Desventuras de Ser  Paranoico 2.0       Jornada Solidaria de Seguridad de la Información                    26 de julio, B...
Temario•   Conociendo a los Personajes•   Un Día Comienza•   Tareas Matutinas•   Acceso a Home Banking•   Fotos On-Line•  ...
Conociendo a Bob#1HackParaLosChicos               3
Conociendo a Bob• 37 Años.• Senior Security Consultant.• Licenciado en Sistemas de  Información.• Investigador Independien...
Conociendo a Charlie#1HackParaLosChicos                5
Conociendo a Charlie•   37 Años.•   Estudiante de Diseño (?)•   [ Completar Aquí ]•   [ Completar Aquí ]•   [ Completar Aq...
Un Día Comienza: Bob#1HackParaLosChicos               7
Un Día Comienza: Bob•   Bob llega a la oficina.•   Enciende su Laptop.•   Ingresa el Password de su BIOS.•   Coloca el TOK...
Un Día Comienza: Bob    Nota: Bob NO tiene Facebook, el conoce que no es    otra cosa que una trampa del FBI para obtener ...
Un Día Comienza: Charlie#1HackParaLosChicos               10
Un Día Comienza: Charlie• Charlie llega a la Oficina.• Enciende su Laptop.• Su equipo esta configurado con “Automatic Logo...
Un Día Comienza: Charlie• Facebook & Twitter se inician automáticamente al  cargar el Browser…• Charlie esta listo para co...
Tareas Matutinas: Bob#1HackParaLosChicos               13
Tareas Matutinas: Bob• Bob comienza a chequear su correo…• Da una primera recorrida a su bandeja de entrada y  elimina tod...
Tareas Matutinas: Charlie#1HackParaLosChicos                15
Tareas Matutinas: Charlie• Charlie comienza a chequear su correo.• Da una primera recorrida a su bandeja de entrada y  abr...
Tareas Matutinas: Charlie• Al cabo de los primeros 15 minutos:        • Re-envió 7 cadenas de correo [4]        • Descargo...
Acceso a Home Banking: Bob#1HackParaLosChicos              18
Acceso a Home Banking: Bob• Bob requiere consultar su  estado de cuenta bancaria• Solicita permiso a su jefe  para acercar...
Acceso a Home Banking: Bob• Bob conoce que el certificado digital de su banco ha  expirado y no se siente seguro aceptando...
Acceso a Home Banking: Charlie#1HackParaLosChicos               21
Acceso a Home Banking: Charlie• Charlie requiere consultar su estado de cuenta  bancaria.• Dirige su browser hacia el siti...
Acceso a Home Banking: Charlie• Al ingresar su clave, aparece un mensaje en ruso que  dice “Su cl4v3 3s 1nc0rr3ct4 vu3lv4 ...
Fotos On-Line: Bob#1HackParaLosChicos                24
Fotos On-Line: Bob• Bob recibe una llamada de su hermano, el cual hace  años reside en Boca Ratón, Florida, EEUU.• Este le...
Fotos On-Line: Bob• Bob le dice que no se preocupe, hoy mismo le  enviará sus fotografías vía FedEx, de modo tal que en  u...
Fotos On-Line: Charlie#1HackParaLosChicos                 27
Fotos On-Line: Charlie• Charlie recibe una llamada de su amiga Agustina,  preguntándole “por que las fotos de ayer por la ...
Compra On-Line: Bob#1HackParaLosChicos              29
Compra On-Line: Bob• Bob hace tiempo que espera que su buen amigo  Ezequiel viaje a Puerto Rico o a los EEUU, a fin de  qu...
Compra On-Line: Charlie#1HackParaLosChicos               31
Compra On-Line: Charlie• Charlie no lee libros (Tampoco los compra…) no  obstante… el nunca se priva de crear cuentas en l...
Chat Con Extraños: Bob#1HackParaLosChicos               33
Chat Con Extraños: Bob• Bob es muy selectivo con sus contactos en messenger.• Su lista esta compuesta únicamente de colega...
