Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Desventuras de Ser Paranoico 2.0
1. Desventuras de Ser
Paranoico 2.0
Jornada Solidaria de Seguridad de la Información
26 de julio, Buenos Aires - Argentina
2. Temario
• Conociendo a los Personajes
• Un Día Comienza
• Tareas Matutinas
• Acceso a Home Banking
• Fotos On-Line
• Compra On-Line
• Chat con Extraños
• Dispositivos USB
• Conclusiones
• Referencias
#1HackParaLosChicos 2
8. Un Día Comienza: Bob
• Bob llega a la oficina.
• Enciende su Laptop.
• Ingresa el Password de su BIOS.
• Coloca el TOKEN USB [1]
• Ingresa su Huella Dactilar.
• Ingresa su User & Password del SO.
• Ingresa su User & Password de Messenger.
• Ingresa su User & Password de Gmail.
• Ingresa su User & Password de Twitter.
• Bob esta listo para comenzar a Trabajar.
#1HackParaLosChicos 8
9. Un Día Comienza: Bob
Nota: Bob NO tiene Facebook, el conoce que no es
otra cosa que una trampa del FBI para obtener
información de las personas a gran escala
#1HackParaLosChicos 9
11. Un Día Comienza: Charlie
• Charlie llega a la Oficina.
• Enciende su Laptop.
• Su equipo esta configurado con “Automatic Logon”
[2]
• Su Messenger esta configurado para “iniciar
automáticamente al inicio”.
• Su Gmail esta configurado con la opción “Remember
me on this computer”.
#1HackParaLosChicos 11
12. Un Día Comienza: Charlie
• Facebook & Twitter se inician automáticamente al
cargar el Browser…
• Charlie esta listo para comenzar a trabajar (El ya ha
verificado que Facebook & Twitter están
funcionando correctamente…)
#1HackParaLosChicos 12
14. Tareas Matutinas: Bob
• Bob comienza a chequear su correo…
• Da una primera recorrida a su bandeja de entrada y
elimina todo el correo que su antispam no filtro, así
como todo aquel correo de fuente dudosa.
• Dedica los primeros 90’ de su día a revisar las listas
de correo a las que esta suscripto:
• WASC Forum • Security Basics – Security Focus
• Pentest – OISSG • SecTools – Security Focus
• ForoSI • Focus MS – Security Focus
• DailyDave • Bugtaq – Security Focus
• Ring of Fire • Pentest – Security Focus
• SANS • Private 0Days for Geeks
• OWASP
#1HackParaLosChicos 14
16. Tareas Matutinas: Charlie
• Charlie comienza a chequear su correo.
• Da una primera recorrida a su bandeja de entrada y
abre todo aquel correo de titulo llamativo…
#1HackParaLosChicos 16
17. Tareas Matutinas: Charlie
• Al cabo de los primeros 15 minutos:
• Re-envió 7 cadenas de correo [4]
• Descargo 3 .jpg que le parecieron interesantes
(aunque como le molesto esperar que descarguen
los 32 MB, esta pensando en upgradear su ancho
de banda…)
• Hizo lo propio con 2 .pps que le parecieron
graciosos…
#1HackParaLosChicos 17
19. Acceso a Home Banking: Bob
• Bob requiere consultar su
estado de cuenta bancaria
• Solicita permiso a su jefe
para acercarse al banco mas
cercano en su hora de
almuerzo.
• Bob quiere evitar el uso de la
red corporativa para acceder
a su cuenta bancaria.
#1HackParaLosChicos 19
20. Acceso a Home Banking: Bob
• Bob conoce que el certificado digital de su banco ha
expirado y no se siente seguro aceptando un
certificado expirado.
• A pesar de que el banco de Bob brinda la opción a
sus usuarios, de utilizar un teclado virtual, Bob
conoce la existencia de técnicas [5] por medio de las
cuales es posible capturar el ingreso a través de su
uso.
#1HackParaLosChicos 20
21. Acceso a Home Banking: Charlie
#1HackParaLosChicos 21
22. Acceso a Home Banking: Charlie
• Charlie requiere consultar su estado de cuenta
bancaria.
