SlideShare una empresa de Scribd logo

Desventuras de Ser Paranoico 2.0

Jaime Restrepo
Jaime Restrepo

Desventuras de Ser Paranoico 2.0 Hernán Racciatti 1hackparaloschicos

Tecnología
1 de 47
Descargar para leer sin conexión
Desventuras de Ser Paranoico 2.0 Jornada Solidaria de Seguridad de la Información 26 de julio, Buenos Aires - Argentina
Temario • Conociendo a los Personajes • Un Día Comienza • Tareas Matutinas • Acceso a Home Banking • Fotos On-Line • Compra On-Line • Chat con Extraños • Dispositivos USB • Conclusiones • Referencias #1HackParaLosChicos 2
Conociendo a Bob #1HackParaLosChicos 3
Conociendo a Bob • 37 Años. • Senior Security Consultant. • Licenciado en Sistemas de Información. • Investigador Independiente de Seguridad. • CISSP, CEH, MCSE, CCNA, CCSP, ABCD, A234, MKXR, YEHA, EAEAPEPE, etc. #1HackParaLosChicos 4
Conociendo a Charlie #1HackParaLosChicos 5
Conociendo a Charlie • 37 Años. • Estudiante de Diseño (?) • [ Completar Aquí ] • [ Completar Aquí ] • [ Completar Aquí ] #1HackParaLosChicos 6
Un Día Comienza: Bob #1HackParaLosChicos 7
Un Día Comienza: Bob • Bob llega a la oficina. • Enciende su Laptop. • Ingresa el Password de su BIOS. • Coloca el TOKEN USB [1] • Ingresa su Huella Dactilar. • Ingresa su User & Password del SO. • Ingresa su User & Password de Messenger. • Ingresa su User & Password de Gmail. • Ingresa su User & Password de Twitter. • Bob esta listo para comenzar a Trabajar. #1HackParaLosChicos 8
Un Día Comienza: Bob Nota: Bob NO tiene Facebook, el conoce que no es otra cosa que una trampa del FBI para obtener información de las personas a gran escala #1HackParaLosChicos 9
Un Día Comienza: Charlie #1HackParaLosChicos 10
Un Día Comienza: Charlie • Charlie llega a la Oficina. • Enciende su Laptop. • Su equipo esta configurado con “Automatic Logon” [2] • Su Messenger esta configurado para “iniciar automáticamente al inicio”. • Su Gmail esta configurado con la opción “Remember me on this computer”. #1HackParaLosChicos 11
Un Día Comienza: Charlie • Facebook & Twitter se inician automáticamente al cargar el Browser… • Charlie esta listo para comenzar a trabajar (El ya ha verificado que Facebook & Twitter están funcionando correctamente…) #1HackParaLosChicos 12
Tareas Matutinas: Bob #1HackParaLosChicos 13
Tareas Matutinas: Bob • Bob comienza a chequear su correo… • Da una primera recorrida a su bandeja de entrada y elimina todo el correo que su antispam no filtro, así como todo aquel correo de fuente dudosa. • Dedica los primeros 90’ de su día a revisar las listas de correo a las que esta suscripto: • WASC Forum • Security Basics – Security Focus • Pentest – OISSG • SecTools – Security Focus • ForoSI • Focus MS – Security Focus • DailyDave • Bugtaq – Security Focus • Ring of Fire • Pentest – Security Focus • SANS • Private 0Days for Geeks • OWASP #1HackParaLosChicos 14
Tareas Matutinas: Charlie #1HackParaLosChicos 15
Tareas Matutinas: Charlie • Charlie comienza a chequear su correo. • Da una primera recorrida a su bandeja de entrada y abre todo aquel correo de titulo llamativo… #1HackParaLosChicos 16
Tareas Matutinas: Charlie • Al cabo de los primeros 15 minutos: • Re-envió 7 cadenas de correo [4] • Descargo 3 .jpg que le parecieron interesantes (aunque como le molesto esperar que descarguen los 32 MB, esta pensando en upgradear su ancho de banda…) • Hizo lo propio con 2 .pps que le parecieron graciosos… #1HackParaLosChicos 17
Acceso a Home Banking: Bob #1HackParaLosChicos 18
Acceso a Home Banking: Bob • Bob requiere consultar su estado de cuenta bancaria • Solicita permiso a su jefe para acercarse al banco mas cercano en su hora de almuerzo. • Bob quiere evitar el uso de la red corporativa para acceder a su cuenta bancaria. #1HackParaLosChicos 19
