Extensão de Browser para Hackers

Então agora nós vamos falar sobre extensões de browser. Bom, não sei se alguém aqui é lá de 99, 2000. Lembra daqueles browsers com dez linhas só de ícones de funcionalidades que se adicionava no browser. E aí o que aconteceu? Aquilo passou a não ser uma coisa muito legal. Então era comum em todo o site você ter a barra daquele site. Olha que chato. E aquilo passou a ser uma coisa muito ruim. E aí vieram os browsers modernos e criaram a ideia de uma extensão. Essa extensão de browser, ela é utilizada para nos ajudar a fazer alguma coisa. Só que você tem que tomar muito cuidado. Existe a possibilidade de uma extensão de browser roubar ou manipular sua interface gráfica. No curso de Mowers nós vamos fazer uma. Se você tiver acesso ao meu material, meu livro, em PDF, lá para o final você vai conseguir localizar. Já existe o exemplo para vocês. Sua estádia é desatualizada. Tem que atualizar. Você vai ver o exemplo de um componente de browser que rouba dados ou o exemplo de componente de browser que troca o endereço da sua carteira. Exemplo, eu te dou o endereço para você me pagar. Você copia meu endereço de bitcoin. Quando colar, você cola o endereço do hacker. Não o que eu te mandei. São exemplos de coisas ruins que dá para se fazer com essas extensões. E é muito comum no mundo hacker alguém pegar uma extensão bacana que já existe e customizar ela dizer que é melhor o blockmaster. Light. Master. Então é melhor que o block. Isso é melhor. E ainda é light. Melhor ainda. Vou gastar menos processamento. Sempre assim. O ser humano sempre procura o que é maior e ao mesmo tempo é menor. Eu acho meio estranho esse papo, mas é comum. Bom, então o que eu fiz? Na verdade, eu olhei para o Kodashi. Eu sempre falei para vocês aqui. Eu não uso o Kodashi como sistema operacional. Inclusive, há muitas críticas sobre o Kodashi. Mas eu olho para o Kodashi e vejo como ele fez as coisas. Aí é a jogada. Por exemplo, como ele lida com as extensões? Quais são as extensões? Legal. Peguei uma lista. Viu que é útil ou que não é útil? Descartei. Como ele lida com ferramentas de criptografia? Ele tem o Zulu, um Clip, um Vera Clip. Falar no seu próximo vídeo. Legal. Dessas ferramentas, quais são bacanas? Então, vou lá e vejo. E aí, naturalmente, eu coloco aquilo que é bacana no meu material. Eu não colocarei os Zulu em cript, desculpe a galera aí, porque eu já tenho o Vera Clip. Que fazem a mesma coisa. Então, por que eu colocarei os dois? Mas, por exemplo, então eu fui lá, olhei os componentes do Kodashi, vi o que é legal e passei a colocar na minha vida. E quando eu escrevi isso no livro, deve ter sido por volta do ano de 2024, eu tenho os dois anos. Ais ou menos. O que acontece? Esses componentes aqui, eu passei a usar eles e realmente, no meu dia a dia, me ajudaram muito. Cara, o primeiro é esse aqui, IP-Holes. Então, ele é uma ferramenta para ele informar qual IP, lógico, eu não vou colocar o meu IP, não vou nem executar aqui, mas ele mostra país, entre outras coisas. Por que isso é importante? Em certos momentos, você está a um passo de fazer uma grande merda na internet, ou, dependendo do que você deixar, visível para todo mundo, um passo para você fazer uma merda na sua vida. Deixa eu mostrar para vocês. Esse browser aqui é um computador que eu montei num estúdio. Então, eu não coloquei esses componentes, coloquei só o que eu preciso. Eu não vou com esse browser entrar em nada que é perigoso, então não preciso daquela extensão. Mas se eu fosse agora, falar assim com você, agora vamos lá, vamos entrar em tal lugar e vamos enfiar o dedo na galera lá. Então, foi a chã, foi a chã, cadê o sapinho Pepe? Vocês entenderam, tomar cuidado, né, coleguinha? Será que eu estou com meu IP visível? Na minha máquina que eu uso para trabalhar, eu uso um kafishmonger, garante que eu esteja sempre num determinado IP diferente. Então, eu tenho 8, 12 VPNs