Chat Con Extraños: Charlie#1HackParaLosChicos                35
Chat Con Extraños: Charlie• Charlie adora conversar con extraños.• Su lista esta compuesta por cualquier persona que  quie...
Dispositivos USB: Bob#1HackParaLosChicos                37
Dispositivos USB: Bob• Ya casi es hora de irse, un buen amigo de Bob le  acerca un PENDRIVE con unos e-Books que pueden  s...
Dispositivos USB: Charlie#1HackParaLosChicos                 39
Dispositivos USB: Charlie• Charlie no lee e-Books… sin embargo, el no dudo en  copiarse los MP3s que se encontraban en el ...
Conclusiones I• Bob tardó 10’ para poder estar listo para trabajar.• Charlie tardo solo 1’• Bob tardó 90’ en leer las list...
Conclusiones II• El hermano de Bob… aún espera que lleguen las  fotografías vía FedEx…• Charlie recibió 12 “acalorados” me...
Conclusiones III• Bob no agrego a “LaMorocha25”, Charlie si. Ellos  quedaron en encontrarse esta misma noche en un  sitio ...
Referencias I• [1] Token USB (Epass3003)        http://www.macroseguridad.net/productos/tokens_usb/epass        3000_auto/...
Referencias II• [5] Defeating Citibank Virtual Keyboard *…]        http://www.zdnet.com/blog/security/hacker-demos-how-to-...
Preguntas?                      [@my4ng3l]#1HackParaLosChicos                46
Muchas Gracias!!  #1hackparaloschicos     [@my4ng3l]
Upcoming SlideShare
Loading in …5
×

Desventuras de Ser Paranoico 2.0

4,582 views

Published on

Desventuras de Ser Paranoico 2.0
Hernán Racciatti
1hackparaloschicos

Published in: Technology
  • Be the first to comment

Desventuras de Ser Paranoico 2.0

  1. 1. Desventuras de Ser Paranoico 2.0 Jornada Solidaria de Seguridad de la Información 26 de julio, Buenos Aires - Argentina
  2. 2. Temario• Conociendo a los Personajes• Un Día Comienza• Tareas Matutinas• Acceso a Home Banking• Fotos On-Line• Compra On-Line• Chat con Extraños• Dispositivos USB• Conclusiones• Referencias#1HackParaLosChicos 2
  3. 3. Conociendo a Bob#1HackParaLosChicos 3
  4. 4. Conociendo a Bob• 37 Años.• Senior Security Consultant.• Licenciado en Sistemas de Información.• Investigador Independiente de Seguridad.• CISSP, CEH, MCSE, CCNA, CCSP, ABCD, A234, MKXR, YEHA, EAEAPEPE, etc.#1HackParaLosChicos 4
  5. 5. Conociendo a Charlie#1HackParaLosChicos 5
  6. 6. Conociendo a Charlie• 37 Años.• Estudiante de Diseño (?)• [ Completar Aquí ]• [ Completar Aquí ]• [ Completar Aquí ]#1HackParaLosChicos 6
  7. 7. Un Día Comienza: Bob#1HackParaLosChicos 7
  8. 8. Un Día Comienza: Bob• Bob llega a la oficina.• Enciende su Laptop.• Ingresa el Password de su BIOS.• Coloca el TOKEN USB [1]• Ingresa su Huella Dactilar.• Ingresa su User & Password del SO.• Ingresa su User & Password de Messenger.• Ingresa su User & Password de Gmail.• Ingresa su User & Password de Twitter.• Bob esta listo para comenzar a Trabajar.#1HackParaLosChicos 8
  9. 9. Un Día Comienza: Bob Nota: Bob NO tiene Facebook, el conoce que no es otra cosa que una trampa del FBI para obtener información de las personas a gran escala#1HackParaLosChicos 9
  10. 10. Un Día Comienza: Charlie#1HackParaLosChicos 10
  11. 11. Un Día Comienza: Charlie• Charlie llega a la Oficina.• Enciende su Laptop.• Su equipo esta configurado con “Automatic Logon” [2]• Su Messenger esta configurado para “iniciar automáticamente al inicio”.• Su Gmail esta configurado con la opción “Remember me on this computer”.#1HackParaLosChicos 11