Acceso a Home Banking: Bob • Bob conoce que el certificado digital de su banco ha expirado y no se siente seguro aceptando un certificado expirado. • A pesar de que el banco de Bob brinda la opción a sus usuarios, de utilizar un teclado virtual, Bob conoce la existencia de técnicas [5] por medio de las cuales es posible capturar el ingreso a través de su uso. #1HackParaLosChicos 20
Acceso a Home Banking: Charlie #1HackParaLosChicos 21
Acceso a Home Banking: Charlie • Charlie requiere consultar su estado de cuenta bancaria. • Dirige su browser hacia el sitio del banco. • Abre un .DOC de nombre “Mis Claves” al que accede rápidamente a través de un icono en el Escritorio. • Ubica en la lista su clave de acceso a Home Banking. • Copy and Paste… #1HackParaLosChicos 22
Acceso a Home Banking: Charlie • Al ingresar su clave, aparece un mensaje en ruso que dice “Su cl4v3 3s 1nc0rr3ct4 vu3lv4 4 1nt3nt4r”. • Vuelve a presentársele la página de su banco (Esta vez… realmente es la de su banco…) *6+ • Copy and Paste… • Exporta el estado de su cuenta a un archivo de nombre “Estado de Mis Cuentas.XLS”. • Cierra el Explorador (Sin desconectarse, claro…) #1HackParaLosChicos 23
Fotos On-Line: Bob #1HackParaLosChicos 24
Fotos On-Line: Bob • Bob recibe una llamada de su hermano, el cual hace años reside en Boca Ratón, Florida, EEUU. • Este le vuelve a decir que le fue imposible desencriptar las fotografías del bebe de Bob, con ese programita raro que le instalara en la netbook durante su ultimo viaje a BsAs. [7] #1HackParaLosChicos 25
Fotos On-Line: Bob • Bob le dice que no se preocupe, hoy mismo le enviará sus fotografías vía FedEx, de modo tal que en un par de días, finalmente pueda tenerlas en su poder. • Bob conoce la existencia de los fotologs, pero le da pánico de solo pensar en lo que alguien podría hacer con sus fotos y las de su familia! • Bob conoce que historias como la de “Allison Stokke”, suceden a diario… *8+ #1HackParaLosChicos 26
Fotos On-Line: Charlie #1HackParaLosChicos 27
Fotos On-Line: Charlie • Charlie recibe una llamada de su amiga Agustina, preguntándole “por que las fotos de ayer por la noche, aún no se encuentran en su fotolog!” • Charlie envía un mail a Agustina (Una Amiga que conoció por Internet) con la clave de su cuenta de www.fotolog.com, para que ella misma las suba. #1HackParaLosChicos 28
Compra On-Line: Bob #1HackParaLosChicos 29
Compra On-Line: Bob • Bob hace tiempo que espera que su buen amigo Ezequiel viaje a Puerto Rico o a los EEUU, a fin de que este pueda comprarle algunos libros que aún no llegan a las librerías de Argentina. • Obviamente Bob conoce de la existencia de “Amazon”, pero no se siente seguro ingresando los datos de su tarjeta de crédito en este sitio • Bob aún recuerda que en el 2001, una subsidiaria de “Amazon” fue hackeada y durante cuatro meses, los hackers tuvieron acceso a la información de miles de clientes [9] #1HackParaLosChicos 30
Compra On-Line: Charlie #1HackParaLosChicos 31
Compra On-Line: Charlie • Charlie no lee libros (Tampoco los compra…) no obstante… el nunca se priva de crear cuentas en los sitios de compra On-Line, por si algún día los necesita… #1HackParaLosChicos 32
Chat Con Extraños: Bob #1HackParaLosChicos 33
Chat Con Extraños: Bob • Bob es muy selectivo con sus contactos en messenger. • Su lista esta compuesta únicamente de colegas o familiares directos. • Bob no suele hablar de otra cosa que no sea el tiempo, con colegas que NO manejen encripción en sus clientes de IM (Instant Messaging). • Bob eventualmente ha recibido mails de hermosas chicas invitándole a que las agregue a su messenger para charlar. • Bob NUNCA se pondría a chatear con extraños. El sabe que ninguna chica lo invitaría a conversar, sino que por el contrario… seguro sería alguien intentando hacerlo caer en algún truco de Ingeniería Social. #1HackParaLosChicos 34
Chat Con Extraños: Charlie #1HackParaLosChicos 35
