Liveblog: Hackeando con Facebook

05:04

Bueno, muchas gracias. Nos vamos al liveblog. Campuseros fanáticos de ENTER.CO, búsquennos en la Arena. ¡Nos vemos!

05:03

Estos son los perfiles: Homero, Griffin y Marge.

05:01

«Facebook sigue siendo 100% confiable que es inseguro».

05:00

Una cosa más. Homero, Griffin y el maligno pertenecen a un mismo grupo. Marge (otra usuaria) es la administradora. Los grupos también tienen una dirección de correo electrónico: [email protected] Por eso también es posible enviar mails falsificados de la misma manera. Con el SMTP, se hace el mismo engaño que se mostró arriba. Se envía a nombre de Marge, se redirige al contenido malicioso.

04:58

La primera vez que se dio esta charla fue en marzo, «y todo sigue tal cual. Ojalá que Facebook corrija las cosas«.

04:56

04:52

Con el servidor SMTP, se puede poner un mensaje aparentemente enviado desde el Facebook Mail de Griffin con destino al Facebook Mail de Homero. El ‘link’ redirige a la nota dirigida con el contenido malicioso.

04:49

Con el Facebook Mail y un pequeño servidor de correo electrónico, es posible hacer la tarea.

04:48

04:47

Ahora va a mostrar cómo hacer la suplantación de identidad. Es posible enviarle a Homero un correo que aparece como enviado como Griffin. Griffin no se da cuenta de que hubo actividad en su cuenta.

04:46

El contenido malicioso puede aparecer en el muro de Homero.

04:44

«Facebook debería verificar que el destino al que estoy mandando es realmente el que estoy publicando». No lo hace. De verdad, da miedo. Es muy, muy sencillo.

04:44

Es posible hacer el mismo truco en una publicación en el muro. Luego, pueden hacer ‘debugging’ del post para cambiar el destino original y redirigir al destino malicioso. Funciona perfectamente (!!). Miedoso, en serio.

04:41

04:40

04:40

«Si soy Homero y tengo un dominio de destino que dice virus.con, no voy a hacer clic. Pero si el destino dice facebook.com/blablabla, me siento más seguro y es más probable que haga link».

04:39

Aquí entran en juego dos vulnerabilidades de Facebook. No notificar de los cambios en el código HTML de las notas y redirigir abiertamente los links: es posible cambiar el sitio al que dirige un link sin que sea evidente para el usuario. Facebook enmascara el destino al que se dirige un enlace. Por eso, no se puede ver a dónde dirige en realidad el link.

04:36

Luego, el Maligno puede editar la nota y cambiar el contenido. Facebook no avisa de ese cambio a Griffin ni a nadie que le haya dado ‘me gusta’ al contenido. Es posible cambiarle el link del video a un servidor malicioso. El texto del link puede ser la URL del video, pero redirige al contenido malicioso. Así no se dará cuenta de la modificación.

04:36

04:34

A Griffin le gusta el video y comenta en él. El video podría llegar a aparecer en el muro de Homero.

04:33

Luego viene la parte de infiltración de contenido: para eso, se va a crear una nota y compartirla en el muro, en la cual se añade además un hipervínculo a un video. La nota queda pública y se publica. Luego se comparte en el muro.

04:30

Griffin es un usuario que agrega a cualquiera. El maligno, entonces, se hace ‘amigo’ de Griffin. Luego viene la parte de infiltración: «entrar en todos los círculos en los que está Homero». A partir de ahí, el maligno puede obtener indirectamente toda la información de Homero. FB tiene confianza transitiva: si A confía en B y B confía en C, la red asume que A confía en C.

04:27

Muestra a Facebook conectado como Griffin y conectado como Homero. El maligno no tiene a Homero en su lista de amigos, y tiene a Griffin en común. Homero no lista a sus amigos, pero el atacante puede ver que tiene a Griffin en común con él.

04:26

El ataque comienza por la información pública. Sin embargo, Facebook no permite proteger cierta información, y de ahí es posible agarrar. «Si yo uso Facebook, no puedo decir que mi información está privada».

04:24

El primer paso es reconocer a la víctima: buscando en Google y en Internet se obtiene información de la persona. Luego, la infiltración, que es meterse en su perfil privado. Tercero, publicar el contenido malicioso para que Homero lo vea y finalmente hacer la suplantación de identidad.

04:23

El juego tiene tres personajes: Homero (Simpson); especialista en seguridad con sus configuraciones de privacidad al máximo. (Peter) Griffin es un usuario promedio, que no revisa la privacidad de su sitio. Es amigo de Homero y va a ser el puente. Se va a hackear a Griffin para atacar a Homero. El tercero es Bruce Lee, el atacante.

04:22

«Hacer el contenido es la parte fácil. La parte difícil es hacer que la víctima acceda a mi página; puede saber que se trata de un link mailciosa» Se van a mostrar 9 vulnerabilidades de Facebook que facilita hacer eso.

04:20

El hombre va a ser un ataque de ingeniería social: «engañar una víctima para hacer algo que normalmente no haría; que haga algo que no haría y que lo haga sin darse cuenta».

04:18

«Todas las vulnerabilidades que vamos a mostrar acá se publicaron. Lo estoy mostrando porque estas vulnerabilidades no fueron corregidas por Facebook después de que se se le reportaron».

04:17

En materia: va a mostrar una serie de vulnerabilidades que le encontró a Facebook con su empresa en Argentina.

04:16

Comienza por pedir un aplauso para todo el auditorio. Bastante efusivo el conferencista…

04:16

La conferencia será dictada por Matías Katz, @matiaskatz en Twitter.

04:11

Además, mucha gente está siguiendo el streaming del partido para la Eurocopa. Es increíble la calidad de la conexión, nada que ver con lo que han visto en sus casas.

04:10

Nos dicen que el ponente se demora cinco minutos. Mientras tanto, les contamos que las filas para entrar a la Arena están imposibles. La organización nos dice que será solo por hoy, porque el presidente Juan Manuel Santos nos visitará a eso de las 9 de la noche.

04:07

Hola. Estamos esperando a que comience la conferencia. A lo mejor el ponente está viendo la semifinal de la Eurocopa…