configuradas num diretório, aí o meu codaxe entra, escolhe uma VPN e pegue aquela VPN, e logo em seguida ele desativa a minha regra de foo. E aí eu, agora eu só estou sobre a VPN, se calhar a VPN é que o switch. Não é um quil switch, porque o quil switch ele tem que esperar um evento para executar, né? Aí eu liguei o foo desse para isso, cara, na boa, mata a regra padrão de foo. E eu vou chamar esse de quil switch foo desse um mundo, essa é a verdade. O quil switch é o seguinte galera, é um script, estou na internet e tal, me desliga, mas é muito burrice, até lá meus protocolos já vazaram, já foram, é muito burrice, um script para fazer isso. Então, na minha visão é o seguinte, não existiria quil switch, simplesmente não existe o rota de foo. Aí eu falo como quil switch para a galera entender que, pô, vou matar a regra de foo do Linux, seria a mesma coisa que um quil switch, simples assim. Vamos lá, primeiro, então, eu tenho essa primeira extensão, quero ver o IP que eu estou para ver, né? Se eu não estava vazando o meu IP para eu entrar em algum lugar sinistro e deixar. Legal, minha marca lá. Como eu vejo se aquela extensão é uma extensão, como eu posso dizer assim, que tem alguma coisa negativa? Primeira coisa, você poderia abrir o script. Essas coisas aqui, você pode abrir e vir. Mas tem uma forma mais interessante que eu não sabia em 2024, que dava para submeter esse componente para o vírus total. Se é você que faz o malware, você nunca manda para o vírus total. Eu repeti, se você faz ter o malware, você nunca manda ele para o vírus total. Simples assim, como que nós fazemos? Para saber se o nosso malware vai ser pego por um determinado antivírus. Nós instalamos uma licença full da máquina, desligamos a internet e testamos o nosso malware. É assim. Só que o problema é que hoje muitas empresas de malware só fazem a varredura se estiver ligada a internet. Essa está sendo uma grande merda nossa hoje. Legal, olha só, você vai lá no Mozilla, que é um diretório oculto no Linux, porque tem um pontinho no início. Mozilla Barro Firefox. E aqui você tem o Kodashi Browser. E lá você vai ter outros browsers, porque muita coisa é baseada em Firefox. E aí você vai ter um monte de arquivos que você vai procurar sobre ADD11.json. Esse arquivo aqui, certo? Que seria esse arquivo aqui? Então quer dizer que aqui nós localizamos onde estão os ADD11. E aí você vai encontrar tipo um array. Por exemplo, nesse exemplo, a posição 22 do array de ADD11 é um componente. Que componente? Esse componente Free IP Geolocation que nós acabamos de mostrar aqui. Aqui, certo? Aí você pega esse componente, olha só, pega esse JSON, olha só, está vendo o ID? 3, 6, 4, 9 e seu arquivo. Então vai existir um arquivo no seu computador assim. Mozilla, Firefox, o seu browser, que podem ter vários browsers, cada persona sua no seu browser. Pode abrir um diretório desse diferente. Extensions e aquele ID. Está vendo essa chave? Essa é uma audição dessa chave? É porque isso é programado em C++. O C++, se você pega um... O ID, isso aqui é chamado de UID. Essa é a versão 4 do UID. No C++, se você manda imprimir o ID dele, aparecem as porras de chave. Eu fico pistola quando eu vejo isso. Mas alguém fez isso internamente. Em Python não aparecem as chaves. Quando você imprime o ID. Eu fiquei pistola quando eu vi isso pela primeira vez. Aí como é que você me cria, um arquivo com o nome dele? É uma chave. Tudo bem. Entenderam, né? Merda, né? XPI. Então esse arquivo existe lá. É que eu estou preparando vocês para programar, gente. Eu não quero que você seja apenas um hackezinho de browser, cara. Não sei algo muito mais foda que isso. Já vai pegando a mãe aí. Olha só. Então, há o submeter para o vírus total, porque não é meu malware. Entendeu? Geralmente eu não faria isso se fosse o meu malware. Então ele verifica um banco de dados de arquivos. A última vez que teve a modificação, um arquivo desse, foi a