Chat Con Extraños: Charlie • Charlie adora conversar con extraños. • Su lista esta compuesta por cualquier persona que quiera chatear con el. • El se encarga de ingresar a los salones de chat y dejar su cuenta de Messenger para que lo contacten. • Charlie ha recibido el mismo mail que Bob, de una señorita llamada “LaMorocha25”, Bob no respondió Charlie SI… y también la incluyo en su Messenger… #1HackParaLosChicos 36
Dispositivos USB: Bob #1HackParaLosChicos 37
Dispositivos USB: Bob • Ya casi es hora de irse, un buen amigo de Bob le acerca un PENDRIVE con unos e-Books que pueden ser de interés para el. • Bob conoce que el dispositivo de su compañero es U3 [10] y que podría contener algún tipo de carga maliciosa! • Bob prefiere seguir esperando que alguien viaje para obtener los books que necesita… #1HackParaLosChicos 38
Dispositivos USB: Charlie #1HackParaLosChicos 39
Dispositivos USB: Charlie • Charlie no lee e-Books… sin embargo, el no dudo en copiarse los MP3s que se encontraban en el Pendrive del amigo de Bob. #1HackParaLosChicos 40
Conclusiones I • Bob tardó 10’ para poder estar listo para trabajar. • Charlie tardo solo 1’ • Bob tardó 90’ en leer las listas de correo, de modo tal de estar al tanto de las nuevas amenazas de seguridad. • Charlie se hizo realmente popular con los chistes que memorizo de los correos y luego comento en el almuerzo. El también re-envió uno de los .pps que recibió a todos sus amigos y hubo varios que se lo agradecieron. • Bob no pudo almorzar el día de hoy, el tuvo que ir al banco por su resumen de cuentas… • Charlie conoció a una Srta. en su hora de almuerzo y consiguió una cita para el sábado por la noche. #1HackParaLosChicos 41
Conclusiones II • El hermano de Bob… aún espera que lleguen las fotografías vía FedEx… • Charlie recibió 12 “acalorados” mensajes de señoritas en su fotolog, solicitando mas “fotitos”. Dos de ellas le pidieron una cita… Agustina al principio se puso celosa… pero después le dijo que esta abierta a nuevas experiencias… Ella le pidió participar de “la cita”… • Bob sigue esperando que Ezequiel viaje nuevamente a Puerto Rico y le traiga los libros, aunque esta evaluando esperar que salga la segunda edición… • Charlie no compra On-Line, pero de uno de los sitios en donde dejo sus datos, le avisaron que se hizo acreedor de un voucher por USD 250 para gastar en libros o DVDs. #1HackParaLosChicos 42
Conclusiones III • Bob no agrego a “LaMorocha25”, Charlie si. Ellos quedaron en encontrarse esta misma noche en un sitio llamado “La Casita del Placer”. • Bob sigue sin utilizar Pendrives de compañeros en su Laptop. • Charlie termino de completar la discografía de los Beatles ya que resulto ser la banda predilecta de “LaMorocha25”. #1HackParaLosChicos 43
Referencias I • [1] Token USB (Epass3003) http://www.macroseguridad.net/productos/tokens_usb/epass 3000_auto/index.php • [2] SIMP (SimpleLite, The Free MSN Messenger Encryption) http://www.secway.fr/us/products/simplite_msn/home.php • [3] How to turn on automatic logon in Windows 7 http://answers.microsoft.com/en- us/windows/forum/windows_7-security/how-to-turn-on- automatic-logon-in-windows-7/99d4fe75-3f22-499b-85fc- c7a2c4f728af • [4] Cadenas de Correo http://www.rompecadenas.com.ar/ #1HackParaLosChicos 44
Referencias II • [5] Defeating Citibank Virtual Keyboard *…] http://www.zdnet.com/blog/security/hacker-demos-how-to- defeat-citibanks-virtual-keyboard/195 • [6] Anti-Phishing Working Group http://www.antiphishing.org/ • [7] GnuPG http://www.gnupg.org/ • *8+ El caso de “Alice Storkke” http://blog.segu-info.com.ar/2007/05/y-si-miles-de-personas- tuvieran-tu-foto.html • [9] Amazon Hacked? • http://www.theregister.co.uk/2001/03/07/amazon_despite _denials_was_warned/ • [10] USB Hacks • http://hak5.org/usb-hacksaw #1HackParaLosChicos 45
Preguntas? [@my4ng3l] #1HackParaLosChicos 46
Muchas Gracias!! #1hackparaloschicos [@my4ng3l]

