Bob toma medidas de seguridad como usar contraseñas seguras y evitar conectarse a redes desconocidas, mientras que Charlie es descuidado con su seguridad al usar contraseñas débiles, chatear con extraños y descargar archivos de fuentes desconocidas. Al final, las acciones prudentes de Bob lo mantienen seguro, mientras que la falta de precaución de Charlie podría ponerlo en riesgo.

1. 10 maneras de ser estafado Hernán M. Racciatti SICinformática - i nfo@sicinformática.com.ar http://www.sicinformatica.com.ar “ Desventuras… del Ser Paranoico”

2. http ://creativecommons.org/licenses/by-nc-sa/2.5/ar/ Ud. puede: Copiar, distribuir, exhibir, y ejecutar la obra Hacer obras derivadas Bajo las siguientes condiciones: Atribución. Debe atribuir la obra en la forma especificada por el autor No Comercial. No puede usar esta obra con fines comerciales. Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre esta obra, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta. Licencia de uso: Creative Commons 2.5 Argentina

3. Conociendo a los Personajes Un Día Comienza Tareas matutinas Acceso a Home Banking Fotos On-Line Compra On-Line Chat con Extraños Dispositivos USB Conclusiones Referencias Temario

4. 31 Años Senior Security Consultant Licenciado en Sistemas de Información Investigador Independiente de Seguridad CISSP, CEH, MCSE, CCNA, CCSP, ABCD, A234, MKXR, YAH, HAY, EAEAPEPE, etc. Conociendo a Bob

5. 27 Años Estudiante de Diseño [ Completar aquí ] [ Completar aquí ] [ Completar aquí ] Conociendo a Charlie

6. Bob llega a la oficina Enciende su Laptop Ingresa la password de su BIOS Coloca el TOKEN USB [1] Ingresa su Huella Dactilar Ingresa su user y password de SO Ingresa su password de SIMP [2] Ingresa su user y password de Messenger Ingresa su user y password de Gmail Bob esta listo para comenzar a trabajar Un día comienza: Bob

7. Charlie llega a la oficina Enciende su Laptop Su equipo esta configurado con “automatic logon” [3] Su Messenger esta configurado para iniciar automáticamente al inicio Su Gmail esta configurado con la opción “Remember me on this computer” Charlie esta listo para comenzar a trabajar Un día comienza: Charlie

8. Bob comienza a chequear su correo Da una primera recorrida a su bandeja de entrada y elimina todo el correo que su antispam no filtro, así como todo aquel correo de fuente dudosa. Dedica los primeros 90’ su día para revisar las listas de correo a las que esta suscripto: WASC Forum Pentest – OISSG Full-Disclosure ISSAArBA Forosi DailyDave Ring of Fire Security Basics – Security Focus SecTools – Security Focus Focus MS – Security Focus Bugtraq – Security Focus Pentest – Security Focus Private 0Days for Geek Tareas Matutinas: Bob

9. Charlie comienza a chequear su correo Da una primera recorrida a su bandeja de entrada y abre todo aquel correo de titulo llamativo. Al cabo de los primeros 15 minutos: Re-envió 7 cadenas de correo [4] Descargo 3 .jpg que le parecieron interesantes Hizo lo propio con 2 .ppt que le parecieron graciosos Tareas Matutinas: Charlie

10. Bob requiere consultar su estado de cuenta bancaria Solicita permiso a su jefe para acercarse al banco en su hora de almuerzo. Bob quiere evitar el uso de la red corporativa para acceder a su cuenta bancaria. Bob conoce que el certificado digital de su banco ha expirado, y no se siente seguro aceptando un certificado expirado. A pesar de que el banco de Bob brinda la opción a sus usuarios, de utilizar un teclado virtual, Bob conoce la existencia de técnicas [5] por medio de las cuales es posible capturar el ingreso a través de su uso. Acceso a Home Banking: Bob

11. Charlie requiere consultar su estado de cuenta bancaria Dirige su browser hacia el sitio del banco Abre un .DOC de nombre “Mis Claves” Ubica en la lista su clave de acceso a Home Banking . Copy and Paste Al ingresar la clave, aparece un mensaje en ruso que dice “Su cl4v3 3s 1nc0rr3ct4 vu3lv4 4 1nt3nt4r” Vuelve a presentársele la pagina de su banco (Esta vez …. Realmente es la de su banco) [6] Copy and Paste Exporta el estado de su cuenta a un archivo de nombre “Estado de Mis cuentas.XLS” Cierra el Explorador (Sin desconectarse claro…) Acceso a Home Banking: Charlie

12. Bob recibe una llamada de su hermano, el cual hace años reside en Florida, EEUU. El le vuelve a decir que le fue imposible desencriptar las fotografías del bebe de Bob, con ese programita raro que le instalara en la notebook durante su ultimo viaje a BsAs. [7] Bob le dice que no se preocupe, que hoy mismo le enviará sus fotografías vía FedEx , de modo tal que en un par de días, finalmente pueda tenerlas en su poder. Bob conoce de la existencia de los fotologs , pero le da pánico de solo pensar lo que alguien podría hacer con sus fotos y las de su familia! Bob conoce que historias como la de “ Allison Stokke” , suceden a diario... [8] Fotos On-Line: Bob

