Tag Archive for Facebook

Matias Katz | 22:40 hrs.
2 comments

Campus Party Colombia 2012 – Parte 3

Nota: Esta es la continuación de dos posts anteriores sobre el mismo evento:

http://www.matiaskatz.com/campus-party-colombia-2012-parte-1/
http://www.matiaskatz.com/campus-party-colombia-2012-parte-2/

En este mega post incluiré los eventos ocurridos los días Miércoles, Jueves, Viernes y Sábado. No es por nada, simplemente tuve fiaca d eescribir los últimos días :D

Durante los últimos días de evento estuve muy enfocado en adelantar trabajo para una presentación importante que voy a dar en Julio, por lo que no presté mucha atención a las charlas.

Sin embargo, paseé bastante por los pasillos del salón y saqué muchas fotos copadas, para llevarme de recuerdo y compartir con ustedes.

Primero, pasé por la sección de modding:

Hermosos cases hechos a base de objetos contundentes, con un increible nivel artístico.

Luego, a socializar un poquito con las promotoras de la exposición:

Y a seguir viendo cosas raras:

Luego tocó el turno a Andrez Lamouroux de dar su charla “La piña Wi-Fi”, en donde explicó en detalle el proyecto que les comenté hace unas semanas:

Después, fue el turno del fenomenal Alfonso Deluque, quien nos mostró como es posible descifrar un malware para ver su contenido y analizarlo completamente:

Luego, como todas las noches, el evento se tornó…. Freaky.

Ocurren cosas como ésta:

O ésta:

O en el peor de los casos… ésta:

Y nunca está de más un poco de fútbol:

Un Street Fighter en Xbox 360 con super joysticks espectaculares que simulan los de los videojuegos:

Un campeonato de Gears of War de 4 jugadores en simultáneo en monitores de 40 pulgadas:

O un simple partidito de Poker entre amigos:


En fin… la noche en la Campus Party es rara :D

Aquí tienen un video de 5 minutos mostrando la magnitud de este evento, y lo maravilloso que es:

Durante todo el evento estuve entregando stickers de Mkit a los asistentes que me lo fueron pidiendo. Ayer a la noche me fui de paseo por el salón sacándole foto a las laptops donde habían pegado los stickers.

Encontre muchísimas :D
 

El sábado a la mañana, a las 10 am para ser más específico, arrancó mi charla “Creando un empaquetador indetectable en menos de 4 minutos”, en la cual mostré que tan facilmente se puede logar evadir los controles del software antivirus.

A pesar de ser un sábado a las 10 am, la charla tuvo muchísimos asistentes. Salió de 10, nos divertimos y las demos salieron perfectas :D

Les dejo el video de la charla para que la disfruten:

Hoy durante todo el sábado estuve charlando con amigos, programando, y empezando la tan dolorosa despedida.

A la tardecita hice un desafío de análisis forense sobre VoIP desarrollado por Giovanni Cruz ForeroDaniel Rodriguez, en el cual tuvimos que identificar llamadas a Burkina Faso por un agente infiltrado. Muy divertido :D

Bueno, estimados lectores… Temo que debo emprender la retirada de este post. Ha sido una semana intensa, entretenida y llena de contenidos. Aprendi muchas cosas, hice nuevas amistades, y me divertí haciéndolo.

Les dejo como contenido final un resumen de la Campus Party en la que (misteriosamente) tengo una aparición importante:

También les dejo unos saludos especiales para Buenos Aires, de parte de unas de las chicas mas lindas de la conferencia :D

La verdad, fue uno de los mejores eventos a los que tuve el privilegio de asistir. Estoy muy contento de haber venido, y muy agradecido a la organización por haberme invitado.

Espero poder volver el próximo año.

Es un evento 100% recomendable. El estar aquí despierta y estimula las 24 hs del día, durante toda la semana, al animal geek que tenemos dentro.

Saludos para todos, nos vemos en el próximo post!