  12. 12. Un Día Comienza: Charlie• Facebook & Twitter se inician automáticamente al cargar el Browser…• Charlie esta listo para comenzar a trabajar (El ya ha verificado que Facebook & Twitter están funcionando correctamente…)#1HackParaLosChicos 12
  13. 13. Tareas Matutinas: Bob#1HackParaLosChicos 13
  14. 14. Tareas Matutinas: Bob• Bob comienza a chequear su correo…• Da una primera recorrida a su bandeja de entrada y elimina todo el correo que su antispam no filtro, así como todo aquel correo de fuente dudosa.• Dedica los primeros 90’ de su día a revisar las listas de correo a las que esta suscripto: • WASC Forum • Security Basics – Security Focus • Pentest – OISSG • SecTools – Security Focus • ForoSI • Focus MS – Security Focus • DailyDave • Bugtaq – Security Focus • Ring of Fire • Pentest – Security Focus • SANS • Private 0Days for Geeks • OWASP#1HackParaLosChicos 14
  15. 15. Tareas Matutinas: Charlie#1HackParaLosChicos 15
  16. 16. Tareas Matutinas: Charlie• Charlie comienza a chequear su correo.• Da una primera recorrida a su bandeja de entrada y abre todo aquel correo de titulo llamativo…#1HackParaLosChicos 16
  17. 17. Tareas Matutinas: Charlie• Al cabo de los primeros 15 minutos: • Re-envió 7 cadenas de correo [4] • Descargo 3 .jpg que le parecieron interesantes (aunque como le molesto esperar que descarguen los 32 MB, esta pensando en upgradear su ancho de banda…) • Hizo lo propio con 2 .pps que le parecieron graciosos…#1HackParaLosChicos 17
  18. 18. Acceso a Home Banking: Bob#1HackParaLosChicos 18
  19. 19. Acceso a Home Banking: Bob• Bob requiere consultar su estado de cuenta bancaria• Solicita permiso a su jefe para acercarse al banco mas cercano en su hora de almuerzo.• Bob quiere evitar el uso de la red corporativa para acceder a su cuenta bancaria.#1HackParaLosChicos 19
  20. 20. Acceso a Home Banking: Bob• Bob conoce que el certificado digital de su banco ha expirado y no se siente seguro aceptando un certificado expirado.• A pesar de que el banco de Bob brinda la opción a sus usuarios, de utilizar un teclado virtual, Bob conoce la existencia de técnicas [5] por medio de las cuales es posible capturar el ingreso a través de su uso.#1HackParaLosChicos 20
  21. 21. Acceso a Home Banking: Charlie#1HackParaLosChicos 21
  22. 22. Acceso a Home Banking: Charlie• Charlie requiere consultar su estado de cuenta bancaria.• Dirige su browser hacia el sitio del banco.• Abre un .DOC de nombre “Mis Claves” al que accede rápidamente a través de un icono en el Escritorio.• Ubica en la lista su clave de acceso a Home Banking.• Copy and Paste…#1HackParaLosChicos 22
  23. 23. Acceso a Home Banking: Charlie• Al ingresar su clave, aparece un mensaje en ruso que dice “Su cl4v3 3s 1nc0rr3ct4 vu3lv4 4 1nt3nt4r”.• Vuelve a presentársele la página de su banco (Esta vez… realmente es la de su banco…) *6+• Copy and Paste…• Exporta el estado de su cuenta a un archivo de nombre “Estado de Mis Cuentas.XLS”.• Cierra el Explorador (Sin desconectarse, claro…)#1HackParaLosChicos 23
  24. 24. Fotos On-Line: Bob#1HackParaLosChicos 24
