La información que a continuación compartó con ustedes, la he compartido de antemano con las entidades bancarias aquí mencionadas. Mi objetivo no es fomentar Fud sino dar sugerencias y observaciones sobre debilidades que he analizado y que quizá puedan ser corregidas, de hecho como lo comente en otro foro ya se estan haciendo cambios en los teclados virtuales, pero bueno concentremos en este tema que es:
¿Es Posible Obtener El Pin de Cualquier Cuenta Bancaría?
Permitame comentarles algo, cualquier contraseña o pin puede ser encontrado fácilmente, me explico
Las contraseñas que utiliza Bancolombia y conavi, son claves de 4 digitos, bien ahora la pregunta es:
¿Cuantas combinaciones de 4 cifras se puden hacer con los números del 0 al 9?
La respuesta es: 10000 exactamente. Matematicamente ni una más, es más donde fueran combinaciones
sin repetir sólo serían :5040, pero como sabemos uno puede repetir digitos, por lo tanto por más que usted
yo o cualquiera piense una combinación de 4 cifras, la combinación resultante esta ya contenida dentro de estas 10000 posibles combinaciones.
Ahora bien yo he diseñado un algoritmo, que puede realizar 1000 combinaciones por segundo es decir cualquier clave de 4 cifras
se puede encontrar en menos de 10 segundos.
Bueno pero quizas ustedes diran pero de que sirve eso si solamente se pueden hacer 3 intentos al loggearse en el servidor?
Bien, pero aqui es donde entran en juego la programación y la logica, se puede diseñar una aplicación que cargue 10 veces el teclado virtual en una misma pantalla y que automaticamente carguen la misma cuenta pero con distinta clave a la vez, ahora imagine que instalo dicha aplicación en una red de 100 pcs, es decir en un segundo yo estaría ensayando 1000 combianciones distintas para una misma clave y Voila! en 10 segundos obtendría el pin. A esto lo llamo un ataque de fuerza Inteligente(no bruta)
Pues simplemente hay que buscar #s de cuenta en google y aprecen miles, ensayenlo ustedes mismos, luego estos números de cuenta son almacenados en una base de datos y la bd alimenta el programa y bueno lo otro es carpinteria.
Deliro? de ninguna manera es más puedo probarlo.
En este link puedes ver el código fuente del IEFrame que carga el Teclado virtual de conavi:
Código fuente Teclado virtual Conavi https://conavi.olb.todo1.com/msfv/html/v4/B0110/Login/getEnvData.jsp#
Mira que aparece todito con lujo de detalles, hasta los java scripts, para loggearse sólo hay que manipular 2 variables, la de la cuenta y la del Password
Bien pero ustedes dirán pero si solo puedes hacer 1000 intentos a la vez y el server bloquea la cuenta a la 3a entonces de nada serviría.
Pues bien ahorita mismo estoy trabajando en ello, como lo he comentado sabemos que el pin es un número de 4 cifras contenido ya en las 10000 combinaciones posibles. Ahora si yo logrará un ataque de cluster es decir colocar una Base de datos distribuida en una red por que no en una (wan) de modo que cada nodo de esa red atacara la misma cuenta pero con una combinación distinta y todos en el mismo segundo, pue se sabe que el servidor permite hasta 4 millones de accesos a la vez, entonces si yo logrará mediante un ataque en cluster enviar las 10000 combinaciones a la vez, entonces en un segundo estaría obteniedo el pin.
Piensen donde se pudierá llegar a esto; sólo tendrias que ingresar a Google y escribir "Cuenta No" y te aparecerían miles por no decir cientos, luego esas cuentas las almacenas en una base de datos y luego el programa empieza a buscar el pin de cada cuenta, mientras tu estas durmiendo o viendo los simpsons y al otro día mira tu correo y el programa te ha enviado todas las cuentas de cuyos pines ha encontrado.
"Se los digo ahora que hay tiempo, algún día alguien hara un banker o un Loggeador que haga esto y quiza con más efetividad"
No es ciencia ficción, no es inteligencia artificial ni matemáticas superiores, no es simplemente creatividad unidad a la lógica y a la matematica combinatoria.
P.D: me gustaría que muchos de ustedes que son programadores, trabajará en esa idea y quizá descubran que todo es cuestión de ver lo que otros no han visto y de ensayar lo que otros no han hecho.