Category: Seguridad | Tags: , , , , , , , , , , ,
Matias Katz | 17:52 hrs.
3 comments

Campus Party Colombia 2012 – Parte 2

Nota: Esta es la continuación de un post anterior sobre el mismo evento.

Continuando con los posts sobre este fantástico evento, voy a contarles sobre el día de ayer, Miércoles 27.

El día empezó tranquilo, hubieron pocas charlas pero el hall estuvo bastante movido.

En el post anterior les mostré un video del hall, pero como era el primer día mucha gente todavía no había venido. Es por eso que subí otro video, esta vez con el hall de eventos lleno en un 80% para que vean la magnitud de este evento. 5000 campuseros, haciendo su vida tranquilamente, con internet, musica, comida, bebida y amigos:

Bueno, continuando con el dia…

Luego de un buen almuerzo (frijoles, carne y arroz, plato típico de la zona)

Y de visitar a unas lindas promotoras

Fue momento de iniciar mi primera charla en la Campus, la cual comenzó a las 16:10, con un pequeño atraso.

El título de la charla es “Hackeando con Facebook”, fue la misma que di anteriormente en Buenos Aires y en Manizales, Colombia.

Logré mostrar vulnerabilidades en el diseño de Facebook, que permiten realizar fácilmente un ataque de ingeniería social utilizando como herramienta de ataque, esta plataforma.

La charla es un resumen de las investigaciones realizadas con el Blog de Mkit, en conjunto con Gustavo Ogawa, researcher de nuestra empresa.

Para ver los resultados de la investigación, pueden entrar aquí.

Para mi asombro, la charla fue presenciada por mucha gente. Y cuando digo mucha, quiero decir MUCHA :)

Pero para que explicarles, si puedo mostrarles!

La charla fue todo un éxito. Algunas demos no querían salir, pero finalmente pude hacer todo :)

Les dejo el video de la charla:

La verdad es que fue todo un espectáculo. La gente se volvió loca al ver los resultados de las demos.

Desde el final de mi charla, hasta hoy inclusive, se ven decenas de chicos y chicas con sus laptops tratando de replicar los ataques.

También se me acercan muchos con la laptop en la mano mostrándome donde se quedaron trabados, y pidiéndome consejos sobre como seguir.

Algunos pudieron hacer parte, algunos pudieron hacer todos.

La verdad es que ver a tanta gente incorporando los conceptos de mi charla, y tratando de replicarlos, me llena de satisfacción.

Al finalizar el día tuvimos una misteriosa visita de un ente muy conocido…

Un miembro de Anonymous!!

Estuvo paseando por los pasillos, hackeando computadoras con su mente :D

Pero no se fue sin antes sacarse una foto para la comunidad de la Campus Party Colombia 2012:

Y mandó también un saludo al departamento de policía de Bogotá:

(Cualquier similitud con una persona específica que puedan conocer, es pura casualidad :P )

Un segundo día de Campus Party es-pec-ta-cu-lar. Y todavía falta muchísimo mas!!

Mañana subiré un nuevo post, sobre hoy, Jueves 28.

Edit: Aquí está el tercer resumen del evento.

Saludos!

Category: Seguridad | Tags: , , , , , , , , , , ,
Matias Katz | 14:39 hrs.
5 comments

Campus Party Colombia 2012 – Parte 1

Estoy muy contento de compartir con ustedes el hecho de que por primera vez en mi vida fui invitado a disertar en una Campus Party.

Pero antes que nada…. Qué es una Cabarcamp, Bogota, Campus Party, Charla, Colombia, event, Evento, Facebook, Hacking, Malware, Talk, Trainingmpus Party?

Este evento es totalmente diferente del resto de los eventos.

En la Campus.. la gente ACAMPA!!

Los asistentes hacen colas largas, llevando con ellos bolsos, mochilas, bolsas de dormir, y sus computadoras, ya sean laptop, desktop, o server.

Además, traen consolas Xbox 360, PS3, kits de guitarra y batería para Guitar Hero, y hasta televisores de 32 a 40 pulgadas.

