Este tipo al parecer es un caso psiquiatrico!10101 dijo:
Encuentran información acerca de las vulnerabilidades de los teclados virtuales en este link que publiqué hace rato:
Troyano que burla seguridad de banca online causa estragos en usuarios
Hackeando a Conavi y Bancolombia
- Iniciador del tema Zafnat-panea
- Fecha de inicio
- Estado
Encuentran información acerca de las vulnerabilidades de los teclados virtuales en este link que publiqué hace rato:
Troyano que burla seguridad de banca online causa estragos en usuarios
L
lemolina
Guest
offtopic
Esta es una mania de KERBEROS, por favor que alguien le haga entender que los doble-post estan prohibidos en LANeros.
Esta es una mania de KERBEROS, por favor que alguien le haga entender que los doble-post estan prohibidos en LANeros.
pues a mi parecer, la situación que plantea el Individuo @lex puede ser en determinada medida posible, el hecho que se tenga un "Teclado Virtual" no es prenda de garantía si dentro del servidor mismo, las operaciones con los datos que el usuario envía estan expuestas a agresores externos...
el pelao dice muy claro que no es "problema de programación", que es "problema de lógica"; osea que el problema está en la manera como se manipulan los datos del usuario (según mi poco conocimiento del asunto).
De cualkier forma, un sistema informático NUNCA será 100% infalible y la seguridad de cualkier sistema va en proporción con el conocimiento de su administrador
el pelao dice muy claro que no es "problema de programación", que es "problema de lógica"; osea que el problema está en la manera como se manipulan los datos del usuario (según mi poco conocimiento del asunto).
De cualkier forma, un sistema informático NUNCA será 100% infalible y la seguridad de cualkier sistema va en proporción con el conocimiento de su administrador
Bueno aquí pueden informarse sobre seguridad informática e identificar el campo de acción de este individuo de acuerdo a las tácticas que plantea (si lo hace):
http://www.tribalcolombia.com/app/bancolombia/seguridades2/
Bueno, ya estoy preocupado con la seguridad porque también tengo cuentas en estos bancos y voy a comunicarme directamente sobre este asunto con conavi y davivienda.
http://www.tribalcolombia.com/app/bancolombia/seguridades2/
Bueno, ya estoy preocupado con la seguridad porque también tengo cuentas en estos bancos y voy a comunicarme directamente sobre este asunto con conavi y davivienda.
Respeto, sólo eso, es mucho pedir?
---
Saludos a todos:bandido:
Pero especialmente a las personas que en forma seria se ha interesado en este foro.
Creo que en ningún momento le he faltado a alguien de este foro al respeto, por lo que me sorprende de sobremanera la forma en que se han dirigido hacia mi muchos de los usuarios, pero en fin creo que ha sido así siempre que alguien sale con algo nuevo.
Pero bueno, también agradezco a las personas serias como: JulianD, rbecerra, =SUC= johansan, |Nc| Lmsilva, mnaranjo22, Fireman, lemolina, kP-MaqPro2, osfamen, |Nc| BeatrixKido, Perro_Manson, elluisro, El_Rulas, gK-Optimus, NandoFix, cfranco-p, Mamut, ZeN<Max>, alcas32 y muchos otros que en forma sincera se han interesado en este tema. Pido también disculpas si en algún momento he parecido presumido, o fanfarrón.
Creo que quizá fue malinterpretada mucha de la información que expuse desde el principio y quiero aclararlo de nuevo:
“DIJE ERRORES DE LÓGICA, NO DE PROGRAMACIÓN”
“Si leen con atención notarán, que hice énfasis en la debilidad del TECLADO VIRTUAL en ningún momento he atacado a SSL ni RSA”
“NO HE DESEADO CREAR UNA ALARMA SENSACIONALISTA COMO ALGUNOS PRETENDEN”
Que es entonces lo que pretendo? Cuando visite laneros por vez primera note que muchas personas serias compartían temas importantes como La Seguridad entre otros, así que me anime a aportar mi granito de arena.
