941-31-8
1. Computadores - Segurança 2. Hackers de computadores 3. Internet (Rede de computadores) 4. Redes de computadores - Medidas de segurança I. Título
Índices para catálogo sistemático: 1. Internet: Invasões: Medidas de Segurança: Ciência da computação 005.8 2. Invasões: Internet: Medidas de Segurança: Ciência da computação 005.8
Todos os direitos reservados. Proibida a reprodução total ou parcial, por qualquer meio ou processo, sem autorização expressa do autor. A violação dos direitos autorais é punível como crime com pena de prisão e multa, conjuntamente com busca e apreensão e indenizações diversas (cf. Art. 184 e parágrafos do Código Penal, alterações da Lei 10.695/2003 e Lei 6.910/98, Lei dos Direitos Autorais). O autor e o editor acreditam que as informações aqui apresentadas estão corretas e podem ser utilizadas para qualquer fim legal. Entretanto, não existe qualquer garantia, explícita ou implícita, de que o uso de tais informações conduzirá sempre ao resultado desejado. Os nomes de sites e empresas porventura mencionados foram utilizados apenas para ilustrar os exemplos, não tendo vínculo nenhum com o livro, não garantindo sua existência nem divulgação. Eventuais erratas estarão disponíveis no site do autor (http://MarcoAurelio.Net). O autor também se coloca à disposição dos leitores para dirimir dúvidas e discutir ou aprofundar os assuntos aqui tratados, por qualquer meio de comunicação disponível.
Curso de Hacker: Editora do Autor: Prof. Marco Aurélio Thompson:
www.cursodehacker.com.br www.editoradoautor.com.br MarcoAurelio.Net professor@marcoaurelio.net
ADVERTÊNCIA As informações contidas nesta obra são fruto da experiência do autor e também das pesquisas realizadas na rede mundial de computadores (Internet) e consultas à Biblioteca Hacker da ABSI. É um livro para iniciantes nos estudos de segurança da informação e as explicações foram distribuídas entre instruções práticas e a teoria mínima necessária. Acreditamos que a divulgação das falhas de segurança das redes e da Internet é uma forma de contribuir para o aumento da segurança da informação. Não concordamos em pagar por produtos – softwares - e serviços tidos como experimentais, vendidos como produtos acabados, nos obrigando a pagar indefinidamente também pelas correções. Somos os Beta Testers da indústria de software e ainda pagamos por isso. Entendemos que as vulnerabilidades são falhas de produtos e serviços, cabendo aos fabricantes de software a responsabilidade pela correção. Hackers não fabricam sistemas operacionais e nem são funcionários dos fabricantes. Hackers não criam falhas, exploram as existentes. Hackers são agentes oportunistas, às vezes usados como bodes expiatórios para desviar o foco dos responsáveis que, na pressa em lançar novos produtos não realizam todos os testes necessários. O estudo das técnicas descritas nesta obra são exclusivamente para fins de pesquisa acadêmica, uso pessoal e/ou desenvolvimento profissional. O uso indevido destas informações pode infringir a legislação vigente e gerar consequências judiciais. Insistimos que você só reproduza os exemplos no ambiente controlado das máquinas virtuais ou em redes e computadores de sua propriedade, contas e IPs sob sua responsabilidade ou quando devidamente autorizado. Não nos responsabilizamos pelo mau uso destas informações. Se em alguma parte deste livro alguma frase, palavra, parágrafo, imagem ou expressão, sugerir o incentivo à prática de qualquer ato ilícito, por favor desconsidere a informação e entre em contato conosco para revisarmos o texto. Embora a Constituição Federal, em seu Artigo 5º, nos garanta a liberdade de expressão, não dá aos nossos clientes, alunos e leitores o direito de cometer atos ilícitos a partir das informações dos nossos livros. O direito ao saber não inclui o direito ao fazer. Todas as práticas poderão ser realizadas legalmente se você seguir nossas instruções. Em caso de dúvida para alguma situação não prevista no livro, por favor entre em contato conosco.
