Hackeando a Conavi y Bancolombia

Estado
Cerrado para nuevas respuestas.
JulianD dijo:
Yo odio davivienda por su servicio al cliente... y por eso mismo amo a conavi.
Haz clic para expandir...
quizá, pero estamos hablando de seguridad y en cuanto a eso Davivienda es mil veces mejor!

Original Escrito por=Jaimicox...Por que?

_____________________________________________________________________________________
Davivienda ha implementado los Token de RSA, Utiliza doble clave(Averigua sobre ello, tel rojo) y sus expertos constantemente se estan actualizando y mejorando.

Repito no es que sea el mejor, pero en terminos de seguridad es el menos malo.

P.D. Ni hablar de Bancafe, es una porqueria su sistema biometrico, no es 100 % fiable averiguen y veran.

Y no nos digamos mentiras, BanColombia, Conavi y Corfinsura, sabemos que se fucionarón para combatir la llegada del TLC, pero les preocupa + lo comercial, que la seguridad que le brindadn a los usuarios.
X cierto es más fácil ver un negro en Conavi, a que estos mejoren un poco la seguridad.
 
me gustaria que implementaran un teclado como el de maplestory (el juego) que para ingresar el pin genera las posiciciones de las teclas al azar.
creo que eso si seria una tarea mas complicada para los hackers, a menos que le saquen printscreen a cada una.
 
=SUC= johansan dijo:
me gustaria que implementaran un teclado como el de maplestory (el juego) que para ingresar el pin genera las posiciciones de las teclas al azar.
creo que eso si seria una tarea mas complicada para los hackers, a menos que le saquen printscreen a cada una.
Haz clic para expandir...


HOla Joha, recuerda que ya había comentado antes que esa fue la primera contramedida que pensé, pero la desarte precisamente x lo fácil de simplemente capturar el screen despues de cada click.
La contramedida que se va a implementar es mejor ya lo veras! y sí, fue idea mía.

P.D. Ya puedes descargar el código si quieres?
 
Esta vaina siguió? Bajo el mismo título no me parece.
No le hagan perder tiempo a la gente que esperar encontrar algo así acá.

Cámbienle el titulo por "Fraudes en Bancolombia" o algo así. Porque de hackers esto no tiene nada.
 
Zafnat-panea dijo:
HOla Joha, recuerda que ya había comentado antes que esa fue la primera contramedida que pensé, pero la desarte precisamente x lo fácil de simplemente capturar el screen despues de cada click.
La contramedida que se va a implementar es mejor ya lo veras! y sí, fue idea mía.

P.D. Ya puedes descargar el código si quieres?
Haz clic para expandir...

En Proteccion Implementaron algo así.


Cual es la contramedida, para recomendarla a otras compañias?

Fireman
:llamas2::llamas:
 
Zafnat-panea dijo:
HOla Joha, recuerda que ya había comentado antes que esa fue la primera contramedida que pensé, pero la desarte precisamente x lo fácil de simplemente capturar el screen despues de cada click.
La contramedida que se va a implementar es mejor ya lo veras! y sí, fue idea mía.

P.D. Ya puedes descargar el código si quieres?
Haz clic para expandir...

Explicame otra vez porque me parece seguro el mecanismo del "teclado random". Si cada vez que se carga la pagina los digitos aparecen en un orden diferente pues no hay forma de calcular en que posición estaran los numeros.
 
aunque en el juego cada que hagas click se cambia la posicion de la tecla, ese es mas tezo.
K98Sniper aca no estamos hablando de hackear sino vulnerabilidad.
pero no quedaria mal cambiar el titulo.
 
=SUC= johansan dijo:
aunque en el juego cada que hagas click se cambia la posicion de la tecla, ese es mas tezo.
K98Sniper aca no estamos hablando de hackear sino vulnerabilidad.
pero no quedaria mal cambiar el titulo.
Haz clic para expandir...