seis meses atrás, em 2024, lógico. E nenhum dos mecanismos de anti-mower detectou alguma coisa mais listiosa nele. Ponto final. Seria um bom teste para você fazer com os seus componentes. Você poderia fazer um scripting Python, que lê esse... Fica a dica para você que aprende a programar. Ah, eu quero aprender a programar, mas não tenho... Você sabe o que é não sei? É o seguinte. Para você aprender a programar, você tem que pôr objetivos curtos na sua vida. Por exemplo, objetivo curto na minha vida. Vou fazer um scripting Python, que lê o ADD11, pego o arquivo e submete ao vírus total. E no final, faz um relatório para mim. Pronto. Objetivo. Ah, mas não sei fazer. É um bom momento para você aprender a fazer alguma coisa. Aí você aprende a programar. Porque você aprende a programar. Com o livro do data, aprender a programar com o livro de faculdade, só estando lá, naquele contexto para você fazer alguma coisa. Aqui no internet, não estou na faculdade, não é algo da faculdade, é só assim. Tendo um pequeno objetivo, vou fazer alguma coisa para cumprir esse pequeno objetivo. Encódico. Aí tu aprende. Legal. Outra extensão muito boa é essa, o Bloque Origem, mas a recomendada. Muitos mecanismos aqui são fraudulentos. Eles pegam, por exemplo, o Bloque e customizam o Bloque e dão outro nome. Geralmente, eles fazem assim. O Bloque plus size light. É muito estranho, mas eles fazem. E aí, eles convencem as pessoas de instalar o componente. E aí, você pede o quê? Suas criptomoedas, você pede coisas. Então, você vai colocar esse Bloque Origem e vou falar mais dele e mais para frente. Outra coisa, sempre coloque extensão daqui. Quer fazer uma extensão para entrar aqui? Quer fazer uma extensão para entrar aqui? Então, você tem que se cadastrar na mozila. Eu tenho um cadastro, tive que fazer um cadastro. Para criar a minha extensão impolar. Mesmo que seja uma extensão privada minha, tenho que passar por esse rub. Infelizmente. Recursos do Hackbar. Hackbar é uma outra biblioteca, um componente, que é útil para ver e ficar com segurança de aplicativos no geral. Ele faz vários testes. Isso é muito da hora. Então, às vezes, digamos que eu tenho um monte de possíveis alvos. Qual possível alvo desse eu vou perder mais tempo? Aquele alvo ali eu vou perder mais tempo. Então, eu não vou nele não. Qual alvo eu vou perder menos tempo? Aí, esse aqui. Então, eu vou nele esse primeiro. Então, o primeiro passo é você ver o que ele tem. Pelo que ele tem, você sabe se você vai atacar ele ou não. Seria mais ou menos assim. Então, é usado para pesquisas, em caso com segurança. Ele verifica vulnerabilidade de site. Ele é uma pena que ele inventa de fazer muita coisa. É como se todo dia o cara tivesse uma ideia, o mantenedor tivesse uma ideia. E ele criasse algo dentro daquela mesma solução dele. Bom, vamos lá. O bloco origem. Esse cara que você tem que ter. Muitos ataques hackers fazem assim. Eles fazem assim. Por exemplo, TorProject.org, não é assim? E se eu puder criar um site chamado TorPutcom? Tor, TorBrowser.com. Tor com R a mais, Browser.com. Então, complicado, né? Bom, e aí eles pegam para que as pessoas cheguem até esse site, eles vão lá nos anúncios do Google e colocam lá no anúncio do Google. Ah, você quer instalar o Tor? Aí aparece o primeiro link. Tor com 2Rs Browser.com. Você vai lá instalar. O site é igualzinho. Talvez até o botão de download até mais visível, mais bacana, mais rápido. O resto do bonitinho, igual. O que acontece, meu amigo? Você tem que ter o bloco para não ter essas malditas propagandas. A questão da propaganda, que ela não só atrapalha a questão visual, mas ela também pode levar você a um site ruim. Porque quando algo orgânico fica entre os primeiros links, 1, não é do dia para a noite. 