Prof. Marco Aurélio Thompson
Sobre o autor (Quem é esse cara?)
Marco Aurélio Thompson é hacker ético profissional e escritor. Atual presidente da Associação Brasileira de Segurança na Internet (ABSI), dirigente da Sociedade Brasileira de Educação para o Trabalho (SBET) (www.sbet.org,.br), diretor da Escola de Hackers (www.escoladehackers.com.br), escreve sobre hacking desde 2002 e é autor de mais de trinta livros relacionados à segurança da informação, o que o torna o maior escritor hacker do Brasil. Seus livros sobre Windows Server 2008 R2 e Windows Server 2012 R2 lançados pela Editora Érica-Saraiva, durante mais de dois anos foram os únicos disponíveis em português brasileiro. Aliás, em janeiro de 2015 ainda não havia registro na Biblioteca Nacional de livros sobre o Windows Server 2012 R2, o que só comprova seu vanguardismo. É graduado em Pedagogia (Licenciatura), pós-graduando em Psicopedagogia, acadêmico do Bacharelado em Sistemas de Informação, acadêmico do Bacharelado em Administração de Empresas e acadêmico da Licenciatura em Letras Vernáculas pela Universidade Salvador (UNIFACS).
“(...) porque pelo fruto se conhece a árvore.” Mateus 12.33
Hacker (pronúncia1) (Ing. /réquer/) s2g. 1. Inf. especialista em programas e sistemas de computador que, por conexão remota, invade outros sistemas computacionais, normalmente com objetivos ilícitos. [Algumas empresas contratam hackers para trabalhar na área de segurança.] [Cf. cracker.] Fonte: AULETE, Caldas. Aulete Digital: o dicionário da língua portuguesa na internet. Rio de Janeiro: Lexikon, 2014. Disponível em: <http://www.aulete.com.br/hacker>. Acesso em: 20 nov. 2014.
Hacker (definição clássica) [Ingl. , substantivo de agente do verbo to hack, ’dar golpes cortantes (para abrir caminho)’, anteriormente aplicado a programadores que trabalhavam por tentativa e erro.] Substantivo de dois gêneros. 1. Inform. Indivíduo hábil em descobrir falhas em sistemas de computação, podendo usar este conhecimento para o bem ou para o mal. Fonte: FERREIRA, AURÉLIO B. H. (Brasil). Novo Dicionário Eletrônico Aurélio versão 5.0. Curitiba: Positivo Informática Ltda., 2004.
1
O dicionário Michaelis também registra a pronúncia /réker/ grafando K em vez do QU conforme pode ser visto em http://michaelis.uol.com.br/moderno/portugues/index.php?lingua=portuguesportugues&palavra=hacker. Apesar de a pronúncia /ráker/ também estar correta nós optamos por usar /réker/ em nosso material.
Sobre o DVD-R que acompanha este livro
Este livro-curso na versão impressa é acompanhado de um caderno de exercícios e um DVD-R contendo:
Videoaulas de apoio ao texto e orientação para a realização das práticas descritas no caderno de exercícios.
Alguns brindes: outras videoaulas, revistas e livros em PDF, etc.
A maioria dos softwares citados no livro.
O DVD-R e o caderno de exercícios que acompanha este livro-curso é gratuito, parte integrante deste material, e não é vendido separadamente. Incluímos apenas vídeos, PDFs e softwares de nossa autoria ou que possuem algum tipo de autorização para distribuição gratuita, como as versões freeware, adware, opensource, shareware, demo(ware), trial(ware), crippleware, freemium, postcardware (cardware), careware, General Public License (GPL ou Licença Pública Geral), Creative Commons (CC), Domínio Público e similares. Não inclui sistemas operacionais, abandonwares ou softwares comerciais. Na elaboração deste livro optamos pelo uso das versões gratuitas dos softwares, mas algumas destas versões tem limitações e se na busca por resultados você necessitar da versão comercial da ferramenta (software), deverá adquiri-la diretamente com o fabricante. Não comercializamos nem distribuímos softwares que não sejam os autorizados. AVISO IMPORTANTE: A versão digital deste livro não inclui qualquer material extra, como as videoaulas ou o caderno de exercícios.