• Dirige su browser hacia el sitio del banco.
• Abre un .DOC de nombre “Mis Claves” al que accede
rápidamente a través de un icono en el Escritorio.
• Ubica en la lista su clave de acceso a Home Banking.
• Copy and Paste…
#1HackParaLosChicos 22
23. Acceso a Home Banking: Charlie
• Al ingresar su clave, aparece un mensaje en ruso que
dice “Su cl4v3 3s 1nc0rr3ct4 vu3lv4 4 1nt3nt4r”.
• Vuelve a presentársele la página de su banco (Esta
vez… realmente es la de su banco…) *6+
• Copy and Paste…
• Exporta el estado de su cuenta a un archivo de
nombre “Estado de Mis Cuentas.XLS”.
• Cierra el Explorador (Sin desconectarse, claro…)
#1HackParaLosChicos 23
25. Fotos On-Line: Bob
• Bob recibe una llamada de su hermano, el cual hace
años reside en Boca Ratón, Florida, EEUU.
• Este le vuelve a decir que le fue imposible
desencriptar las fotografías del bebe de Bob, con ese
programita raro que le instalara en la netbook
durante su ultimo viaje a BsAs. [7]
#1HackParaLosChicos 25
26. Fotos On-Line: Bob
• Bob le dice que no se preocupe, hoy mismo le
enviará sus fotografías vía FedEx, de modo tal que en
un par de días, finalmente pueda tenerlas en su
poder.
• Bob conoce la existencia de los fotologs, pero le da
pánico de solo pensar en lo que alguien podría hacer
con sus fotos y las de su familia!
• Bob conoce que historias como la de “Allison
Stokke”, suceden a diario… *8+
#1HackParaLosChicos 26
28. Fotos On-Line: Charlie
• Charlie recibe una llamada de su amiga Agustina,
preguntándole “por que las fotos de ayer por la
noche, aún no se encuentran en su fotolog!”
• Charlie envía un mail a Agustina (Una Amiga que
conoció por Internet) con la clave de su cuenta de
www.fotolog.com, para que ella misma las suba.
#1HackParaLosChicos 28
30. Compra On-Line: Bob
• Bob hace tiempo que espera que su buen amigo
Ezequiel viaje a Puerto Rico o a los EEUU, a fin de
que este pueda comprarle algunos libros que aún no
llegan a las librerías de Argentina.
• Obviamente Bob conoce de la existencia de
“Amazon”, pero no se siente seguro ingresando los
datos de su tarjeta de crédito en este sitio
• Bob aún recuerda que en el 2001, una subsidiaria de
“Amazon” fue hackeada y durante cuatro meses, los
hackers tuvieron acceso a la información de miles de
clientes [9]
#1HackParaLosChicos 30
32. Compra On-Line: Charlie
• Charlie no lee libros (Tampoco los compra…) no
obstante… el nunca se priva de crear cuentas en los
sitios de compra On-Line, por si algún día los
necesita…
#1HackParaLosChicos 32
34. Chat Con Extraños: Bob
• Bob es muy selectivo con sus contactos en messenger.
• Su lista esta compuesta únicamente de colegas o
familiares directos.
• Bob no suele hablar de otra cosa que no sea el tiempo,
con colegas que NO manejen encripción en sus clientes
de IM (Instant Messaging).
• Bob eventualmente ha recibido mails de hermosas chicas
invitándole a que las agregue a su messenger para
charlar.
• Bob NUNCA se pondría a chatear con extraños. El sabe
que ninguna chica lo invitaría a conversar, sino que por el
contrario… seguro sería alguien intentando hacerlo caer
en algún truco de Ingeniería Social.
#1HackParaLosChicos 34
36. Chat Con Extraños: Charlie
• Charlie adora conversar con extraños.
• Su lista esta compuesta por cualquier persona que
quiera chatear con el.
• El se encarga de ingresar a los salones de chat y
dejar su cuenta de Messenger para que lo contacten.