El auditorio es gigante, entran 5000 personas:

Un muy copado escenario, con bandas tocando todas las noches:

Y una sección “Arte” en la cual la gente arma los mas raros y espectaculares gabinetes:

(Si, eso que figura en la foto es un gabinete :D )

Obviamente, nunca faltan los PWNs

También un buen rato divertido usando la Pineapple:

O la presencia como todos los años del fenomenal Jon “Maddog” Hall

Les dejo un pequeño videito de como se vive aca:

Otro videito mas:

Hubo un excelente cierre de dia con la participación de Akira Yamaoka, el creador del Soundtrack para el juego Silent Hill, dando un recital en guitarra en vivo!! :D

La única charla que fui a ver ayer es la de mi amigo Giovanni Cruz, quien habló sobre un Framework para gestionar respuesta a incidentes sobre plataformas VoIP (la especialidad de Giovanni).

Hoy me toca dar la primera de mis charlas. A las 16 hs (GMT-5) voy a hablar sobre Ingeniería Social usando Facebook.

Si lo quieren ver en vivo, por streaming, ingresen aquí:  http://live.campus-party.org/

Link de la Campus Party:  http://www.campus-party.com.co/

Mañana publicaré otro post, sobre los eventos de hoy :D

Edit: Aquí está el link al segundo post

Saludos!

Category: Seguridad | Tags: , , , , , , , , , , ,
Matias Katz | 19:44 hrs.
No comments

CXO Community – V Jornada de Gestión de la Identidad en la Era Digital

V Jornada de Gestión de la Identidad en la Era Digital

Este miércoles 21 de Marzo, CXO Community organiza su quinta Jornada de Gestión de la Identidad en la Era Digital.

El evento se realizará en la Universidad del CEMA, ubicada en Reconquista 775 (Ciudad de Buenos Aires).

Este evento tiene como objetivo el informar, actualizar y brindar a los ejecutivos y especialistas de un profundo conocimiento del actual impacto en las organizaciones sobre la gestión de identidades, medios de identificación y protección de la información confidencial y personal.

Mkit Argentina ha sido invitada a participar en el evento, dando una charla.

Estaremos demostrando los riesgos aparejados al uso de las redes sociales, utilizando preferentemente como único vector de ataque, Facebook. Se tomará provecho del uso de funciones nativas de Facebook para realizar un ataque de Ingenierí­a Social creando notas falsas, perfiles falsos, envio de mensajes falsos. El objetivo final es realizar un Profiling completo de la ví­ctima accediendo a sus datos privados sin tener un previo contacto, y en el mejor de los casos, tomar control de su equipo.

Link a la agenda completa

Los esperamos ahi!

Fuente: Blog de Mkit Argentina

Category: Seguridad | Tags: , , , , , , , , , , , ,
Matias Katz | 18:19 hrs.
2 comments

Facebook o SET ?

El título hace referencia a SET (Social Engineering Toolkit), ya que en reiteradas y comprobadas ocasiones, facebook actúa como plataforma de propagación de phishing.

Una vez más, hemos detectado un modesto y permisivo error de diseño por parte de Facebook que permitiría a un atacante, generar un vector de propagación de phishing. Nuevamente, no hay reportes hasta el momento sobre el mal uso de dicha funcionalidad.
Anteriormente publicamos 1 artículo que se relaciona directamente con este ataque: Ingenieria Social A traves Del boton “Me Gusta” , si no lo leyeron todavía, los invitamos a hacer una revisión rápida para una mejor comprensión de las posibles combinaciones.

Como se detalla en el artículo anterior, un atacante puede hacerse del fallo de diseño para aumentar la confiabilidad y reputación de una nota, para luego modificarla y publicar links con contenido malicioso en ella. En este caso particular sumamos la posibilidad de generar 2 nuevos aditivos que hacen más “Llamativa” la nota a la hora de hacer click sobre un supuesto link inofensivo.

En primer lugar, podemos insertar fotos en la nota, algo conocido ya hace mucho tiempo. En nuestro caso fuimos capaces de insertar la imagen desde una URL externa utilizando sobre la nota código HTML.