Recomendados

Racciatti Ser Paranoico
Racciatti Ser ParanoicoRacciatti Ser Paranoico
Racciatti Ser ParanoicoCristian Borghello
 
Web Semantica con MAYÚSCULAS
Web Semantica con MAYÚSCULASWeb Semantica con MAYÚSCULAS
Web Semantica con MAYÚSCULASCarlos Tejo-Alonso
 
I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )Jaime Restrepo
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lostJaime Restrepo
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4Jaime Restrepo
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarJaime Restrepo
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticosJaime Restrepo
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Jaime Restrepo
 

Recomendados

Racciatti Ser Paranoico
Racciatti Ser ParanoicoRacciatti Ser Paranoico
Racciatti Ser ParanoicoCristian Borghello
 
Web Semantica con MAYÚSCULAS
Web Semantica con MAYÚSCULASWeb Semantica con MAYÚSCULAS
Web Semantica con MAYÚSCULASCarlos Tejo-Alonso
 
I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )Jaime Restrepo
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lostJaime Restrepo
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4Jaime Restrepo
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarJaime Restrepo
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticosJaime Restrepo
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Jaime Restrepo
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...Jaime Restrepo
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)Jaime Restrepo
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxJaime Restrepo
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyJaime Restrepo
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conJaime Restrepo
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarJaime Restrepo
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursJaime Restrepo
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Jaime Restrepo
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysisJaime Restrepo
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoJaime Restrepo
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoJaime Restrepo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Jaime Restrepo
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Jaime Restrepo
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroJaime Restrepo
 
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014Jaime Restrepo
 
DragonJAR TV Episodio 8 - Experiencias en Consultoria
DragonJAR TV Episodio 8 - Experiencias en Consultoria DragonJAR TV Episodio 8 - Experiencias en Consultoria
DragonJAR TV Episodio 8 - Experiencias en Consultoria Jaime Restrepo
 
DragonJAR TV Episodio 5 - Malware Edition
DragonJAR TV Episodio 5 - Malware EditionDragonJAR TV Episodio 5 - Malware Edition
DragonJAR TV Episodio 5 - Malware EditionJaime Restrepo
 
Presentacion dragon jartv-final
Presentacion dragon jartv-finalPresentacion dragon jartv-final
Presentacion dragon jartv-finalJaime Restrepo
 
Charla perito informático dragonjar tv
Charla perito informático dragonjar tvCharla perito informático dragonjar tv
Charla perito informático dragonjar tvJaime Restrepo
 