Sumário
Introdução Uma conversa franca antes de começar, 7 Capítulo 1: Por que aprender sobre invasão de e-Mail?, 18 Capítulo 2: Algumas verdades e mentiras sobre invasão de e-Mail, 28 Capítulo 3: POP3, SMTP, IMAP e o que isto tem a ver com invasão de e-Mail, 30 Capítulo 4: Criando um laboratório para a prática de recuperação de contas, 45 Capítulo 5: Conheça o ciclo de vida do e-Mail e decida por onde invadir, 57 Capítulo 6: Todas as técnicas de recuperação de contas para iniciantes, 62 Capítulo 7: Leia este capítulo se você ainda não consegue invadir, 65 Capítulo 8: Proteção contra invasão de e-Mail, 73 Conclusão: Encontrou o que procurava?, 83
Prof. Marco Aurélio Thompson Introdução
Uma conversa franca antes de começar Filtrando as mensagens de e-Mail que recebemos desde 2003 quando começamos com o Curso de Hacker, percebemos que o maior número de dúvidas e pedidos diz respeito à recuperação de contas de e-Mail, mais recentemente incluindo a recuperação de contas de redes sociais, o que acaba dando no mesmo, uma vez que o acesso à rede social é feito usando o e-Mail. Houve uma época em que as dúvidas sobre invasão de e-Mail perderam o primeiro lugar para os pedidos de programas geradores de crédito para celular. Se você acessa a Internet há pelo menos uns cinco anos talvez tenha procurado por este programa. Apesar das nossas mensagens de esclarecimento as pessoas continuaram procurando e levou tempo até aceitarem o fato de que estes geradores de crédito para celular nunca existiram e os que eram distribuídos ou não funcionavam ou eram trojans e vírus disfarçados. Finalmente nos deixaram em paz com estas perguntas. Mas percebemos que o mesmo equívoco está ocorrendo com a procura de informações sobre recuperação de contas de e-Mail e de redes sociais. Muitos acreditam que exista um tal programa que você informa o e-Mail e recebe de volta a senha. Se você acredita que tal programa existe e que vai encontrá-lo nesse livro ou em nossas videoaulas, pode parar a leitura por aqui para não perder tempo. Da mesma forma que provamos que os geradores de crédito para celular não existem, também estamos afirmando que não existe programa que revele a senha bastando informar o e-Mail ou endereço do site. Se tal programa existisse ninguém poderia ter uma conta de e-Mail ou em rede social. Incluindo algumas das pessoas mais influentes do mundo, como Barack Obama, Dilma Rousseff, até o Papa Francisco. Suas contas no Twitter®, respectivamente
professor@marcoaurelio.net
7
Recuperação de Contas de e-Mail – 2ª Edição @barackobama, @dilmabr e @pontifex, por exemplo, estão sujeitas às mesmas falhas de segurança da conta do @Zé_Mané_Sem_Seguidores. Estamos falando de coisa séria aqui. O e-Mail ainda é um importante canal de comunicação tanto entre pessoas como entre empresas. Até quem quase não envia mensagens por e-Mail, optando pelo WhatsApp®, Skype® ou pelas redes sociais, depende da conta de e-Mail para se inscrever nestes serviços. Uma falha tão absurda, do tipo que permitiria a um único programa receber a conta de e-Mail e devolver a senha, colocaria em risco a existência do próprio e-Mail e dos demais serviços que usam o e-Mail como identificação de usuário. Então o melhor a fazer para não se decepcionar e até mesmo para evitar sugerir que eu estou entregando menos que o prometido, vamos manter os pés no chão, aprender o que realmente funciona quando se trata de recuperação de contas de e-Mail e respeitar suas limitações de iniciante, incapaz, por enquanto, de utilizar ferramentas e sistemas operacionais que oferecem melhores resultados mas, em contrapartida, exigem mais experiência e conhecimento de quem pretende usá-los.