Ejemplo:

<img SRC=”http://www.mkit.com.ar/imagen.jpg” alt=”imagen”></img>

En segundo lugar, a base de prueba y error, logramos insertar un “a href” con la posibilidad de moficar el nombre del hipervinculo.

Ejemplo:

<a href=”http://www.dominiomalicioso.com/malware.exe”>http://www.mkit.com.ar/blog</a>

Nuevamente, un atacante puede “Esconder” gracias a estas funcionalidades, su redirección a un sitio contaminado o bien con algún engaño elaborado para hacer que el usuario caiga en su trampa.

En las pruebas de rutina del funcionamiento del “Posible” ataque, logramos comprobar cierto comportamiento:

  1. Si se comparte la nota sobre el muro y, si se agrego como nombre de hipervínculo la expresión “http://”, y se intenta hacer click EN el link de la nota EN el muro, el usuario va a ser redirigido hacia el sitio que dice el NOMBRE del hipervínculo sin importar cual sea el “a href”. En el caso del ejemplo de arriba, se redirecciona hacia “http://www.mkit.com.ar/blog” en vez de “http://www.dominiomalicioso.com/malware.exe”.
    Redireccion EN muro
  2. Si se comparte la nota sobre el muro y, si NO se agrego como nombre de hipervínculo ninguna expresión del tipo “http://”, el mismo aparece en la publicación del muro como texto plano, si es que llegara a entrar en el preview de la nota.
    Redireccion EN muro SIN “http”
  3. Si se intenta hacer click sobre el hipervínculo DENTRO de la nota, entonces de cualquier forma vamos a ser dirigidos hacia el lugar donde apunte nuestro “a href”.
    Redireccion DESDE la nota

También podríamos utilizar Short URLs para ofuscar un poco más la lectura de la barra de estado para evitar a aquellos usuarios que prestan un poco más de atención.

En este caso particular, seleccione un tema de interés del momento para comprobar la curiosidad del usuario. La redirección se hace hacia un script dentro de este mismo dominio que lleva la cuenta de los visitantes para medir el impacto que tendría si publicáramos contenido malicioso.

En un conjunto aproximado de 300 nodos, un día lunes 1:30 de la madrugada, a tan solo 40 minutos de la publicación, este es el resultado Parcial:

Contador de Victimas

Actualizacion Lunes 10:25 A.M:

Contador de Victimas

Ya este numero implica aproximadamente el 15% de mis contactos.

Por más que mis contactos confíen en mi y sé que por esa misma razón entran sin preocuparse (espero al menos..), hay que crear un habito en el usuario para suplir las falencias a nivel de diseño por parte de las aplicaciones de hoy en día.

En este caso, es una cuenta personal, con pocos nodos. Imaginemos si la cuenta de alguien con más de 1000 contactos fuese robada! En cuestión de minutos un atacante seria capas de robar cientos y cientos de datos o bien comprometer esa cantidad de equipos.

Posible solución:

No permitir al usuario utilizar HTML tags en la creación de notas: Ciertamente, es poco “estético” dejar la URL cruda sin cambiar su nombre. Sin embargo, podría hacerse una diferenciación entre usuarios “Corporativos” y “Regulares” y dar permisos extras a los primeros que muy probablemente hagan buen uso de dicha funcionalidad.

Concientizar al usuario: Visto el “Avance” de los vectores de phishing anteriormente denunciados, creemos que en este y en la mayoría de los casos, la forma más eficiente y eficaz de evitar un ataque, es disciplinar al usuario e inculcar poco a poco las practicas seguras a la hora de navegar tanto en las redes sociales como en cualquier red. La lectura de la barra de estados sigue siendo de extrema importancia ANTES de hacer click sobre CUALQUIER HIPERVÍNCULO.

Fuente:  Gustavo Nicolas Ogawa, de la redacción del Blog de Mkit Argentina

Category: Seguridad | Tags: , , , , , , , , , , ,
« Older Entries