  25. 25. Fotos On-Line: Bob• Bob recibe una llamada de su hermano, el cual hace años reside en Boca Ratón, Florida, EEUU.• Este le vuelve a decir que le fue imposible desencriptar las fotografías del bebe de Bob, con ese programita raro que le instalara en la netbook durante su ultimo viaje a BsAs. [7]#1HackParaLosChicos 25
  26. 26. Fotos On-Line: Bob• Bob le dice que no se preocupe, hoy mismo le enviará sus fotografías vía FedEx, de modo tal que en un par de días, finalmente pueda tenerlas en su poder.• Bob conoce la existencia de los fotologs, pero le da pánico de solo pensar en lo que alguien podría hacer con sus fotos y las de su familia!• Bob conoce que historias como la de “Allison Stokke”, suceden a diario… *8+#1HackParaLosChicos 26
  27. 27. Fotos On-Line: Charlie#1HackParaLosChicos 27
  28. 28. Fotos On-Line: Charlie• Charlie recibe una llamada de su amiga Agustina, preguntándole “por que las fotos de ayer por la noche, aún no se encuentran en su fotolog!”• Charlie envía un mail a Agustina (Una Amiga que conoció por Internet) con la clave de su cuenta de www.fotolog.com, para que ella misma las suba.#1HackParaLosChicos 28
  29. 29. Compra On-Line: Bob#1HackParaLosChicos 29
  30. 30. Compra On-Line: Bob• Bob hace tiempo que espera que su buen amigo Ezequiel viaje a Puerto Rico o a los EEUU, a fin de que este pueda comprarle algunos libros que aún no llegan a las librerías de Argentina.• Obviamente Bob conoce de la existencia de “Amazon”, pero no se siente seguro ingresando los datos de su tarjeta de crédito en este sitio• Bob aún recuerda que en el 2001, una subsidiaria de “Amazon” fue hackeada y durante cuatro meses, los hackers tuvieron acceso a la información de miles de clientes [9]#1HackParaLosChicos 30
  31. 31. Compra On-Line: Charlie#1HackParaLosChicos 31
  32. 32. Compra On-Line: Charlie• Charlie no lee libros (Tampoco los compra…) no obstante… el nunca se priva de crear cuentas en los sitios de compra On-Line, por si algún día los necesita…#1HackParaLosChicos 32
  33. 33. Chat Con Extraños: Bob#1HackParaLosChicos 33
  34. 34. Chat Con Extraños: Bob• Bob es muy selectivo con sus contactos en messenger.• Su lista esta compuesta únicamente de colegas o familiares directos.• Bob no suele hablar de otra cosa que no sea el tiempo, con colegas que NO manejen encripción en sus clientes de IM (Instant Messaging).• Bob eventualmente ha recibido mails de hermosas chicas invitándole a que las agregue a su messenger para charlar.• Bob NUNCA se pondría a chatear con extraños. El sabe que ninguna chica lo invitaría a conversar, sino que por el contrario… seguro sería alguien intentando hacerlo caer en algún truco de Ingeniería Social.#1HackParaLosChicos 34
  35. 35. Chat Con Extraños: Charlie#1HackParaLosChicos 35
  36. 36. Chat Con Extraños: Charlie• Charlie adora conversar con extraños.• Su lista esta compuesta por cualquier persona que quiera chatear con el.• El se encarga de ingresar a los salones de chat y dejar su cuenta de Messenger para que lo contacten. • Charlie ha recibido el mismo mail que Bob, de una señorita llamada “LaMorocha25”, Bob no respondió Charlie SI… y también la incluyo en su Messenger…#1HackParaLosChicos 36
  37. 37. Dispositivos USB: Bob#1HackParaLosChicos 37
  38. 38. Dispositivos USB: Bob• Ya casi es hora de irse, un buen amigo de Bob le acerca un PENDRIVE con unos e-Books que pueden ser de interés para el.• Bob conoce que el dispositivo de su compañero es U3 [10] y que podría contener algún tipo de carga maliciosa!• Bob prefiere seguir esperando que alguien viaje para obtener los books que necesita…#1HackParaLosChicos 38