Ahora porque Conavi? Pue porque soy usuario del mismo hace años, porque haciendo uso de la ética les comente primero a ellos, pero como dice el mismo Julián “Uno avisa a los responsables y como no toman cartas en el asunto, entonces uno publica sus descubrimientos”, y eso es lo que deseo hacer aquí en la comunidad de laneros, publicar y compartir mis conocimientos sin egoísmos, sin dármelas de mas que nadie pero eso si con mucha seriedad. Ahora quiero hacer notar lo sgte : cuando utilice la palabra “Hackiado”, la considere correcta teniendo en cuenta que : Un Hacker es alguien que utiliza sus conocimientos para descubrir debilidades en sistemas informáticos y desarrollar sus contramedidas, mientras que un ***************er sólo quiere hacer daño, por último quedan los Lamers o Juackers como dicen aca que son personas que utilizan programas desarrollados por otros pero realmente no saben como funcionan las cosas, ni saben programar. Por ello creo que no me considero parte de estos 2 últimos grupos, pues yo lo que he hecho lo hecho por mi propia cuenta rompiéndome las pestañas. Como lo he dicho antes soy docente de sistemas hace cerca de 11 años, también me desempeño como administrador de varias redes y trabajo en forma independiente como programador, instalando redes y hasta arreglando computadoras, vendiendo e instalando redes y sistemas multiusuario. Así que hablo por mi, hablo de lo que conozco y eso es lo que deseo enseñar.
Cuando hable con Julián le gusto mucho la idea de que formáramos un grupo de personas serias interesadas en el tema donde compartiéramos conocimientos y espero que esto se haga realidad.
Para concluir le pedí permiso a Julián de exponer en esta Web como es que “hackeo” o exploto la debilidad del teclado virtual incluso sin estar presente en la maquina del usuario.
Explicare esto en forma gráfica, que espero se puedan adjuntar los archivos para que los interesados los descarguen.
Además deseo poner a disposición de ustedes el sf que desarrolle para burlar el teclado virtual, por sugerencia de Julián sólo pondré a disposición del público la parte que burla el teclado, la otra parte que encripta datos y accesa remotamente la maquina la vetaremos exclusivamente al grupo que conformemos.
Espero que así como se me ha demandado que muestre pruebas, espero que ustedes también aporten detalles sinceros de cómo les pareció el sf y la información que compartiré con vosotros.
PD: La información y sf a compartir, estará disponible después que Julián haga un reporte oficial de lo que habló conmigo. Estaré en este Chat hoy alas 6:00 p.m.
Mil Gracias a todos los interesados de buena voluntad …Zafnat-Panea
---
Saludos a todos:bandido:
Pero especialmente a las personas que en forma seria se ha interesado en este foro.
Creo que en ningún momento le he faltado a alguien de este foro al respeto, por lo que me sorprende de sobremanera la forma en que se han dirigido hacia mi muchos de los usuarios, pero en fin creo que ha sido así siempre que alguien sale con algo nuevo.
Pero bueno, también agradezco a las personas serias como: JulianD, rbecerra, =SUC= johansan, |Nc| Lmsilva, mnaranjo22, Fireman, lemolina, kP-MaqPro2, osfamen, |Nc| BeatrixKido, Perro_Manson, elluisro, El_Rulas, gK-Optimus, NandoFix, cfranco-p, Mamut, ZeN<Max>, alcas32 y muchos otros que en forma sincera se han interesado en este tema. Pido también disculpas si en algún momento he parecido presumido, o fanfarrón.
Creo que quizá fue malinterpretada mucha de la información que expuse desde el principio y quiero aclararlo de nuevo:
“DIJE ERRORES DE LÓGICA, NO DE PROGRAMACIÓN”
“Si leen con atención notarán, que hice énfasis en la debilidad del TECLADO VIRTUAL en ningún momento he atacado a SSL ni RSA”
“NO HE DESEADO CREAR UNA ALARMA SENSACIONALISTA COMO ALGUNOS PRETENDEN”
Que es entonces lo que pretendo? Cuando visite laneros por vez primera note que muchas personas serias compartían temas importantes como La Seguridad entre otros, así que me anime a aportar mi granito de arena.