13. Charlie recibe una llamada de su amiga Agustina, preguntándole “por que las fotos de ayer por la noche, aún no se encuentran en su fotolog!” . Charlie envía un mail a Agustina (Una Amiga que conoció por Internet) con la clave de su cuenta de www.fotolog.com , para que ella misma las suba. Fotos On-Line: Charlie

14. Bob hace tiempo que espera que su buen amigo Ezequiel , viaje a Puerto Ríco o a los EEUU, a fin de que este pueda comprarle algunos libros que aún no llegan a las librerías de Argentina. Obviamente Bob conoce de la existencia de ”Amazon” , pero no se siente seguro ingresando los datos de su tarjeta de crédito en este sitio. Bob aún recuerda que en el 2001, una subsidiaria de “Amazon” fue hackeada y durante cuatro meses, los hackers tuvieron acceso a la información de miles de clientes. [9] Compra On-Line: Bob

15. Charlie no lee libros (Tampoco los compra)… no obstante… Compra On-Line: Charlie el nunca se priva de crear cuentas en los sitios de compra On-Line , por si algún día los necesita…

16. Bob es muy selectivo con sus contactos en messenger. Su lista esta compuesta únicamente de colegas o familiares directos. Bob no suele hablar de otra cosa que no sea el tiempo, con colegas que no manejen encripción en sus clientes de IM (Instant Messaging) . Bob eventualmente ha recibido mails de hermosas chicas invitándole a que las agregue a su messenger para charlar. Bob NUNCA se pondría a chatear con extraños. El sabe que ninguna chica lo invitaría a conversar, sino que por el contrario… seguro seria alguien intentando hacerlo caer en algún truco de Ingeniería Social . Chat con Extraños: Bob

17. Charlie adora conversar con extraños. Su lista esta compuesta por cualquier persona que quiera chatear con el. El se encarga de ingresar a los salones de chat y dejar su cuenta MSN para que lo contacten. Charlie ha recibido el mismo mail que Bob , de una señorita llamada “LaMorocha25” , Bob no respondió Charlie si… y también la incluyo en su messenger. Chat con Extraños: Charlie

18. Ya casi es hora de irse, un buen amigo de Bob le acerca un PENDRIVE con unos e-Books que pueden ser de interés para el. Bob conoce que el dispositivo de su compañero es U3 [10] , y que podría contener algún tipo de carga maliciosa! Bob prefiere seguir esperando que alguien viaje para obtener los books que necesita… Dispositivos USB: Bob

19. Charlie no lee e-Books … sin embargo, el no dudo en copiarse los MP3s que se encontraban en el Pendrive del amigo de Bob . Dispositivos USB: Charlie

20. Bob tardo 10’ para poder estar listo para trabajar. Charlie tardo solo 1’. Bob tardo 90’ en leer las listas de correo, de modo tal de estar al tanto de las nuevas amenazas de seguridad. Charlie se hizo realmente popular con los chistes que memorizo de los correos y luego comento en el almuerzo. El también, re-envió uno de los .ppts que recibió a todos sus amigos y hubo varios que se lo agradecieron. Bob no pudo almorzar el día de hoy, el tuvo que ir al banco por su resumen de cuentas… Charlie conoció a una Srta. en su hora de almuerzo, y consiguió una cita para el sábado por la noche. Conclusiones I

21. El hermano de Bob … aun espera que lleguen las fotografías vía FedEx … Charlie recibió 12 “acalorados” mensajes de señoritas en su fotolog , solicitando mas “fotitos” . Dos de ellas les pidieron una cita … Agustina al principio se puso celosa… pero después le dijo que esta abierta a nuevas experiencias… Ella le pidió participar de “la cita”… Bob sigue esperando que Ezequiel viaje nuevamente a Puerto Rico y le traiga los libros, aunque esta evaluando esperar que salga la segunda edición… Charlie no compra On-Line, pero de uno de los sitios en donde dejo sus datos, le avisaron que se hizo acreedor de un voucher por u$s 250 para gastar en libros o DvDs. Conclusiones II

22. Bob no agrego a “LaMorocha25 ”, Charlie si. Ellos quedaron en encontrarse esta misma noche en un sitio llamado “La casita del Placer” . Bob sigue sin utilizar Pendrives de compañeros en su Laptop. Charlie termino de completar la discografía de los Beatles ya que resulto ser la banda predilecta de “LaMorocha25” . Conclusiones III

23. [1] Token USB (Epass2000) http ://www.macroseguridad.net/productos/Tokens_2000/index.html [2] SIMP (SimpleLite, The free MSN Messenger encryption) http://www.secway.fr/us/products/simplite_msn/home.ph [3] How to turn on automatic logon in Windows XP http://support.microsoft.com/kb/315231 [4] Cadenas de Correo http ://www.rompecadenas.com.ar [5] Defeating Citibank Virtual Keyboard […] http :// www.tracingbug.com / index.php / articles / view /23. html Referencias I

24. [6] Anti-Phishing Working Group http:// www.antiphishing.org [7] GnuPG http:// www.gnupg.org [8] El caso de “Alice Storkke” http:// seguinfo.blogspot.com /2007/05/y-si-miles-de-personas-tuvieran-tu- foto.html [9] Amazon Hacked? http ://www.theregister.co.uk/2001/03/07/amazon_despite_denials_was_warned [10] USB Hacks http://wiki.hak5.org/wiki// usb_hacks Referencias II

25. ¡Gracias por su atención!