Busy Tone Vulnerable PBX
Busy Tone Vulnerable PBXBusy Tone Vulnerable PBX
Busy Tone Vulnerable PBXJaime Restrepo
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramDIDIERFERNANDOGUERRE
 

Más contenido relacionado

Más de Jaime Restrepo

IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...Jaime Restrepo
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)Jaime Restrepo
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxJaime Restrepo
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyJaime Restrepo
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conJaime Restrepo
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarJaime Restrepo
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursJaime Restrepo
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Jaime Restrepo
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysisJaime Restrepo
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoJaime Restrepo
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoJaime Restrepo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Jaime Restrepo
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Jaime Restrepo
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroJaime Restrepo
 
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014Jaime Restrepo
 
DragonJAR TV Episodio 8 - Experiencias en Consultoria
DragonJAR TV Episodio 8 - Experiencias en Consultoria DragonJAR TV Episodio 8 - Experiencias en Consultoria
DragonJAR TV Episodio 8 - Experiencias en Consultoria Jaime Restrepo
 
DragonJAR TV Episodio 5 - Malware Edition
DragonJAR TV Episodio 5 - Malware EditionDragonJAR TV Episodio 5 - Malware Edition
DragonJAR TV Episodio 5 - Malware EditionJaime Restrepo
 
Presentacion dragon jartv-final
Presentacion dragon jartv-finalPresentacion dragon jartv-final
Presentacion dragon jartv-finalJaime Restrepo
 
Charla perito informático dragonjar tv
Charla perito informático dragonjar tvCharla perito informático dragonjar tv
Charla perito informático dragonjar tvJaime Restrepo
 
Busy Tone Vulnerable PBX
Busy Tone Vulnerable PBXBusy Tone Vulnerable PBX
Busy Tone Vulnerable PBXJaime Restrepo
 

Más de Jaime Restrepo (20)

IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-Energy
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_con
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jar
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behaviours
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysis
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dicho
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David Castro
 
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
 
DragonJAR TV Episodio 8 - Experiencias en Consultoria
DragonJAR TV Episodio 8 - Experiencias en Consultoria DragonJAR TV Episodio 8 - Experiencias en Consultoria
DragonJAR TV Episodio 8 - Experiencias en Consultoria
 
DragonJAR TV Episodio 5 - Malware Edition
DragonJAR TV Episodio 5 - Malware EditionDragonJAR TV Episodio 5 - Malware Edition
DragonJAR TV Episodio 5 - Malware Edition
 
Presentacion dragon jartv-final
Presentacion dragon jartv-finalPresentacion dragon jartv-final
Presentacion dragon jartv-final
 
Charla perito informático dragonjar tv
Charla perito informático dragonjar tvCharla perito informático dragonjar tv
Charla perito informático dragonjar tv
 
Busy Tone Vulnerable PBX
Busy Tone Vulnerable PBXBusy Tone Vulnerable PBX
Busy Tone Vulnerable PBX
 

Último

FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramDIDIERFERNANDOGUERRE
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 

Último (20)

FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ram
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 