Ahora porque Conavi? Pue porque soy usuario del mismo hace años, porque haciendo uso de la ética les comente primero a ellos, pero como dice el mismo Julián “Uno avisa a los responsables y como no toman cartas en el asunto, entonces uno publica sus descubrimientos”, y eso es lo que deseo hacer aquí en la comunidad de laneros, publicar y compartir mis conocimientos sin egoísmos, sin dármelas de mas que nadie pero eso si con mucha seriedad. Ahora quiero hacer notar lo sgte : cuando utilice la palabra “Hackiado”, la considere correcta teniendo en cuenta que : Un Hacker es alguien que utiliza sus conocimientos para descubrir debilidades en sistemas informáticos y desarrollar sus contramedidas, mientras que un ***************er sólo quiere hacer daño, por último quedan los Lamers o Juackers como dicen aca que son personas que utilizan programas desarrollados por otros pero realmente no saben como funcionan las cosas, ni saben programar. Por ello creo que no me considero parte de estos 2 últimos grupos, pues yo lo que he hecho lo hecho por mi propia cuenta rompiéndome las pestañas. Como lo he dicho antes soy docente de sistemas hace cerca de 11 años, también me desempeño como administrador de varias redes y trabajo en forma independiente como programador, instalando redes y hasta arreglando computadoras, vendiendo e instalando redes y sistemas multiusuario. Así que hablo por mi, hablo de lo que conozco y eso es lo que deseo enseñar.
Cuando hable con Julián le gusto mucho la idea de que formáramos un grupo de personas serias interesadas en el tema donde compartiéramos conocimientos y espero que esto se haga realidad.
Para concluir le pedí permiso a Julián de exponer en esta Web como es que “hackeo” o exploto la debilidad del teclado virtual incluso sin estar presente en la maquina del usuario.
Explicare esto en forma gráfica, que espero se puedan adjuntar los archivos para que los interesados los descarguen.
Además deseo poner a disposición de ustedes el sf que desarrolle para burlar el teclado virtual, por sugerencia de Julián sólo pondré a disposición del público la parte que burla el teclado, la otra parte que encripta datos y accesa remotamente la maquina la vetaremos exclusivamente al grupo que conformemos.
Espero que así como se me ha demandado que muestre pruebas, espero que ustedes también aporten detalles sinceros de cómo les pareció el sf y la información que compartiré con vosotros.
PD: La información y sf a compartir, estará disponible después que Julián haga un reporte oficial de lo que habló conmigo. Estaré en este Chat hoy alas 6:00 p.m.
Mil Gracias a todos los interesados de buena voluntad …Zafnat-Panea
MMMM... esto se está tornando cada vez mas preocupante.
De todas formas se necesita que alguien más lo compruebe además del señor "-panea".
Veré las imagenes y esperaré a quienen prueben todo el proceso completo y nos reporten las novedade..... como dijeron por allá arriba, será comprar crispetas y coke para esperar (aunque no tiene nada de gracioso el tema)
:
De todas formas se necesita que alguien más lo compruebe además del señor "-panea".
Veré las imagenes y esperaré a quienen prueben todo el proceso completo y nos reporten las novedade..... como dijeron por allá arriba, será comprar crispetas y coke para esperar (aunque no tiene nada de gracioso el tema)
:
Zafnat-panea dijo:
Joven, tiene usted toda la razón, lo que pasa es que este tema es mucha importancia, como le dije tengo cuentas en Conavi y Bancolombia, el problema esta en que estas anunciando y anunciando y no pasa nada... además hablas de divulgación gratuita de la información. En ningún momento nadie te va a pagar (en LANeros) por ella y si te consideras hacker, pues debes compartir libremente la información.
La idea entonces, para que no nos acabes de decepcionar es empezar de una vez con el tema. Empieza a explicar el problema.
Ayer hablé con @lex y me comentó entonces que es lo que está pasando con el teclado virtual de CONAVI / BANCOLOMBIA y posiblemente otras entidades financieras como Davivienda o Protección que creo también lo utilizan.
Yo tengo varias conclusiones luego de la larga charla que tuvimos en el día de ayer:
saludos!!!!
Yo tengo varias conclusiones luego de la larga charla que tuvimos en el día de ayer:
- Las entidades CONAVI / BANCOLOMBIA están haciendo lo que pueden para mejorar la seguridad, pero el hecho de que instalen el teclado virtual no indica una mejora sustancial de la seguridad a la hora de entrar a la sucursal. En esto se podría estudiar un poco más por parte de ellos algunos métodos de identificación en sus sitios de banking online para buscar métodos más efectivos contra este tipo de problemas.
- El método que @lex propone está condicionado a primero alterar el computador en donde un usuario vaya a ingresar su # de cuenta y PIN secreto. No hay forma -almenos conocida por nosotros- de ingresar a una cuenta CONAVI / BANCOLOMBIA sin saber primero su PIN.