Si entendemos hackiar en el sentido de burlar o explotar el teclado virtual para obtener el pin, es valido el titulo. además favor leer lo comentado sobre "el loggeador" en pags anteriores, eso es hackiar o vulnerar un sistema, pues la idea es obtener el pin y si eso se logra, creo que el titulo esta muy acorde, además recuerden que el sf puede funcionar como un troyano y los troyanos son herramientas de hackeo.


P.D. kerbe, sencillo!
Mira si tu tomas un screen des pues de cada click y luego reproduces cada pulsación en forma individual sobre cada screen tendras el pin.
Obviamnete con el pin ya puedes olvidarte de los screens y pasar directamente al teclado oficial sin importar cuantas veces cambie en forma aleatoria, pues lo que cambia es el teclado, no el pin. saludos :)
 
Bueno con el teclado en random todavia es facil conseguir el pin si utilizamos el Mouse Logger en combinación de un screenshot ya que con la coordenada y la imagen es facil predecir el boton presionado. Pero... ¿Que pasaria si se cambiara el titulo de la ventana por un juego de caracteres escogidos al azar cada vez que se cargue para evadir la accion del SF ya que este captura las coordenadas en una ventana con nombre definido?

>D
 
Zafnat-panea dijo:
Si entendemos hackiar en el sentido de burlar o explotar el teclado virtual para obtener el pin, es valido el titulo. además favor leer lo comentado sobre "el loggeador" en pags anteriores, eso es hackiar o vulnerar un sistema, pues la idea es obtener el pin y si eso se logra, creo que el titulo esta muy acorde, además recuerden que el sf puede funcionar como un troyano y los troyanos son herramientas de hackeo.


P.D. kerbe, sencillo!
Mira si tu tomas un screen des pues de cada click y luego reproduces cada pulsación en forma individual sobre cada screen tendras el pin.
Obviamnete con el pin ya puedes olvidarte de los screens y pasar directamente al teclado oficial sin importar cuantas veces cambie en forma aleatoria, pues lo que cambia es el teclado, no el pin. saludos :)
Haz clic para expandir...

Pero entonces el programa intruso NO debe grabar la pantalla, unicamente grabar los digitos que se precionan para identificarlos sin importar la posición de estos en el teclado?

Pero esto es más complejo.. no?
 
Señor: Zafnat-panea

Cual es la nueva estrategia o tambien va a realizar una nube de especulación para darse infulas al repecto?

Fireman
:llamas2::llamas:
 
  • Me gusta
Reacciones: 2 personas
Felicito al Señor: Zafnat-panea, por mostrar sus descubrimientos. Es una persona ke sabe bastante y esta dispuesto a compartirlo. Lastima ke haya algunos ke solo aportan criticas destructivas....
 
goma_yonqui dijo:
Felicito al Señor: Zafnat-panea, por mostrar sus descubrimientos. Es una persona ke sabe bastante y esta dispuesto a compartirlo. Lastima ke haya algunos ke solo aportan criticas destructivas....
Haz clic para expandir...

Pues si le dijo cosas que usted no sabía, lo hubiese podido hacer cualquier otra persona con ese conocimiento.

No tengo nada en contra del sujeto. Pero es que no aportó lo que prometió. Ha embolatado con cuentos. Y algunos le han dado crédito.
 
K98Sniper dijo:
Pues si le dijo cosas que usted no sabía, lo hubiese podido hacer cualquier otra persona con ese conocimiento.

No tengo nada en contra del sujeto. Pero es que no aportó lo que prometió. Ha embolatado con cuentos. Y algunos le han dado crédito.
Haz clic para expandir...

Que fue lo que prometio? Hermano la idea es conocer las debilidades de los sistemas y dar opiniones de como combatirlos. No la de postear sf malicioso pa que cualquiera pueda hacerlo. Tomalo por el lado amable.
 
goma_yonqui dijo:
Felicito al Señor: Zafnat-panea, por mostrar sus descubrimientos. Es una persona ke sabe bastante y esta dispuesto a compartirlo. Lastima ke haya algunos ke solo aportan criticas destructivas....
Haz clic para expandir...