Desventuras de Ser Paranoico 2.0

  • 1. Desventuras de Ser Paranoico 2.0 Jornada Solidaria de Seguridad de la Información 26 de julio, Buenos Aires - Argentina
  • 2. Temario • Conociendo a los Personajes • Un Día Comienza • Tareas Matutinas • Acceso a Home Banking • Fotos On-Line • Compra On-Line • Chat con Extraños • Dispositivos USB • Conclusiones • Referencias #1HackParaLosChicos 2
  • 4. Conociendo a Bob • 37 Años. • Senior Security Consultant. • Licenciado en Sistemas de Información. • Investigador Independiente de Seguridad. • CISSP, CEH, MCSE, CCNA, CCSP, ABCD, A234, MKXR, YEHA, EAEAPEPE, etc. #1HackParaLosChicos 4
  • 6. Conociendo a Charlie • 37 Años. • Estudiante de Diseño (?) • [ Completar Aquí ] • [ Completar Aquí ] • [ Completar Aquí ] #1HackParaLosChicos 6
  • 7. Un Día Comienza: Bob #1HackParaLosChicos 7
  • 8. Un Día Comienza: Bob • Bob llega a la oficina. • Enciende su Laptop. • Ingresa el Password de su BIOS. • Coloca el TOKEN USB [1] • Ingresa su Huella Dactilar. • Ingresa su User & Password del SO. • Ingresa su User & Password de Messenger. • Ingresa su User & Password de Gmail. • Ingresa su User & Password de Twitter. • Bob esta listo para comenzar a Trabajar. #1HackParaLosChicos 8
  • 9. Un Día Comienza: Bob Nota: Bob NO tiene Facebook, el conoce que no es otra cosa que una trampa del FBI para obtener información de las personas a gran escala #1HackParaLosChicos 9
  • 10. Un Día Comienza: Charlie #1HackParaLosChicos 10
  • 11. Un Día Comienza: Charlie • Charlie llega a la Oficina. • Enciende su Laptop. • Su equipo esta configurado con “Automatic Logon” [2] • Su Messenger esta configurado para “iniciar automáticamente al inicio”. • Su Gmail esta configurado con la opción “Remember me on this computer”. #1HackParaLosChicos 11
  • 12. Un Día Comienza: Charlie • Facebook & Twitter se inician automáticamente al cargar el Browser… • Charlie esta listo para comenzar a trabajar (El ya ha verificado que Facebook & Twitter están funcionando correctamente…) #1HackParaLosChicos 12
  • 14. Tareas Matutinas: Bob • Bob comienza a chequear su correo… • Da una primera recorrida a su bandeja de entrada y elimina todo el correo que su antispam no filtro, así como todo aquel correo de fuente dudosa. • Dedica los primeros 90’ de su día a revisar las listas de correo a las que esta suscripto: • WASC Forum • Security Basics – Security Focus • Pentest – OISSG • SecTools – Security Focus • ForoSI • Focus MS – Security Focus • DailyDave • Bugtaq – Security Focus • Ring of Fire • Pentest – Security Focus • SANS • Private 0Days for Geeks • OWASP #1HackParaLosChicos 14
  • 16. Tareas Matutinas: Charlie • Charlie comienza a chequear su correo. • Da una primera recorrida a su bandeja de entrada y abre todo aquel correo de titulo llamativo… #1HackParaLosChicos 16
  • 17. Tareas Matutinas: Charlie • Al cabo de los primeros 15 minutos: • Re-envió 7 cadenas de correo [4] • Descargo 3 .jpg que le parecieron interesantes (aunque como le molesto esperar que descarguen los 32 MB, esta pensando en upgradear su ancho de banda…) • Hizo lo propio con 2 .pps que le parecieron graciosos… #1HackParaLosChicos 17
  • 18. Acceso a Home Banking: Bob #1HackParaLosChicos 18
  • 19. Acceso a Home Banking: Bob • Bob requiere consultar su estado de cuenta bancaria • Solicita permiso a su jefe para acercarse al banco mas cercano en su hora de almuerzo. • Bob quiere evitar el uso de la red corporativa para acceder a su cuenta bancaria. #1HackParaLosChicos 19
  • 20. Acceso a Home Banking: Bob • Bob conoce que el certificado digital de su banco ha expirado y no se siente seguro aceptando un certificado expirado. • A pesar de que el banco de Bob brinda la opción a sus usuarios, de utilizar un teclado virtual, Bob conoce la existencia de técnicas [5] por medio de las cuales es posible capturar el ingreso a través de su uso. #1HackParaLosChicos 20