- Para todos los usuarios de la banca en línea, cualesquiera que sea su medio, por web, aplicaciones, vpn... NO DEBEN INGRESAR A LA BANCA EN LÍNEA EN COMPUTADORES QUE NO SON DE CONFIANZA. Asimismo cuando sus computadores presenten daños o requieran mantenimiento, y ustedes manejen banca en línea, consigan personas de su entera confianza para hacer el trabajo.
- No reciban archivos de extraños ni descarguen cosas de internet de sitios sospechozos que puedan infectar sus computadores con software espía.
saludos!!!!
JulianD dijo:Ayer hablé con @lex y me comentó entonces que es lo que está pasando con el teclado virtual de CONAVI / BANCOLOMBIA y posiblemente otras entidades financieras como Davivienda o Protección que creo también lo utilizan.
Yo tengo varias conclusiones luego de la larga charla que tuvimos en el día de ayer:
Son muchas las sugerencias que se hacen para evitar caer en estos problemas... las que yo publico son apenas algunas... el usuario @lex me comentó que estaría dispuesto a publicar sus códigos fuentes de las aplicaciones que ayudan a violar la seguridad que propone solucionar el teclado virtual. Esto se deja sólo a su discresión.
- Las entidades CONAVI / BANCOLOMBIA están haciendo lo que pueden para mejorar la seguridad, pero el hecho de que instalen el teclado virtual no indica una mejora sustancial de la seguridad a la hora de entrar a la sucursal. En esto se podría estudiar un poco más por parte de ellos algunos métodos de identificación en sus sitios de banking online para buscar métodos más efectivos contra este tipo de problemas.
- El método que @lex propone está condicionado a primero alterar el computador en donde un usuario vaya a ingresar su # de cuenta y PIN secreto. No hay forma -almenos conocida por nosotros- de ingresar a una cuenta CONAVI / BANCOLOMBIA sin saber primero su PIN.
- Para todos los usuarios de la banca en línea, cualesquiera que sea su medio, por web, aplicaciones, vpn... NO DEBEN INGRESAR A LA BANCA EN LÍNEA EN COMPUTADORES QUE NO SON DE CONFIANZA. Asimismo cuando sus computadores presenten daños o requieran mantenimiento, y ustedes manejen banca en línea, consigan personas de su entera confianza para hacer el trabajo.
- No reciban archivos de extraños ni descarguen cosas de internet de sitios sospechozos que puedan infectar sus computadores con software espía.
Julian, pero entonces el método que propone él, aunque diferente, sería igual a instalar un keylogger y luego capturar los datos de la victima e ingresar al banco. Ya que se necesita realizar un ataque a la maquina de la victima.
La misma vaina, hasta ahora no han dicho nada. Igual se aparece por acá alguien que dice poder entrar a los equipos del pentagono, pero igual no dice como ni demuestra nada!! pues lo mismo, aplausos pero hasta allí sólo Spam.
Yo pongo una camara oculta en los cubiculos de un cafe internet y sale pa pintura, me converti en Juaker.
Yo pongo una camara oculta en los cubiculos de un cafe internet y sale pa pintura, me converti en Juaker.
lastima, pintaba para bueno el tema pero se desvio. mucho offtopic y burla (a mi parecer) por un lado, y mucho alargue por el otro. de todas formas, interesante si es. quedo pendiente de las imagenes y la info si dicen algo bueno.
Demostración De Como Burlar El Teclado Virtual
Saludos a todos nuevamente.
Como lo prometido es deuda, aqui les adjunto los archivos con la explicación detallada y gráfica de como se logra lo comentado.
Quiero anotar que Julian en el mensaje anterior le faltó aclarar que si exite una forma de obtener el n° de cuenta y el Pin sin haber estado nunca antes en la maquina donde se utilizará el teclado virtual, en el archivo adjunto explico un poco más como se logra esto; esta anotación se la hice a julian por celular y el quedo de aclararla posteriormente.
No se trata de keyloggers no,le spregunto a los que dicen que es lo mismo usar un keylogger, diganme saben ustedes hacerlo por si mismos??
Yo he desarrollado un .exe para facilitar el objetivo a los interesados, pero como le expuse al mismo julian personalmente no necesito nada más que windows y recuerden que si hay una forma de obtener el Pin, sin ates haber preparado la maquina,(ni hahaber instalado camaras tampoco) porfavor lean con detenimiento.