Afinal, existe ou não existe uma forma de recuperar contas de e-Mail e de redes sociais tomadas por invasores? Existe sim. O que não existe é o tal programa milagroso que muita gente procura e se decepciona com tudo que não trate deste programa imaginário. Também não existe uma forma única de recuperar senhas. No decorrer da leitura você vai aprender sobre o ciclo de vida do e-Mail e, entendendo isso, junto com as técnicas que descreveremos, será capaz de definir uma estratégia que considere dois aspectos importantes nesta recuperação: o seu conhecimento de informática e o nível de acesso que você possui, considerando o ciclo de vida do e-Mail. Porque uma coisa é a recuperação da conta ser feita por um leigo e outra é ser feita por um hacker experiente ou profissional de segurança da informação, um analista de
www.cursodehacker.com.br
8
Prof. Marco Aurélio Thompson vulnerabilidades, que saiba no mínimo usar o Kali Linux, o Metasploit, o Armitage, que participe de listas de segurança e comunidades - geralmente em inglês - onde se divulgam os Zero-Day Exploits. Este perfil de alguém muito bem preparado obviamente possui mais competência para recuperar contas do que um usuário pouco acima da média, acostumado apenas ao básico do Windows e a navegar na Internet. Este usuário leigo também é capaz de recuperar contas de e-Mail com a ajuda deste livro, mas não deve esperar o mesmo índice de sucesso de alguém que entenda profundamente sobre segurança da informação. Inclusive, se você quiser aumentar suas chances de recuperação de senhas, sugiro que assista ao nosso vídeo Como Ser Hacker, disponível no Youtube. A boa notícia é que a maioria das contas que as pessoas querem recuperar são contas fáceis, mal protegidas, podem ser facilmente recuperadas por usuários leigos com a ajuda deste livro. As contas melhor protegidas pertencem a usuários avançados e profissionais de segurança, gente que não precisa de um livro de iniciantes para ensinálos como recuperar senhas.
O que leva alguém a querer aprender invadir para recuperar contas de e-Mail? Baseado em nossa experiência e atendimento aos alunos e clientes da Escola de Hackers e do Curso de Hacker, conseguimos identificar dez motivadores que levam alguém a procurar informações sobre invasão e recuperação de contas de e-Mail:
MOTIVADOR 1: PASSIONAL Maridos, esposas, namorado(a)s, amantes, companheiro(a)s, perseguidores e todo aquele que, movido por ciúme ou paixão, deseja ter acesso ao e-Mail ou rede social do outro. A intenção costuma ser vingança pelo fim do relacionamento ou para coletar evidências de traição. Não custa lembrar que provas de traição obtidas de forma ilícita não são aceitas em processos judiciais.
professor@marcoaurelio.net
9
Recuperação de Contas de e-Mail – 2ª Edição MOTIVADOR 2: GOLPISTAS E ESTELIONATÁRIOS Bastante grande é o número de invasores cuja intenção é obter proveito financeiro aplicando golpes por e-Mail. O golpe pode ser o sequestro da conta que será devolvida mediante o pagamento de resgate ou chantagear a pessoa, quando encontram mensagens ou arquivos comprometedores, como ocorreu com a atriz Carolina Dieckmann, invadida em 2012 por dois desocupados.
MOTIVADOR 3: ESTUDANTES PREGUIÇOSOS Principalmente em época de provas recebemos muitas mensagens de estudantes querendo entrar na conta do(a) professor(a) ou no sistema da escola ou da faculdade, em uma tentativa desesperada de reverter uma nota baixa ou reprovação iminente.
10
MOTIVADOR 4: PESSOAS EM BUSCA DE VINGANÇA Também identificamos pessoas buscando vingança através da invasão da conta de eMail ou da rede social. Os casos mais comuns são de pessoas demitidas querendo se vingar da empresa ou do chefe. O outro caso bastante comum é de pessoas que sofreram bullying ou foram caluniadas em blogs e redes sociais e querem dar o troco ou invadir para apagar as mensagens ou arquivos desabonadores.