• Charlie ha recibido el
mismo mail que Bob, de
una señorita llamada
“LaMorocha25”, Bob no
respondió Charlie SI… y
también la incluyo en su
Messenger…
#1HackParaLosChicos 36
38. Dispositivos USB: Bob
• Ya casi es hora de irse, un buen amigo de Bob le
acerca un PENDRIVE con unos e-Books que pueden
ser de interés para el.
• Bob conoce que el dispositivo de su compañero es
U3 [10] y que podría contener algún tipo de carga
maliciosa!
• Bob prefiere seguir esperando que alguien viaje para
obtener los books que necesita…
#1HackParaLosChicos 38
40. Dispositivos USB: Charlie
• Charlie no lee e-Books… sin embargo, el no dudo en
copiarse los MP3s que se encontraban en el
Pendrive del amigo de Bob.
#1HackParaLosChicos 40
41. Conclusiones I
• Bob tardó 10’ para poder estar listo para trabajar.
• Charlie tardo solo 1’
• Bob tardó 90’ en leer las listas de correo, de modo tal
de estar al tanto de las nuevas amenazas de seguridad.
• Charlie se hizo realmente popular con los chistes que
memorizo de los correos y luego comento en el
almuerzo. El también re-envió uno de los .pps que
recibió a todos sus amigos y hubo varios que se lo
agradecieron.
• Bob no pudo almorzar el día de hoy, el tuvo que ir al
banco por su resumen de cuentas…
• Charlie conoció a una Srta. en su hora de almuerzo y
consiguió una cita para el sábado por la noche.
#1HackParaLosChicos 41
42. Conclusiones II
• El hermano de Bob… aún espera que lleguen las
fotografías vía FedEx…
• Charlie recibió 12 “acalorados” mensajes de señoritas
en su fotolog, solicitando mas “fotitos”. Dos de ellas le
pidieron una cita… Agustina al principio se puso
celosa… pero después le dijo que esta abierta a nuevas
experiencias… Ella le pidió participar de “la cita”…
• Bob sigue esperando que Ezequiel viaje nuevamente a
Puerto Rico y le traiga los libros, aunque esta
evaluando esperar que salga la segunda edición…
• Charlie no compra On-Line, pero de uno de los sitios en
donde dejo sus datos, le avisaron que se hizo acreedor
de un voucher por USD 250 para gastar en libros o
DVDs.
#1HackParaLosChicos 42
43. Conclusiones III
• Bob no agrego a “LaMorocha25”, Charlie si. Ellos
quedaron en encontrarse esta misma noche en un
sitio llamado “La Casita del Placer”.
• Bob sigue sin utilizar Pendrives de compañeros en su
Laptop.
• Charlie termino de completar la discografía de los
Beatles ya que resulto ser la banda predilecta de
“LaMorocha25”.
#1HackParaLosChicos 43
44. Referencias I
• [1] Token USB (Epass3003)
http://www.macroseguridad.net/productos/tokens_usb/epass
3000_auto/index.php
• [2] SIMP (SimpleLite, The Free MSN Messenger
Encryption)
http://www.secway.fr/us/products/simplite_msn/home.php
• [3] How to turn on automatic logon in Windows 7
http://answers.microsoft.com/en-
us/windows/forum/windows_7-security/how-to-turn-on-
automatic-logon-in-windows-7/99d4fe75-3f22-499b-85fc-
c7a2c4f728af
• [4] Cadenas de Correo
http://www.rompecadenas.com.ar/
#1HackParaLosChicos 44
45. Referencias II
• [5] Defeating Citibank Virtual Keyboard *…]
http://www.zdnet.com/blog/security/hacker-demos-how-to-
defeat-citibanks-virtual-keyboard/195
• [6] Anti-Phishing Working Group
http://www.antiphishing.org/
• [7] GnuPG
http://www.gnupg.org/
• *8+ El caso de “Alice Storkke”
http://blog.segu-info.com.ar/2007/05/y-si-miles-de-personas-
tuvieran-tu-foto.html
• [9] Amazon Hacked?
• http://www.theregister.co.uk/2001/03/07/amazon_despite
_denials_was_warned/
• [10] USB Hacks
• http://hak5.org/usb-hacksaw
#1HackParaLosChicos 45