  • 21. Acceso a Home Banking: Charlie #1HackParaLosChicos 21
  • 22. Acceso a Home Banking: Charlie • Charlie requiere consultar su estado de cuenta bancaria. • Dirige su browser hacia el sitio del banco. • Abre un .DOC de nombre “Mis Claves” al que accede rápidamente a través de un icono en el Escritorio. • Ubica en la lista su clave de acceso a Home Banking. • Copy and Paste… #1HackParaLosChicos 22
  • 23. Acceso a Home Banking: Charlie • Al ingresar su clave, aparece un mensaje en ruso que dice “Su cl4v3 3s 1nc0rr3ct4 vu3lv4 4 1nt3nt4r”. • Vuelve a presentársele la página de su banco (Esta vez… realmente es la de su banco…) *6+ • Copy and Paste… • Exporta el estado de su cuenta a un archivo de nombre “Estado de Mis Cuentas.XLS”. • Cierra el Explorador (Sin desconectarse, claro…) #1HackParaLosChicos 23
  • 25. Fotos On-Line: Bob • Bob recibe una llamada de su hermano, el cual hace años reside en Boca Ratón, Florida, EEUU. • Este le vuelve a decir que le fue imposible desencriptar las fotografías del bebe de Bob, con ese programita raro que le instalara en la netbook durante su ultimo viaje a BsAs. [7] #1HackParaLosChicos 25
  • 26. Fotos On-Line: Bob • Bob le dice que no se preocupe, hoy mismo le enviará sus fotografías vía FedEx, de modo tal que en un par de días, finalmente pueda tenerlas en su poder. • Bob conoce la existencia de los fotologs, pero le da pánico de solo pensar en lo que alguien podría hacer con sus fotos y las de su familia! • Bob conoce que historias como la de “Allison Stokke”, suceden a diario… *8+ #1HackParaLosChicos 26
  • 28. Fotos On-Line: Charlie • Charlie recibe una llamada de su amiga Agustina, preguntándole “por que las fotos de ayer por la noche, aún no se encuentran en su fotolog!” • Charlie envía un mail a Agustina (Una Amiga que conoció por Internet) con la clave de su cuenta de www.fotolog.com, para que ella misma las suba. #1HackParaLosChicos 28
  • 30. Compra On-Line: Bob • Bob hace tiempo que espera que su buen amigo Ezequiel viaje a Puerto Rico o a los EEUU, a fin de que este pueda comprarle algunos libros que aún no llegan a las librerías de Argentina. • Obviamente Bob conoce de la existencia de “Amazon”, pero no se siente seguro ingresando los datos de su tarjeta de crédito en este sitio • Bob aún recuerda que en el 2001, una subsidiaria de “Amazon” fue hackeada y durante cuatro meses, los hackers tuvieron acceso a la información de miles de clientes [9] #1HackParaLosChicos 30
  • 32. Compra On-Line: Charlie • Charlie no lee libros (Tampoco los compra…) no obstante… el nunca se priva de crear cuentas en los sitios de compra On-Line, por si algún día los necesita… #1HackParaLosChicos 32
  • 33. Chat Con Extraños: Bob #1HackParaLosChicos 33
  • 34. Chat Con Extraños: Bob • Bob es muy selectivo con sus contactos en messenger. • Su lista esta compuesta únicamente de colegas o familiares directos. • Bob no suele hablar de otra cosa que no sea el tiempo, con colegas que NO manejen encripción en sus clientes de IM (Instant Messaging). • Bob eventualmente ha recibido mails de hermosas chicas invitándole a que las agregue a su messenger para charlar. • Bob NUNCA se pondría a chatear con extraños. El sabe que ninguna chica lo invitaría a conversar, sino que por el contrario… seguro sería alguien intentando hacerlo caer en algún truco de Ingeniería Social. #1HackParaLosChicos 34
  • 35. Chat Con Extraños: Charlie #1HackParaLosChicos 35