2, ninguém questionou disso aqui, entendeu? Então ninguém está denunciando. Então isso está subindo. Inclusive, aqueles caras que falavam que colocavam o seu top, seu link do seu site primeiro no buscador, uma das técnicas que eles utilizavam, eles utilizavam era denunciar quem estava na frente. Hoje em dia, isso está muito mais bem trabalhado. A questão dos mecanismos de busca, que já não é uma técnica que daria tão certo. Você fica fazendo denúncias falsas. Mas eles analisam, quando tem denúncia, eles analisam. E agora com inteligência artificial, acho que as análises vão ser mais rápidas. Então, quer dizer que um anúncio é colocado do dia para a noite, como o primeiro link. Não é assim, mas um link orgânico demora ano para chegar lá. É difícil. Então, eu posso alavancar um ataque hacker do dia para a noite. Porque em um ano, eu seria percebido e removido. Então não tem como. Então, a propaganda é o maior risco para você. Windows, Linux, isso aqui funciona no browser. Coloca isso aqui para bloquear geral. Para bloquear geral, tem mais um que bloquear geral. Eu quero mostrar para vocês. Mas na hora de você fazer a instalação desse cara, procure pelo Bloque Origin, por esse cara, que é o recomendado. Esse cara bloqueia também anúncios de YouTube. E a Google ficou pistola um tempo atrás. Começou a bloquear usuários que usavam isso aqui. O que aconteceu? Ela percebeu que ela estava fazendo a pior merda para ela. Que é o que? Bloquear o usuário de continuar assistindo o conteúdo dela. Então, o usuário ia sair. E ia falar menos do conteúdo dela. Ela teve que voltar atrás e permitir. Não adianta, cara. Aquilo é uma grande merda, aquele negócio de propaganda. E vai te levar a um site que seria um alçapão fácil. E você cairia feito um passarinho no alçapão fácil. Coloca, cara. Tem uma extensão de browser muito boa. Essa Hack Bar é boa. Só que, como falei, ela tem coisas demais. Mas tem duas que, se você colocar, são muito boas. A primeira é essa daqui. PKT. Ah, esqueci de colocar o Asp também. Tem a dar o Asp também. Então, a extensão de navegador foi da Trotion Test Kit. Para você fazer um teste rápido no alvo e obter algumas informações. É esse aqui. É esse componente desse cara. Beleza? Pode usar tanto por bem, por mal, esse negócio aqui. Porque, de cara ele já dá. Qual versão do JQuery Bootstrap que tem? Que que está? Se está na Code Flare, tem Code Front envolvido. Que que tem? Você bate um olho e vê o que que tem. Você consegue fazer Dast. Você vê JWT Inspector e Cooks. São ali os que eu mais... Pera aí, galera. Eu estou vendo no lancirine da polícia. Não é aqui não. Vamos lá. Tem uma pancada de coisa aqui nessa ferramenta. Muito boa. Ela tem menos do que o Hack Bar. Mas ela é mais útil que a Hack Bar. Acho que esses cara viajaram na Melanes. Aqui acho mais bacana. Muito melhor. Muito boa, cara. Muito boa. Tem uma outra que você pode utilizar junto com essa. Que é essa daqui. Essa daqui eu acho bacana que ela traz Seu Wordpress, MySQL, de cara assim. As tecnologias. Então você pode usar as duas. Aqui eu vejo a tecnologia mais profunda. Uma tecnologia onde eu ver mais detalhes tecnológicos. E aqui eu vejo no modo mais superficial. Mais alto nível. Esse cara se conecta com MySQL. Você não sabe oção da ferramenta. Pelo HTML o cara consegue pegar. Sabe o que é Wordpress? Tem Google Analytics, blogs. E aí tem mais alguns tópicos aqui. Muito boa isso aqui, cara. Muito boa. E o legal desse aqui é que eu tenho MySQL. MySQL é o meu assistente. E vai ter que chamar de MyAssistente. O cara é muito grande e eu chamei de MyAss. Um apelido carinhoso. Aí o que acontece? Eu posso pegar esse texto e jogar lá no MyAss. E o MyAss faz análise para mim. E esse texto é uma caixinha de texto que fica nessa ferramenta quando você clica em export. Muito da hora, cara. É muito da hora. Então eu bati o olho aqui, jogo no MyAss e o MyAss faz análise. Para mim mais profunda. Para me retornar um relatório. Cara, o MyAss cada dia mais faz mais serviço na minha vida. Só para vocês ter uma noção, no meu curso Hacker lá, cara, a aula é adicionada