Hackeando a Conavi y Bancolombia

Estado
Cerrado para nuevas respuestas.
Zafnat-panea

Zafnat-panea

Lanero Reconocido
1 Mar 2006
121
Zafnat-panea los Saluda!!:alien:

Hola :)
Saludo a todos los miembros y visitantes de este portal y en especial de este foro.
Mi nombre poco importa, pero debo decir que he llamdo la atención de los grandes Bancos de Este país, mas especificamente de Conaví y Davivienda.
En que les llame la atención, en que afirme que la seguridad de sus transacciones por internet no son seguras para los usuarios. Ojo no me estoy refiriendo a que el SSL o el RSA tenga alguna debilidad, no, me refiero es que las debilidades están presentes en la lógica no en la programación. Me explico:

Hace 4 años me reui en persona con :$$$$$$ Jefe de seguridad Nal de Conavi, le comenté sobre mis descubrimientos y quedo de investigar por medio de 2 de sus expertos, quiene quedarón de comunicarse conmigo, lo cual no sucedio, creo que me subestimarón aunque debo recnocer que recibi una llamada de "SEGURIDAD - CONAVI" que no quise atender debido a sus desplantes.
Bueno posteriormente le comente mis obvs a $$$$$$$$$$$ lider de proyectos de conavi, en resumen le dije que mientras los usuarios tuvierán que "DIGITAR SU CLAVE" estarían en peligro, le indique pues que lo ideal era utilizar un teclado en pantalla, observación que le llamó bastante la atención y que quizá la comentó a sus superiore sporq posteriormente conacvi lanzó el "TECLADO VIRTUAL", supuestamente ideado por ellos, pero bueno lo cierto es que para cuando salío dicho teclado yo ya sabía como hakearlo, y asi se lo demostre nuevamente a $$$$ $. $$$ de Conavi, quien se quedo literalmente boquiabierto cuando le mostre como obtenia la PWD. Él me dijo que me pondría en contacto con $$$$$$$$ de Tecnología Conavi, cosa que nunca sucedio, pero bueno la verdad es esa conavi no ofrece ninguna seguridad real a un usuario en sus transaciones y puedo y lo he probado.

Creó que los usuaros de conavi como lo soy yo tenemos derecho a una mejor seguridad, conavi me ignoró , pero bueno creo que es hora de que salga a la luz pública mis descubrimientos.
En la actualidad mantengo contacto con el pnal de Davivienda, quienes si han mostrado interes en mis descubrimientos.

Si alguién esta interesado en mis observaciones y desea más detalle puede escribirme al sgte correo: truenosilencioso@gmail.com


P.D: Recuerda TU AMIGO ES
Zafnat-Panea

 
Mmmm... mejo en col el dielema es que si toca invertir.. es mas viable que 2 o tres hacken que invertir... 1000000 millones en desarrollo lo mismo me paso ami con la drummond (pero los abogados no dejan comentar). y esa fue la respuesta.
 
Pero la gran moraleja de eso es quje uno no se debe meter a las entidades financieras desde lugares inseguros como cafes internet... la seguridad implementada como pre inscripcion de cuentas, autorizacion para hacer pagos a terceros y manejo de segunda clave son suficientes para mi como para considerarlos seguros...


Problema seria si uno desde cualquier computador pudiera entrar a cualquier cuenta.... el hecho de robarse un password no es gran cosa pues el computador puede tener miles de programas spys que ayuden a obtener el password...
 
Para Julian --Aclaración

Julian te saludo con respeto pero creo que no entendiste lo que escribí o no está muy enterado de como funcionan las seguridades en Internet Para empezar a empaparte del tema te recomiendo que consultes "SSL y RSA", te aseguro que ningún troyano, *************** o key logger puede desencriptar la pwd de una cuenta en conavi, tampoco un Sniffer lo que yo hago es distinto, pero fresco pronto veras en tv lo que expongo.

JulianD dijo:
Pero la gran moraleja de eso es quje uno no se debe meter a las te entidades financieras desde lugares inseguros como cafes internet... la seguridad implementada como pre inscripcion de cuentas, autorizacion para hacer pagos a terceros y manejo de segunda clave son suficientes para mi como para considerarlos seguros...


Problema seria si uno desde cualquier computador pudiera entrar a cualquier cuenta.... el hecho de robarse un password no es gran cosa pues el computador puede tener miles de programas spys que ayuden a obtener el password...
Haz clic para expandir...
 
ummm, si estuve revisando el codigo fuente de la pagina de login de conavi, y se puede leer todo el codigo fuente, casi que no lo saco, pero hay ta el script del teclado y todo.
veo que es una validacion en java.
mi pregunta seria, si alguien cambia ese codigo localmente, podria entrar?
lo otro es los numero de cuenta se sabe como vienen mas o menos, pero para las contraseñas es lo maluco, aunque no son muy complicadas, existen 10000 posibilidades! lo unico que veo seria tratar de loggearse muchas veces.

eso creo yo, aunque de hack yo si pocon pocon!.. lo que dije arriba, es solo lo que creo, no se que tan cierto sea, es como una hipotesis.
 
