PoC en #Aldea_Digital #Baby_Killer-Black (Post1)

Saludos !! Como siempre a la banda que lee mis post :v !!

[*] En los siguientes post mostrare el acceso a uno de los servidores de la aldea y los puntos que explote en su momento

aqui solo muestro las cuentas afectadas por un simple xploit[*]

Ultimamente he sido criticado por la doble moral que estoy demostrando al realizar PoC en la aldea digital.

La aldea_Digital es una experiencia unica en conexion a 100Gb/s, donde habran mas de 40 talleres y conferencistas. Ok parece que les hago spam.

Pero mi curiosidad fue probar algunas de mis tools y obtener informacion mas acertada sobre mi post anterior que se llamo “lujuria y vanidad explotando al ser humano”.

En un principio crei seria complicado el simple hecho de hacer un simple sniffeo a la red, pero mi sorpresa comenzo cuando logre acceder a la mayor parte de los dispositivos conectados a la red llamada #Aldeadigital.

Imagen

al parecer dicho evento se enfoco mas en obtener un buen ancho de banda, que poner una buena configuracion de seguridad en los dispositivos.

lanzando un simple ataque y obtener la mayoria de las credenciales o.O eso es algo raro en un evento grande. Entonces continue mi curiosidad de ver hasta donde se podia llegar.

Y antes de continuar, se que me contradije con lo que siempre he dicho de antes de realizar algo llevar la etica por delante, pero fue una sensacion realmente sorprendente poder manipular mas de 800 dispositivos con un simple xploit. cualquiera se pondria a pwnear al azar ya que este tipo de experiencias no pasan muy seguido ó almenos a mi no.

se que ya no tengo cara para pedir disculpas, porque demostre doble moral, tan solo seguire realizando PoC y pues cada accion tiene una reaccion, ya vendran las consecuencias para mi despues.

Continuando con el post, vulnerar la seguridad de la aldea fue algo facil al parecer, lo dificil fue evitar a las personas encargadas de establecer la seguridad y el orden del evento.

Apesar que son personas y que la mayoria tiene conocimientos menores y en su caso nulos, estan preparados para cualquier acto sospechoso reportar, y entonces ahi entre yo sentado en un sitio donde al parecer estoy en mi facebook revisando estados y stalkeando personas cuando en un momento de descuido de dichas personas de seguridad caminan para seguir observando, me dispongo a realizar un segundo ataque esto seria un ataque con enfoque a uno de los servidores de la #aldea_digital cuando uno de los administradores se dio cuenta que tenia una actitud muy seria.

Este administrador llamo a las personas encargadas de la seguridad y procedieron a realizar algunas preguntas, (algo como esto):

1. Buenas tardes mi nombre es #######

2. Que le parece la conexion de la aldea digital

seguido de eso fue mas directo al preguntar

3. puede mostrarme que esta realizando

Yo mostre una actitud normal y pacifista y dije claro estoy en mi facebook con unos amigos y mostre mi pantalla.

Fue facil despistar a estas personas, pero ya me tenian fichado asi que decidi moverme a otro lugar, realize un tercer ataque este consistia en un simple xploit que capturaba los logins de las sesiones, cuando estaba almacenando dicha informacion en un USB se hacercan de nuevo las personas de seguridad y me dicen.

“Puede desconectarse de la red y apagar su dispositivo”

Despues de un sermon que en ningun momento puse atencion al estar pensando cuantas personas se estaban logeando mientras estos platicaban conmigo, (todos los ataques los guarde remotamente para poder tener acceso en cualquier lugar y a cualquier hora)

Imagen

asi que amablemente se me pidio abandonar la aldea por motivos de violacion al reglamento :/

como sabia que estaba en problemas no puse un pero y accedi a retirarme.

Imagen

 

Entonces yo iba preparado con dos registros y nombres diferentes en ambos asi que decidi arriesgarme y volver a entrar a la aldea para seguir con mis pruebas.

cuando volvi a tomar control me di cuenta que uno de los gusanos inyectados se estaba propagando rapidamente, entonces me destine a revisar la DB de usuarios logeados y mi sorpresa fue que ya tenia acceso al area de video juegos, (aqui me di cuenta porque ya contaba con 400 cuentas de xbox live en ese momento).

otra de las herramientas que intente probar fue tomar control sobre la señal de unoTV y cuando crei lo estaba logrando fui reconocido por uno de los guardias que ya no fue tan amble al pedir me saliera.

En fin en otros post publicare estas herramientas que use como PoC en la #aldea_digital.

Aqui solo detallo mi expulsion y mis primeras pwneadas del dia.

Hasta el momento van mas de 6 mil cuentas comprometidas entre ellas (Facebook, twitter, Hotmail. yahoo, gmail, banamex, bancomer, axxa, entre otros).

Pero donde queda la etica, obviamente este hecho no puedo decir que existe etica al aprovecharme de parte de los usuarios afectados.

 

A mi parecer los organizadores del evento se enfocaron en tener un buen ancho de banda, talleres practicos, conferencias, etc pero nunca en tener cuidado en la sensibilidad de informacion de los usuarios.

mostrare parte de las cuentas afectadas.

Imagen

Imagen

prueba13 prueba14 prueba15 prueba17 prueba18 prueba12 prueba11 prueba10 prueba9 prueba8 prueba2 prueba3 prueba5 prueba6 prueba7 prueba11

Anuncios

4 comentarios en “PoC en #Aldea_Digital #Baby_Killer-Black (Post1)

  1. Yo también era de la idea de que tus últimas acciones tenían poca ética, es verdad, pero también es poco ético poner ese tipo de seguridad, creo que fue bueno en el fondo. No habría problema si se dedicara la gente a aprovechar el ancho de banda y descargara miles de cosas. De hecho tengo algunos crawlers, supongo que funcionarán.

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s