MOTIVADOR 5: DESOCUPADOS, BADERNEIROS E PESSOAS COM BAIXA AUTOESTIMA EM BUSCA DE STATUS Há também o grupo de desocupados e baderneiros cujo único propósito é o invadir por invadir, quem quer que seja, apenas pela diversão. Entre os desocupados e baderneiros é comum ter pessoas com baixa autoestima que esperam ter mais status entre os seus pares, após invadir algumas contas.
www.cursodehacker.com.br
Prof. Marco Aurélio Thompson MOTIVADOR 6: ESPIONAGEM POLÍTICA, CORPORATIVA E GOVERNAMENTAL Não pensem que a invasão de contas de e-Mail se restringe ao cidadão comum. Diariamente políticos, empresários e governantes estão sujeitos a terem suas contas invadidas. Muitos sequer suspeitam que são monitorados, pois o invasor espião lê e copia as mensagens, mas não altera a senha e nem deixa rastros, dando a impressão de que a conta está normal e tem privacidade. Durante alguns anos trabalhamos com assessoramento de campanhas eleitorais e marketing político. Convivemos por longos períodos com políticos e suas famílias durante as campanhas. E o que fica claro desde o início é o grande despreparo da classe política em geral, para lidar com a tecnologia da informação. Estes cidadãos, detentores do poder de legislar e decidir nossas vidas, estão entre os mais suscetíveis a terem suas contas invadidas. A espionagem governamental denunciada pelo site WikiLeaks não nos causou nenhuma estranheza, pois conhecermos a precária relação do empresariado e da classe política com a segurança da informação. Este assunto ganhou destaque após as revelações feitas pelo ativista Julian Assange no site WikiLeaks. Se não fosse pela traição do ex-analista do Exército, Bradley Manning que cedeu documentos secretos ao WikiLeaks, nossa presidente estaria até hoje sendo espionada sem suspeitar disso. Se é que ainda não está.
MOTIVADOR 7: ATAQUES A CONCORRÊNCIA Na disputa por mercados constatamos o interesse de algumas empresas e/ou funcionários interessados em invadir sites, contas e redes sociais da concorrência. Os motivos variam entre prever ações, saber sobre campanhas em andamento, obter lista de clientes, fornecedores, relatórios financeiros, fórmulas industriais e sabotagem. Imagine uma grande rede de eletroeletrônicos prestes a lançar uma campanha promocional de smartphones ou notebooks, ver a concorrência lançar a mesma campanha um dia antes. Quem vai passar a imagem de ter copiado de quem?
professor@marcoaurelio.net
11
Recuperação de Contas de e-Mail – 2ª Edição MOTIVADOR 8: PAIS PREOCUPADOS COM A PRESENÇA ONLINE DE SEUS FILHOS Cada vez mais sabemos pelo noticiário sobre jovens que fogem de casa ou são aliciados, após combinarem tudo pela Internet. Apesar de o mundo estar cada vez mais conectado, quase que não existe mais diálogo entre pais e filhos. Talvez esteja aí o motivo pelo qual muitos pais nos procuram querendo entrar na conta de e-Mail e nas redes sociais de seus filhos, na esperança de que, monitorando-os, consigam conhecê-los, entendê-los e prevenir algum comportamento indesejado, como envolvimento com drogas, aliciamento ou plano de fuga. Infelizmente muitos nos procuram quando o pior já aconteceu, o filho ou filha já fugiu de casa ou se envolveu em confusão, e a única chance de descobrir a verdade ou paradeiro é acessando a conta. Nos solidarizamos com estes pais desesperados, mas a melhor forma de ajudá-los é com a prevenção, pois quando o pior já aconteceu o caso deve ser tratado exclusivamente pela autoridade policial.