Espero que la información sea de interes y que se pueda conformar un grupo de personas interesadas en el tema y que deseen compartir y aprender.
De antemano Mil gracias a todos.
P.D: El sf sera entregado por correo.
Cordialmente: Zanat-Panea
" Te alabo, Padre, Señor del cielo y de la tierra, porque has escondido estas cosas de los sabios y de los entendidos, y las has revelado á los niños." Jesús de Nazareth(Lucas 11,25)
Saludos a todos nuevamente.
Como lo prometido es deuda, aqui les adjunto los archivos con la explicación detallada y gráfica de como se logra lo comentado.
Quiero anotar que Julian en el mensaje anterior le faltó aclarar que si exite una forma de obtener el n° de cuenta y el Pin sin haber estado nunca antes en la maquina donde se utilizará el teclado virtual, en el archivo adjunto explico un poco más como se logra esto; esta anotación se la hice a julian por celular y el quedo de aclararla posteriormente.
No se trata de keyloggers no,le spregunto a los que dicen que es lo mismo usar un keylogger, diganme saben ustedes hacerlo por si mismos??
Yo he desarrollado un .exe para facilitar el objetivo a los interesados, pero como le expuse al mismo julian personalmente no necesito nada más que windows y recuerden que si hay una forma de obtener el Pin, sin ates haber preparado la maquina,(ni hahaber instalado camaras tampoco) porfavor lean con detenimiento.
Espero que la información sea de interes y que se pueda conformar un grupo de personas interesadas en el tema y que deseen compartir y aprender.
De antemano Mil gracias a todos.
P.D: El sf sera entregado por correo.
Cordialmente: Zanat-Panea
" Te alabo, Padre, Señor del cielo y de la tierra, porque has escondido estas cosas de los sabios y de los entendidos, y las has revelado á los niños." Jesús de Nazareth(Lucas 11,25)
Si a eso vamos yo también puedo, instalo un keylogger en el PC del presidente y listo, el problema no es del software, es del usuario.
Yo pense que la respuesta de JulianD iba a ser más ..... interesante, pero en plata blanca es lo mismo de siempre, no usen computadores inseguros para sus transacciones bancarias (o para revisar correo).
En fin ..
Yo pense que la respuesta de JulianD iba a ser más ..... interesante, pero en plata blanca es lo mismo de siempre, no usen computadores inseguros para sus transacciones bancarias (o para revisar correo).
En fin ..
Bueno pues me parece ingenioso pero creo que todos estábamos esperando una cosa que nos dejara verdaderamente fríos... esto es, sin demeritar el trabajo, básicamente un keylogger.
Creo que es relativamente fácil hacerse a un software de este tipo (keyloggers o screenloggers) - el "problema" es hacer que se ejecute en el PC de un usuario... por "fortuna" para los criminales, los usuarios del común están bastante dispuestos a ejecutar cualquier adjunto en un mensaje tipo phishing o algo así. Pero esto de este hilo no es novedad para la mayoría de los LANeros - es un típico ataque de spyware.
Para propósitos de estudio supongo que a alguien le interesaría tener las fuentes, aunque eso ya para los foros de programación. Con respecto a la distribución del software, pues entraremos en el debate de si es malware o no.... total, la intención es que corra oculto y que tome información sin consentimiento... desde ese punto de vista creo que su distribución en LANeros está prohibida.
Creo que es relativamente fácil hacerse a un software de este tipo (keyloggers o screenloggers) - el "problema" es hacer que se ejecute en el PC de un usuario... por "fortuna" para los criminales, los usuarios del común están bastante dispuestos a ejecutar cualquier adjunto en un mensaje tipo phishing o algo así. Pero esto de este hilo no es novedad para la mayoría de los LANeros - es un típico ataque de spyware.
Para propósitos de estudio supongo que a alguien le interesaría tener las fuentes, aunque eso ya para los foros de programación. Con respecto a la distribución del software, pues entraremos en el debate de si es malware o no.... total, la intención es que corra oculto y que tome información sin consentimiento... desde ese punto de vista creo que su distribución en LANeros está prohibida.
- Estado
Los últimos temas
-
-
-
Vendo x4 Cupos Microsoft Office 365 Familia 15 Meses- Iniciado por masteriplatino
- Respuestas: 2
-
-
