jueves, 14 de septiembre de 2017

Hackeado en vivo y en directo

"Necesito voluntarios que quieran ganar 10 € en Play Store. Lo único que tendréis que hacer es escanear el código QR que hay pegado en las paredes de la sala, rellenar el formulario que os piden y seguir los pasos Tendréis que venir a mi ordenador, y en LyicsTraining, completar de oídas, la canción del Let It Go, y el que consiga mayor puntuación gana los 10€ en Play Store".

Así es como estoy comenzando las nuevas charlas que estoy dando sobre Seguridad Informática, y es que estoy empezando a participar más con la gente del público. Pensando y pensando me respondí ¿Qué mejor manera de explicar algo que ver cómo otros cometen ese error? Así que hoy o voy a explicar esos 10 primeros minutos de charla.


Y es que hace unos días os hablé de la seguridad básica de Android y para hablar mejor sobre este punto, pensé que si había gente del público que escaneasen cualquier código QR sin saber a dónde los lleva

Después rellenaban sus datos en el formulario al que los llevaba el QR


Y después seguían el enlace que les aparece una vez que envían el formulario


Podrían entender mejor el gran problema que podría suponer fiarse de cualquiera.



La canción en realidad no es nada nueva, es Fiesta Pagana de Mägo de Oz, pero es que en realidad, no es un vídeo, es un backdoor que se ha ocultado en un videoclip. Por supuesto, dependerá de que los voluntarios que se presenten, tengan activada la opción de aceptar aplicaciones de fuentes externas, algo que me he encontrado siempre que he pedido voluntarios.

Si hacen todo eso, ya estarían pasando por alto la regla que toda aplicación para realizar una tarea requiere de permisos, ya que una vez que ejecute el vídeo, el atacante tendrá permisos para todo, y lo de que cada aplicación necesita estar firmada por un certificado de confianza por tener activada la opción de aceptar aplicaciones de fuentes externas.

En este caso, no hago nada malo con los participantes, solamente sigo dando la charla, hablando sobre todo esto, y haciendo la demo en directo de cómo hackear un Windows 7 para que vean lo que podría pasar si me hubiese puesto a la escucha una vez que se presentan como voluntarios. Todo, a falta de un click.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...