martes, 7 de noviembre de 2017

Andalucía te hackea, ve con cuidado

Estuve en una charla sobre emprendimiento y presentaron un concurso peculiar en el que presentas tus ideas de empresa y escogen a las 100 mejores ideas por provincia y en la fase final te reunen con un grupo de personas y te ayudan a elaborar esa idea. La propuesta me parece muy iteresante para romper con eso de que Andalucía no emprende, no obstante, llegó el momento en el que enseñaron la web y tuve ojo del Halcón.


Todo comenzó con una servicio de login que estaba montado bajo HTTP, por lo cual las credenciales viajaban en texto claro, algo muy peligroso, aunque no era lo peor.


Si accedías a la zona de registro, podías ver que te pedían muchos datos, necesarios, pero unos cuantos datos.


Aunque sin duda, lo que más gracia me hizo fue que te pidiesen aceptar la Cláusula LOPD cuando su web, la cuál te pedía dirección de correo electrónico, contraseña, nombre, apellidos, provincia, localidad y opcionalmente el teléfono, iba en texto claro por el puerto 80. Un gran chiste.


Y claro, tú tenías un sniffer a la escucha y podrías sacar toda esa información sin problema, ya que vimos la semana pasada lo fácil que era hacer un MiTM con un Fake AP .


Lo peor es que te enviaban un correo con tus credenciales en texto plano, para que cualquiera que estuviese realizando un ataque de MiTM pudiese leer el mensaje sin cifrar. Una muy mala idea.


Una de mis partes favoritas, es que podías ingresar tus ideas de negocios, pero claro, el sitio iba bajo HTTP, por lo que cualquier idea que guardases...


...te lo veían en tiempo real con un sniffer y un sencillo esquema de MiTM. Una idea peor aún.

Conclusiones

En la fase final, estarían todos los equipos trabajando con sus ideas en un mismo lugar todos reunidos utilizando sus teléfonos móviles,  tablets y/u ordenadores...¡AJÁ! Si utilizan sus ordenadores, es muy probable que la organización habilite una red wifi para que todos los participantes se conecten...y si la red wifi es sin contraseña, el problema es doble, ya que a ese evento va gente de todo tipo, y entre ellos, gente que sepa un poco de informática y que, por tal de ganar el concurso, podría sabotear a los demás equipos montando un punto de acceso desde su ordenador para montar un FAKE AP y que todos o gran parte de los participantes se conecten a él y el atacante pueda ver todo el tráfico.

¿Os imagináis que existiese un chat de equipo bajo HTTP y este atacante pudiese ver los chats de todos los equipos y saber las ideas que va a tener cada equipo? U ¿Os imagináis que el jurado se conectase a la red wifi para elegir el ganador, pero el atacante consiguiese entrar en la cuenta de uno de los jurados utilizando este esquema de MiTM y aprovechando que la web va bajo HTTP, para entrar a su cuenta y cambiar el ganador y así llevarse el dinero o lo que sea el premio?

Mal trabajado, chicos, queréis que Andalucía empiece a innovar, no a copiar y falsificar, no se lo podemos poner tan fácil a gente con este tipo de ideas.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...