Zafnat-panea dijo:
Julian te saludo con respeto pero creo que no entendiste lo que escribí o no está muy enterado de como funcionan las seguridades en Internet Para empezar a empaparte del tema te recomiendo que consultes "SSL y RSA", te aseguro que ningún troyano, *************** o key logger puede desencriptar la pwd de una cuenta en conavi, tampoco un Sniffer lo que yo hago es distinto, pero fresco pronto veras en tv lo que expongo.
Haz clic para expandir...
Está bien que sea distinto, pero por ejemplo si tu sabes mi número de cuenta de conavi, puedes ingresar a mi cuenta sin saber mi PIN? Si eso es posible, es gravísimo... si no es posible sino que yo tengo que entrar a un computador previamente infectado/manipulado por vos, pues eso también soy capaz de hacerlo yo con los programas adecuados que se consiguen en download.com...

Se necesita saber la gravedad del incidente, yo en mi vida me meto a conavi en computadores de los cuales desconfío... estoy en peligro? Si o no.
 
Para cfranco-p

Saludos, para aclarar tu pregunta te dire que para tener acceso a l PC del usuario lo puedo hacer via remota, por medio de un troyano(que yo mismo hago), o incluso el mismo sf que diseñe utiliza I.A. por lo que encripta toda la inf y me la envia a un correo anonimo luego yo soy informado y etc....

cfranco-p dijo:
mmmmmmmmmmmmmmmmm

Interesante, una pregunta su descubrimiento de vulnerabilidad debe tener presente que "el malo" debe tener acceso al PC del usuario ¿cierto?

C.F.
Haz clic para expandir...
 
Para Julian --No Necesito saber tu pin

Hola Julian

NO NECESITO SABER TU PIN NI TU CUENTA, NO NECESITO PROGRAMAS DESCARGADOS DE INTERNET.
SÓLO NECESITO DEMOSTRARTELO

JulianD dijo:
Está bien que sea distinto, pero por ejemplo si tu sabes mi número de cuenta de conavi, puedes ingresar a mi cuenta sin saber mi PIN? Si eso es posible, es gravísimo... si no es posible sino que yo tengo que entrar a un computador previamente infectado/manipulado por vos, pues eso también soy capaz de hacerlo yo con los programas adecuados que se consiguen en download.com...

Se necesita saber la gravedad del incidente, yo en mi vida me meto a conavi en computadores de los cuales desconfío... estoy en peligro? Si o no.
Haz clic para expandir...
 
Zafnat-panea dijo:
Hola Julian

NO NECESITO SABER TU PIN NI TU CUENTA, NO NECESITO PROGRAMAS DESCARGADOS DE INTERNET.
SÓLO NECESITO DEMOSTRARTELO
Haz clic para expandir...
Cual sería la forma de demostración?
LANeros es una comunidad muy seria que cuenta con bastantes profesionales en el desarrollo de aplicaciones y si una demostración hecha aqui logra colmar las expectativas de hackeo de una entidad tan grande como lo es la fusión de Bancolombia y Conavi, estariamos reduciendo el riesgo de millones de personas a nivel nacional e internacional al socializar este hecho.

Por favor más datos, porque hasta ahora no has dicho nada en concreto.
 
Hago lo mismo en linux!!

. ......................................................................................
=SUC= johansan dijo:
conclucion, si queremos banca segura, deberiamos entrar por linux.
Haz clic para expandir...
 
para Lemolina

Mañana me reunire con julian y le hare la demostración a él, espero que te comente o te nos una s por un escritorio remoto


lemolina dijo:
Cual sería la forma de demostración?
LANeros es una comunidad muy seria que cuenta con bastantes profesionales en el desarrollo de aplicaciones y si una demostración hecha aqui logra colmar las expectativas de hackeo de una entidad tan grande como lo es la fusión de Bancolombia y Conavi, estariamos reduciendo el riesgo de millones de personas a nivel nacional e internacional al socializar este hecho.

Por favor más datos, porque hasta ahora no has dicho nada en concreto.
Haz clic para expandir...
 
Pues asi si es como tenaz....... entonces ya no puedo ni por internet, ni por telefono, ni en el banco.... entonces que????
 
JulianD dijo:
Se necesita saber la gravedad del incidente, yo en mi vida me meto a conavi en computadores de los cuales desconfío... estoy en peligro? Si o no.
Haz clic para expandir...
la mayoria de los actos de hackeo empiezan con ingenieria social, los usurios incautos por poco o casi nada de conocimientos en internet son vulnerables y mas si usan pc publicos de cafes internet.
 
  • Me gusta
Reacciones: 2 personas
Tocara esperar los comentarios de Julian. Yo tambíen tengo dudas al respecto.
 
Estado
Cerrado para nuevas respuestas.

Los últimos mensajes

Los últimos temas

Arriba Pie
Atrás