Ehhh lanzalo pues a presidente, ese tipo de personas son las que siempre ganan en este pais.

Sigo esperando pues la solución planteada por este MR...

Fireman
:llamas2::llamas:
 
pfff.. gente buscando siempre a kien atacar..
el man planteo unas ideas y hay algunos ke solo atakan y exigen pruebas. En vez de decir "oh.. tiene razón en esto.. y no estoy de acuerdo en esto". pero algunos son solo.. "NO VEO RESULTADOS" lo uno y lo otro. Estos es un foro y existe para presentar ideas y debatir, ojala fuera constructivamente. Bacano si toman las ideas ke le aporto el man y complementan. no solo exigir...
tolerancia ante todo...
 
aca sencillamente no se debe discutir ese tema, si se discute es en privado, eso puede causar muchos problemas legales.
otra cosa, a los "hackers no les gusta compartir su trabajo" solo darse a conocer y ya.
yo a nadie le estoy diciendo hacker.

no es bueno exponer idea porque alguien se lucra con ellas al copiarla y patentarla antes, o implementarla, supongo que es una de las cosas por las cuales zafnat-panea no ha escrito nada, igual si yo supiera algo no se lo revelaria a nadie. y haria lo mismo, generar incertidumbre para que la gente investigue y cosas asi.

me gusto bastante la idea del teclado que cambie las teclas de orden cada que pulse una, lastimosamente para un logger seria facil capturarlo, aunque estoy pensando en algo que podrian implementar.

lo otro que se podria hacer seria que la pagina cambie nuestra contraseña cada que vamos a salir, esto dudo que pueda ser tomado por un logger.
 
Y que opinas si ese logger captura la ultima pantalla donde te deben mostrar tu nueva clave? Solo haria falta esperear a que el usuario haga su transaccion, esperar por la ventana en el cual su nuevo PIN aparece y capturar la pantalla.

Tal vez una solucion (costosa pero efectiva) seria los lectores de tarjetas personales que cada usuario posea (tal vez USB y de pequeño tamaño, tal vez como del tamaño de una memoria USB) y lea su banda magnetica cada vez que va ha hacer una transaccion. sea en el equipo que sea,
 
|Nc| Osfamen dijo:
Y que opinas si ese logger captura la ultima pantalla donde te deben mostrar tu nueva clave? Solo haria falta esperear a que el usuario haga su transaccion, esperar por la ventana en el cual su nuevo PIN aparece y capturar la pantalla.

Tal vez una solucion (costosa pero efectiva) seria los lectores de tarjetas personales que cada usuario posea (tal vez USB y de pequeño tamaño, tal vez como del tamaño de una memoria USB) y lea su banda magnetica cada vez que va ha hacer una transaccion. sea en el equipo que sea,
Haz clic para expandir...

pero como las tarjetas con banda magnetica tambien se pueden clonar... volvemos al mismo punto.
 
goma_yonqui dijo:
pfff.. gente buscando siempre a kien atacar..
el man planteo unas ideas y hay algunos ke solo atakan y exigen pruebas. En vez de decir "oh.. tiene razón en esto.. y no estoy de acuerdo en esto". pero algunos son solo.. "NO VEO RESULTADOS" lo uno y lo otro. Estos es un foro y existe para presentar ideas y debatir, ojala fuera constructivamente. Bacano si toman las ideas ke le aporto el man y complementan. no solo exigir...
tolerancia ante todo...
Haz clic para expandir...

Te veo bastante informado, serias tan amable de hacer una lista de las ideas publicadas por el MR.?

Tambien puedes enviarmelas a Fireman arroba Laneros.com

Muchas Gracias.

Fireman
:llamas2::llamas:
 
Estado
Cerrado para nuevas respuestas.

Los últimos mensajes

Los últimos temas

Arriba Pie
Atrás