12
MOTIVADOR 9: PESSOAS QUE PERDERAM SUAS CONTAS PARA INVASORES O grupo que nos motivou a publicar este material é principalmente o de pessoas que perderam suas contas para invasores e estão desesperadas, principalmente quando descuidaram e deixaram junto às mensagens arquivos comprometedores, fotos íntimas, cópias escaneadas de contratos e documentos pessoais. Imagine o desespero da atriz Carolina Dieckmann quando percebeu que sua conta foi hackeada e a vergonha de ver as fotos em que aparece nua, espalhadas pela Internet. Se há algo bom nessa história é que pelo menos as fotos não eram de sexo explícito, mais próximas do nu artístico. Graças ao episódio o governo endureceu a legislação contra os invasores (vide Lei Carolina Dieckmann, que é como ficou conhecida a Lei 12.737/2012).
www.cursodehacker.com.br
Prof. Marco Aurélio Thompson MOTIVADOR 10: PROFISSIONAIS DE SEGURANÇA E ESTUDANTES DE HACKING EM BUSCA DE APRENDIZADO Outro grupo que nos interessa é o de estudantes de hacking, de segurança da informação, de sistemas de informação, de ciência da computação, interessados em aprender sobre recuperação de contas de e-Mail e de redes sociais, uma vez que nenhuma universidade inclui esta disciplina em sua grade.
São estes três últimos grupos, o dos pais desesperados, os motivados pela necessidade de recuperar suas próprias contas e mais os estudantes e profissionais de segurança que querem aprender para prestar este serviço, que nos motivou a elaborar o curso de Invasão de e-Mails para fins de recuperação de contas. Saiba que não foi fácil tomar esta decisão. Apesar de este ser um curso bastante lucrativo, levamos quase sete anos até finalmente decidir liberá-lo. Ajudou nesta decisão nossa proposta de divulgar as falhas de segurança para que logo sejam corrigidas. Um e-Mail, computador, site ou sistema invadido hoje, é um sistema melhor protegido amanhã. Sinceramente esperamos que o seu motivo seja de uso pessoal ou profissional, para recuperar a própria senha ou para fins de segurança. Qualquer motivo diferente desse, para qualquer recuperação de conta que não seja autorizada, não compactuaremos com isso.
Como este livro está organizado Este livro foi organizado de maneira a proporcionar o melhor aprendizado possível. Há quem preferisse um livro exclusivamente com receitas prontas de invasão de contas de e-Mail, mas não é assim que funciona no mundo real. Não é assim porque você precisa entender o funcionamento do sistema para poder subvertê-lo. Receitas prontas aparentemente seriam o caminho mais fácil até seu objetivo, mas no mundo real cada
professor@marcoaurelio.net
13
Recuperação de Contas de e-Mail – 2ª Edição caso é um caso e você poderia dar o azar de todas as receitas do livro não se aplicarem ao seu caso em particular. A opção por incluir capítulos que descrevem a origem, funcionamento e ciclo de vida do e-Mail é o que de fato vai permitir que você consiga usar as técnicas e ferramentas com um bom nível de sucesso na recuperação de contas de e-Mail e de redes sociais. Este não é um livro para preguiçosos em busca de fórmulas mágicas que não existem. É um livro para pessoas que querem mesmo aprender e este aprendizado passa por um caminho que vai da informação, conhecimento, prática e ação, que é quando teremos a conta recuperada. Apenas ler o livro sem reflexão te dá a informação, mas não o conhecimento. Sem praticar você não consegue agir e sem ação não há recuperação de contas. O inverso também não funciona: querer agir (recuperar a conta) sem praticar, praticar sem conhecer e conhecer sem se informar. Recuperar contas de e-Mail não é difícil, o difícil é convencer as pessoas que a metodologia é esta que estamos ensinando, pois muitos preferem continuar buscando o tal programa maravilhoso que recupera a senha bastando informar o e-Mail. Isto é muito parecido com a eterna busca dos obesos por uma pílula ou dieta milagrosa que os faça perder peso, não importando o quanto se demonstre que a perda de peso acontecerá naturalmente ao fazer exercícios e eliminar da alimentação refrigerantes, frituras, alimentos processados e açúcar. Quem aceitar que o caminho é esse, emagrece. Quem aceitar que a metodologia da recuperação de senhas ao alcance do iniciante é a que está neste livro, consegue recuperar a senha. Os outros? Vão continuar buscando a dieta perfeita, vão continuar buscando o programa milagroso que recupera a senha bastando informar o e-Mail. Após esta introdução vamos discutir a legalidade da recuperação de contas de e-Mail. Este capítulo um é muito importante para mim, porque se você decidir recuperar contas sem autorização não poderá dizer que não foi avisado da ilegalidade. É uma forma de eu tirar o meu da reta caso alguém queira me levar junto para o buraco dos réus.