pelo MyAss. Não é por mim. Eu só gravo, escrevo e gravo. Mas a parte de trabalho e esforço, braçal, é o MyAss que publica. É o MyAss que coloca o destaque para mim. É o MyAss que faz a cobrança no Bitcoin. Terminei hoje. Não estava funcionando não. Terminei hoje, está funcionando. E vou fazer o MyAss para fazer cobrança por monero. Ele faz um serviço bacana para mim. Eu acho que eu ainda quero ter o contato com vocês. Eu não colocaria o MyAss para atender suas requisições. Não faria isso. Mas para fazer esse negócio braçal de publicar vídeo, meu amigo, de pegar quantos minutos tem o vídeo, tudo automatizado. E faça isso na vida de vocês também, tá? Comece a construir automatização da vida de vocês. Quick manager. Puts de extensão foda que eu uso pra caramba isso aqui. É muito comum. Eu precisar de fazer uma requisição por Python, em escala. Só que, infelizmente, ele requer o maldito cuquezinho do site. Aí eu tenho que ir lá no site, pegar o cuquezinho dele e navegar naquele puts, e aí eu fico chato pra caramba. É chato. Então, quando eu preciso pegar um cuque, editar um cuque, deditar um cuque, tem essa ferramentinha aqui que é muito top, tá? Basicamente, você consegue manipular o cuque, editar o cuque, inserir o cuque, criar o cuque. Faço, faço, faço mesmo. E muito mais fácil que o próprio browser, cara. Eu fico assustado como que o browser é tão complicado e as extensões, às vezes, são tão simples. Esse aqui é o melhor de todos. Esse aqui é o melhor de todos. Eu não vejo uma avaliação tão boa dele, né? 4.4. Mas, cara, pra mim, é muito ótimo, né? Tem que ver esse detalhe também, né? Não sei o que as pessoas querem. Mas, olha, e facilmente, você tem as opções assim. Mas você também pode abrir a aba dele como um todo. É muito fácil. E a aba dele como um todo, cara. Então, você consegue mexer do cuque, deletar o cuque, fazer uma copa do cuque, cara, eu tenho envolerinho aqui agora. Esse que você foi o backup do cuque, pô, faz tudo com esse cuque aí, cara. Eu tô com essa fermentinha deles. Veja, é muito mais fácil essa janelinha do que a própria janela do browser, cara. Aquela que tá lá embaixo, no inspect. Muito mais fácil. Você consegue congelar um cuque, cara. E você dá hora também. E essa aqui é pra enterrar. Essa aqui é pra enterrar. Olha. Eu tenho um browser que eu mesmo fiz. Chamado do Bagus Bagus Go. Era pra ser uma brincadeira, que ficou... que virou uma piada séria. E uma coisa que eu fiz lá, é nativamente não navegar e eu preciso de executar um script pra navegar. Que é comum. E isso quebra um monte de site, navegação, do monte de site pra mim. Eu vivo passando raiva, mas ele garante minha segurança. Ele garante que eu tenho controle na navegação do sistema. O JavaScript pode tirar o controle da navegação da mão do usuário e colocar no browser. Eu não gosto disso. Pra você não ter que fazer um browser pra você, eu já usei isso aqui bastante. Agora eu comeu os Bagus Bagus Go. Eu não preciso disso. Que é desse cara aqui. É o Jorge Maoni. Esse script. Que é um simplesmente matador de script. Você pode pegar aqui e negar a execução de scripts e criar regras pra quais scripts você quer que execute, quais scripts você não quer que execute. Então você clica na abinha dele aqui. Ele vai abrir isso aqui. E aí você fala, poxa, o script browser. Pois, esse cara aqui é bacana. Eu vou deixar que execute. Então você vai lá, clica em settings e permite que ele execute. Ah não, o cara agora do Google Meta Manager.com é bloqueio. Padrão. Então você consegue dizer se é confiável ou não. Eu tive que colocar na época o Google.com confiável. Por um motivo muito simples, né cara. Eu tive que acessar a página do Google. Então você consegue manipular e dizer quais você permite ou não. Ah, tem mais um também. Esqueci desse aqui. Ficou putas fezes. Que eu entro no site do Medium e pra ver o negócio eu tenho que pagar. O New York Times eu tenho que pagar. Cara, eu