  39. 39. Dispositivos USB: Charlie#1HackParaLosChicos 39
  40. 40. Dispositivos USB: Charlie• Charlie no lee e-Books… sin embargo, el no dudo en copiarse los MP3s que se encontraban en el Pendrive del amigo de Bob.#1HackParaLosChicos 40
  41. 41. Conclusiones I• Bob tardó 10’ para poder estar listo para trabajar.• Charlie tardo solo 1’• Bob tardó 90’ en leer las listas de correo, de modo tal de estar al tanto de las nuevas amenazas de seguridad.• Charlie se hizo realmente popular con los chistes que memorizo de los correos y luego comento en el almuerzo. El también re-envió uno de los .pps que recibió a todos sus amigos y hubo varios que se lo agradecieron.• Bob no pudo almorzar el día de hoy, el tuvo que ir al banco por su resumen de cuentas…• Charlie conoció a una Srta. en su hora de almuerzo y consiguió una cita para el sábado por la noche.#1HackParaLosChicos 41
  42. 42. Conclusiones II• El hermano de Bob… aún espera que lleguen las fotografías vía FedEx…• Charlie recibió 12 “acalorados” mensajes de señoritas en su fotolog, solicitando mas “fotitos”. Dos de ellas le pidieron una cita… Agustina al principio se puso celosa… pero después le dijo que esta abierta a nuevas experiencias… Ella le pidió participar de “la cita”…• Bob sigue esperando que Ezequiel viaje nuevamente a Puerto Rico y le traiga los libros, aunque esta evaluando esperar que salga la segunda edición…• Charlie no compra On-Line, pero de uno de los sitios en donde dejo sus datos, le avisaron que se hizo acreedor de un voucher por USD 250 para gastar en libros o DVDs.#1HackParaLosChicos 42
  43. 43. Conclusiones III• Bob no agrego a “LaMorocha25”, Charlie si. Ellos quedaron en encontrarse esta misma noche en un sitio llamado “La Casita del Placer”.• Bob sigue sin utilizar Pendrives de compañeros en su Laptop.• Charlie termino de completar la discografía de los Beatles ya que resulto ser la banda predilecta de “LaMorocha25”.#1HackParaLosChicos 43
  44. 44. Referencias I• [1] Token USB (Epass3003) http://www.macroseguridad.net/productos/tokens_usb/epass 3000_auto/index.php• [2] SIMP (SimpleLite, The Free MSN Messenger Encryption) http://www.secway.fr/us/products/simplite_msn/home.php• [3] How to turn on automatic logon in Windows 7 http://answers.microsoft.com/en- us/windows/forum/windows_7-security/how-to-turn-on- automatic-logon-in-windows-7/99d4fe75-3f22-499b-85fc- c7a2c4f728af• [4] Cadenas de Correo http://www.rompecadenas.com.ar/#1HackParaLosChicos 44
  45. 45. Referencias II• [5] Defeating Citibank Virtual Keyboard *…] http://www.zdnet.com/blog/security/hacker-demos-how-to- defeat-citibanks-virtual-keyboard/195• [6] Anti-Phishing Working Group http://www.antiphishing.org/• [7] GnuPG http://www.gnupg.org/• *8+ El caso de “Alice Storkke” http://blog.segu-info.com.ar/2007/05/y-si-miles-de-personas- tuvieran-tu-foto.html• [9] Amazon Hacked? • http://www.theregister.co.uk/2001/03/07/amazon_despite _denials_was_warned/• [10] USB Hacks • http://hak5.org/usb-hacksaw#1HackParaLosChicos 45
  46. 46. Preguntas? [@my4ng3l]#1HackParaLosChicos 46
  47. 47. Muchas Gracias!! #1hackparaloschicos [@my4ng3l]

×