www.cursodehacker.com.br
14
Prof. Marco Aurélio Thompson No capítulo dois vamos conhecer algumas verdades e mentiras sobre a invasão de eMail. Este capítulo é útil à medida em que vai fazer você ter mais os pés no chão, se preocupar em aprender as técnicas e desenvolver estratégias. É quando, espero, faremos você deixar de acreditar em milagres. Na sequência vamos conhecer os protocolos que fazem a troca de mensagens por eMail. Você vai aprender o básico sobre POP3, SMTP, IMAP e saber o que isso tem a ver com invasão de e-Mail. No capítulo quatro ensinaremos a criar um laboratório para a prática de recuperação de contas de e-Mail. Vamos supor que um invasor roube a sua conta. Se você ficar fazendo várias tentativas de recuperação o invasor vai perceber e poderá aumentar a segurança. O que se faz nestes casos é testar a estratégia em um ambiente controlado para só depois, quando houver certeza de que a estratégia funciona, ela seja tentada na conta real. O laboratório também será necessário para você praticar a recuperação de contas
15
sem precisar invadir a conta de terceiros. O capítulo cinco apresenta o ciclo do e-Mail, o caminho da mensagem desde a criação até a chegada no destinatário, uma informação importante para você decidir o melhor ponto de acesso para a recuperação da conta. No capítulo seis você vai aprender as técnicas de recuperação de contas que estão ao alcance do iniciante, que é o nível de leitor para o qual este livro foi escrito. Mas como dissemos antes, a maioria das contas são recuperadas por estas técnicas. No capítulo sete daremos algumas informações adicionais para auxiliar aqueles que ainda não conseguem recuperar contas, mesmo após a leitura do livro. Muitas vezes um detalhe põe tudo a perder e neste capítulo sete tentamos prever o que pode dar errado e como resolver ou prevenir as principais causas de falhas nas tentativas de recuperação. Talvez você descubra que o seu caso de recuperação em particular está além do que podemos oferecer neste material. É uma recuperação difícil, que vai exigir conhecimentos avançados. Apesar de frustrante, saber isso poderá ajuda-lo(a) a decidir se aumenta sua competência técnica, com mais estudos e técnicas mais avançadas, se
professor@marcoaurelio.net
Recuperação de Contas de e-Mail – 2ª Edição desiste ou se contrata alguém mais experiente. Na pior das hipóteses você conhecerá seus limites e poderá decidir ir além ou pedir ajuda. Também nos colocamos à sua disposição para tirar dúvidas em qualquer dos canais de contato disponível. Encerraremos o livro com algumas dicas de como você pode proteger sua própria conta de e-Mail, evitando invasores. É muito mais fácil proteger do que recuperar e você pode tentar invadir sua própria conta para verificar o nível da própria segurança. Na conclusão nos despedimos te desejando sucesso.