não quero nem entrar nesse site. Eu não quero nem ver esse site. Eu posso ter uma lista de sites que eu quero bloquear. Isso é da hora. Eu coloquei isso embutido dentro do Bagus Bagus Go. Tem uma lista gigantesca de tudo que você tem que bloquear na sua infraestrutura. O que que eu fiz? Eu filmou um Bagus Bagus Go e joguei isso na lista por padrão antes da requisição. Isso aqui faz algo bem semelhante, tá? Só que é uma lista pequena. Você mesmo vai montando essa lista. E tem que ser pequena porque o poder de processamento não é tão elevado. Veja que todos os ADD-11 que eu estou mostrando pra você está na lista de recomendados. Olha só. Recomendado recomendado pro usuário comum. Aqui já não é recomendado pro usuário comum. Então não é recomendado. Mas porque não é pra um usuário comum. Você quer pra usuário foda igual a gente. Aqui também, né? Pra usuário foda igual a gente. Pra usuário foda igual a gente. Isso que já é recomendado. Pra usuário comum. Então veja que eu estou colocando aqui vários componentes. Eu só não coloquei esse material ou da UASP, cara. Deixa eu ver se eu não coloquei aqui. Né? Sistema de arquivos que aproximaram a nossa. Olha só. Tem um componente muito bom. Você clica aqui em Browsers. Eu posso mostrar esse browser que esse computador e o multi-ex sopra dá aula. Pra não correr nenhum risco. Sim. Eu tenho uma sala só pra dar aula. Só pra gravar aula. Pra poder ter o melhor som possível. Mesmo assim, eu não tenho o melhor hardware possível. Que é o que falta. Extensões e tema. Tem um daquilo da UASP. Já usei muito. Por que eu não usei mais UASP? Porque eu acho que esses dois caras pra mim sanaram a minha necessidade. Desculpe, eu não usei. É mais cara que I. Mais esse cara... Cadê? Ah, esse aqui mesmo. É. Não, eu fiz besteira aqui. Mas tem um outro da UASP que eu usava e eu passei a usar esses dois caras. Que eles sincronizam com alguns componentes como da UASP-ZAP. Então, se você vinha aqui pra procurou por UASP, olha esse aqui. Tem mais outros componentes. Eu vou te dar uma coisa pra vocês aqui. Cara, corta esse treco aí. Esse aqui realmente matou. Matou a pau. Esse aqui é top demais. Então, são componentes que eu recomendo pra vocês. Deixa eu só procurar uma coisa que eu queria ver. Eu não tinha procurado porque eu não pensei ainda. Será que existe? Mas um que eu consigo editar... Não, esse aqui. Eu quero um desbute que eu consigo editar documentos. Não, não tem, né? Poxa. OnlyOffice. É, OnlyFans não enzerrou elas. Cara, tem um aqui que eu preciso de analisar se esse cara aqui... Ele é bom. Ele é bom. Eu tô precisando de alguma coisa pro OnlyOffice. Isso aqui é pro Office Online. Um componente OnlyOffice. Um componente OnlyOffice. OnlyOffice, se vocês não conhecem. Ele é um Office Online. Isso aqui não é o Office da Microsoft. Nem é o Office do Google. Você pode instalar isso aqui na sua casa. E deixar num servidor. Você pode alugar um servidor e deixar isso aqui lá. Eu uso ele dentro do desbute. Ah, você tem o tal do deshute. O deshute. Dentro do deshute você vai encontrar uma camada chamada Crypto... Putz, cara. CryptoPad, cara. CryptoPad. No CryptoPad dentro do deshute você tem vários servidores pelo mundo. Aqui eu tô entrando do servidor francês. E aí você tem um Office Online anônimo aqui. Por exemplo, eu vou entrar nesse word aqui anônimo. Poderia estar funcionando dentro da Tor. Eles não impedem que você acesse reportor. O problema aqui tudo fica absurdamente mais lento. Absurdamente mais lento, tá? É absurdo como isso fica lento. Dentro do Tor. Então aqui você tem um Office e eu também não gosto que eles têm essa barra alta aqui que, poxa, come aqui um 50px. Então eu tava procurando justamente isso. Essa extensão do CryptoPad. Vamos lá. É, não tem, né? O Encrypted Note tudo bem, mas o CryptoPad eu precisaria de alguma coisa pra deixar isso aqui mais leve pra mim. Ó, uma dica. Faz que a galera abaixa. Até mais, tchau.