  • 36. Chat Con Extraños: Charlie • Charlie adora conversar con extraños. • Su lista esta compuesta por cualquier persona que quiera chatear con el. • El se encarga de ingresar a los salones de chat y dejar su cuenta de Messenger para que lo contacten. • Charlie ha recibido el mismo mail que Bob, de una señorita llamada “LaMorocha25”, Bob no respondió Charlie SI… y también la incluyo en su Messenger… #1HackParaLosChicos 36
  • 38. Dispositivos USB: Bob • Ya casi es hora de irse, un buen amigo de Bob le acerca un PENDRIVE con unos e-Books que pueden ser de interés para el. • Bob conoce que el dispositivo de su compañero es U3 [10] y que podría contener algún tipo de carga maliciosa! • Bob prefiere seguir esperando que alguien viaje para obtener los books que necesita… #1HackParaLosChicos 38
  • 40. Dispositivos USB: Charlie • Charlie no lee e-Books… sin embargo, el no dudo en copiarse los MP3s que se encontraban en el Pendrive del amigo de Bob. #1HackParaLosChicos 40
  • 41. Conclusiones I • Bob tardó 10’ para poder estar listo para trabajar. • Charlie tardo solo 1’ • Bob tardó 90’ en leer las listas de correo, de modo tal de estar al tanto de las nuevas amenazas de seguridad. • Charlie se hizo realmente popular con los chistes que memorizo de los correos y luego comento en el almuerzo. El también re-envió uno de los .pps que recibió a todos sus amigos y hubo varios que se lo agradecieron. • Bob no pudo almorzar el día de hoy, el tuvo que ir al banco por su resumen de cuentas… • Charlie conoció a una Srta. en su hora de almuerzo y consiguió una cita para el sábado por la noche. #1HackParaLosChicos 41
  • 42. Conclusiones II • El hermano de Bob… aún espera que lleguen las fotografías vía FedEx… • Charlie recibió 12 “acalorados” mensajes de señoritas en su fotolog, solicitando mas “fotitos”. Dos de ellas le pidieron una cita… Agustina al principio se puso celosa… pero después le dijo que esta abierta a nuevas experiencias… Ella le pidió participar de “la cita”… • Bob sigue esperando que Ezequiel viaje nuevamente a Puerto Rico y le traiga los libros, aunque esta evaluando esperar que salga la segunda edición… • Charlie no compra On-Line, pero de uno de los sitios en donde dejo sus datos, le avisaron que se hizo acreedor de un voucher por USD 250 para gastar en libros o DVDs. #1HackParaLosChicos 42
  • 43. Conclusiones III • Bob no agrego a “LaMorocha25”, Charlie si. Ellos quedaron en encontrarse esta misma noche en un sitio llamado “La Casita del Placer”. • Bob sigue sin utilizar Pendrives de compañeros en su Laptop. • Charlie termino de completar la discografía de los Beatles ya que resulto ser la banda predilecta de “LaMorocha25”. #1HackParaLosChicos 43
  • 44. Referencias I • [1] Token USB (Epass3003) http://www.macroseguridad.net/productos/tokens_usb/epass 3000_auto/index.php • [2] SIMP (SimpleLite, The Free MSN Messenger Encryption) http://www.secway.fr/us/products/simplite_msn/home.php • [3] How to turn on automatic logon in Windows 7 http://answers.microsoft.com/en- us/windows/forum/windows_7-security/how-to-turn-on- automatic-logon-in-windows-7/99d4fe75-3f22-499b-85fc- c7a2c4f728af • [4] Cadenas de Correo http://www.rompecadenas.com.ar/ #1HackParaLosChicos 44
  • 45. Referencias II • [5] Defeating Citibank Virtual Keyboard *…] http://www.zdnet.com/blog/security/hacker-demos-how-to- defeat-citibanks-virtual-keyboard/195 • [6] Anti-Phishing Working Group http://www.antiphishing.org/ • [7] GnuPG http://www.gnupg.org/ • *8+ El caso de “Alice Storkke” http://blog.segu-info.com.ar/2007/05/y-si-miles-de-personas- tuvieran-tu-foto.html • [9] Amazon Hacked? • http://www.theregister.co.uk/2001/03/07/amazon_despite _denials_was_warned/ • [10] USB Hacks • http://hak5.org/usb-hacksaw #1HackParaLosChicos 45
  • 46. Preguntas? [@my4ng3l] #1HackParaLosChicos 46
  • 47. Muchas Gracias!! #1hackparaloschicos [@my4ng3l]