Avaliação Diagnóstica Antes de encerrarmos esta introdução eu gostaria que você respondesse a algumas perguntas, antes mesmo de prosseguir com a leitura. Nosso objetivo com estas perguntas iniciais é evitar um equívoco muito comum da pessoa ler o livro e dizer que tudo o que leu, ela já sabia. Precisamos de uma prova disso e a prova é você conseguir um resultado expressivo ao preencher esta Avaliação Diagnóstica. Respondendo você também saberá o seu nível de conhecimento antes e depois da leitura, o que não deixa de ser uma prova do avanço em seu conhecimento. Então vamos lá. Pegue uma folha em branco e comece a responder. Não preciso dizer que as respostas devem ser dadas sem consulta ao livro ou à Internet. Seja honesto consigo mesmo e terá uma avaliação precisa do seu nível de conhecimento: 1. Quem surgiu primeiro, o e-Mail ou a Internet? 2. Qual a função do arroba na composição do nome de usuário? 3. Para que servem os protocolos POP3, IMAP e SMTP? 4. Qual é a porta padrão para o envio de mensagens por e-Mail? 5. Qual é a porta padrão para o recebimento de mensagens por e-Mail? 6. Qual é a diferença entre Cliente de e-Mail e Servidor de e-Mail? 7. Cite pelo menos dois clientes de e-Mail que você conhece: 8. Cite pelo menos dois servidores de e-Mail que você conhece:
www.cursodehacker.com.br
16
Prof. Marco Aurélio Thompson 9. Qual é a diferença entre Cliente de e-Mail e Webmail? 10. Por que a conta da rede social é invadida após a invasão da conta de e-Mail? 11. Em qual momento do ciclo de vida do e-Mail a senha não pode mais ser recuperada? Por quê? 12. Cite pelo menos três técnicas de recuperação de e-Mail que você conhece (exceto password cracking e password guessing, pois estão descritas abaixo): 13. Porque o password cracking é a técnica menos indicada? 14. Porque a técnica com maior chance de sucesso é o password guessing? E porque as pessoas tem dificuldade para acreditar nisso? 15. Qual seria a estratégia mais adequada para um pai ou mãe preocupados com a segurança dos filhos, recuperar a senha com a finalidade de monitorar mensagens e presença nas redes sociais, às vezes até mesmo para localizar um desaparecido? 16. Qual Lei será aplicada aos casos de recuperação não autorizada de contas de eMail? 17. Porque as provas de traição obtidas a partir de uma invasão de conta de e-Mail não são aceitas pela justiça? 18. Qual a diferença entre scam e spam? 19. Porque a recuperação de contas de e-Mail usando spam é sempre ilegal? 20. Você (ainda) acredita na existência de um programa que basta informar o e-Mail para descobrir a senha?
professor@marcoaurelio.net
17
Recuperação de Contas de e-Mail – 2ª Edição
Capítulo 1: Porque aprender sobre Invasão de e-Mail?
Na apresentação deste livro comentamos sobre os tipos de pessoas que nos procuram querendo aprender sobre invasão de e-Mail. Foi quando deixamos claro que este trabalho se destina a três grupos distintos: pais zelosos preocupados com seus filhos, pessoas que precisam se proteger ou recuperar a própria conta de e-Mail e profissionais de segurança que têm por obrigação saber sobre o assunto e talvez queiram fazer algum dinheiro recuperando contas autorizadas. Qualquer outra intenção relacionada à invasão de contas de e-Mail nos é estranha e não será apoiada, muito menos incentivada.
Aprender para recuperar a própria senha É legítima a necessidade das pessoas saberem como invadir e-Mail com o propósito de recuperar o próprio e-Mail invadido. O próprio ou de alguém que conheçam e precise deste serviço ou orientação. As técnicas para recuperar senha são praticamente as mesmas usadas pelos invasores, sendo a exceção quando conseguimos solução via suporte técnico do provedor ou quando o domínio do e-Mail é nosso e podemos recuperar a senha via Painel de Controle. Fora estas duas situações – a ajuda do suporte do provedor e recuperação pelo Painel de Controle do domínio – a recuperação da senha só é possível fazendo uma invasão da conta. Invadir o que foi invadido e ser mais cuidadoso da próxima vez.
www.cursodehacker.com.br
18