Como siempre mi objetivo es que contribuyamos a mejorar la seguridad de nuestros bancos ya que son los que nos guardan la platica.
Muy cordialmnete su amigo: zafnat-panea
truenosilencioso@gmail.com
¿Es Posible Obtener El Pin de Cualquier Cuenta Bancaría?
Permitame comentarles algo, cualquier contraseña o pin puede ser encontrado fácilmente, me explico
Las contraseñas que utiliza Bancolombia y conavi, son claves de 4 digitos, bien ahora la pregunta es:
¿Cuantas combinaciones de 4 cifras se puden hacer con los números del 0 al 9?
La respuesta es: 10000 exactamente. Matematicamente ni una más, es más donde fueran combinaciones
sin repetir sólo serían :5040, pero como sabemos uno puede repetir digitos, por lo tanto por más que usted
yo o cualquiera piense una combinación de 4 cifras, la combinación resultante esta ya contenida dentro de estas 10000 posibles combinaciones.
Ahora bien yo he diseñado un algoritmo, que puede realizar 1000 combinaciones por segundo es decir cualquier clave de 4 cifras
se puede encontrar en menos de 10 segundos.
Bueno pero quizas ustedes diran pero de que sirve eso si solamente se pueden hacer 3 intentos al loggearse en el servidor?
Bien, pero aqui es donde entran en juego la programación y la logica, se puede diseñar una aplicación que cargue 10 veces el teclado virtual en una misma pantalla y que automaticamente carguen la misma cuenta pero con distinta clave a la vez, ahora imagine que instalo dicha aplicación en una red de 100 pcs, es decir en un segundo yo estaría ensayando 1000 combianciones distintas para una misma clave y Voila! en 10 segundos obtendría el pin. A esto lo llamo un ataque de fuerza Inteligente(no bruta)
Pues simplemente hay que buscar #s de cuenta en google y aprecen miles, ensayenlo ustedes mismos, luego estos números de cuenta son almacenados en una base de datos y la bd alimenta el programa y bueno lo otro es carpinteria.
Deliro? de ninguna manera es más puedo probarlo.
En este link puedes ver el código fuente del IEFrame que carga el Teclado virtual de conavi:
Código fuente Teclado virtual Conavi https://conavi.olb.todo1.com/msfv/html/v4/B0110/Login/getEnvData.jsp#
Mira que aparece todito con lujo de detalles, hasta los java scripts, para loggearse sólo hay que manipular 2 variables, la de la cuenta y la del Password
Bien pero ustedes dirán pero si solo puedes hacer 1000 intentos a la vez y el server bloquea la cuenta a la 3a entonces de nada serviría.
Pues bien ahorita mismo estoy trabajando en ello, como lo he comentado sabemos que el pin es un número de 4 cifras contenido ya en las 10000 combinaciones posibles. Ahora si yo logrará un ataque de cluster es decir colocar una Base de datos distribuida en una red por que no en una (wan) de modo que cada nodo de esa red atacara la misma cuenta pero con una combinación distinta y todos en el mismo segundo, pue se sabe que el servidor permite hasta 4 millones de accesos a la vez, entonces si yo logrará mediante un ataque en cluster enviar las 10000 combinaciones a la vez, entonces en un segundo estaría obteniedo el pin.
Piensen donde se pudierá llegar a esto; sólo tendrias que ingresar a Google y escribir "Cuenta No" y te aparecerían miles por no decir cientos, luego esas cuentas las almacenas en una base de datos y luego el programa empieza a buscar el pin de cada cuenta, mientras tu estas durmiendo o viendo los simpsons y al otro día mira tu correo y el programa te ha enviado todas las cuentas de cuyos pines ha encontrado.
"Se los digo ahora que hay tiempo, algún día alguien hara un banker o un Loggeador que haga esto y quiza con más efetividad"
No es ciencia ficción, no es inteligencia artificial ni matemáticas superiores, no es simplemente creatividad unidad a la lógica y a la matematica combinatoria.
P.D: me gustaría que muchos de ustedes que son programadores, trabajará en esa idea y quizá descubran que todo es cuestión de ver lo que otros no han visto y de ensayar lo que otros no han hecho.
Como siempre mi objetivo es que contribuyamos a mejorar la seguridad de nuestros bancos ya que son los que nos guardan la platica.
Muy cordialmnete su amigo: zafnat-panea
truenosilencioso@gmail.com