Como otros han publicado, y usted abrió con, los criptógrafos aceptan como un hecho que Eve siempre existe, y que ella siempre puede escuchar cualquier conversación. Cualquiera que trabaje con computadoras entiende que Internet no es seguro, pero muchos que no son criptógrafos todavía no lo entienden; a veces hay que recordarles a las personas.
En lugar de decirles hasta la muerte, suena como si quisieras usar el espectáculo para convencer a tu audiencia. No hay nada de malo en una demo dramática, por cierto, pero tiene que ser rápido, y tiene que ayudar a hacer su punto. Si puede realizar un hackeo de un minuto en la pantalla con todo el mundo mirando, mantendrá su atención el tiempo suficiente para hacer su comentario.
Comenzaría configurando un pequeño servidor, obteniendo una copia de metasploit y practicando el uso de meterpreter para inyectar un detector de paquetes, y Wireshark para mostrar el tráfico. Aquí hay una guía rápida para usarlo:
enlace
Es mejor tener diferentes cajas físicas para que la audiencia tenga una idea de lo que está sucediendo; decirle a una audiencia no técnica que está utilizando máquinas virtuales no es muy convincente. Pero todos pueden entender a Alice y Bob sentados en sus computadoras portátiles o sosteniendo sus iPads.
Para el servidor, cualquier laptop vieja servirá. Para todos los equipos de demostración, elija algo liviano, fácil de transportar y rápido para arrancar y correr en un escenario. Simplemente va a ejecutar suficiente servidor para alojar un pequeño servicio de mensajería, tablón de anuncios o sitio de WordPress.
El servidor de la víctima necesita un sistema operativo o una aplicación que tenga vulnerabilidades conocidas y confiables, y una en la que pueda practicar mucho. Windows XP SP2 con una versión anterior de Wordpress puede ser una buena opción.
Evite describir el entorno del servidor a la audiencia, porque es probable que algunas personas discutan con usted y digan "¡nadie ejecuta XP para servidores!" Si alguien se da cuenta y pregunta, diga "Lo elegí solo para hacer que la demostración se realice sin problemas, y si me disculpan, tengo que volver a la demostración".
También necesitarás algún tipo de hardware de red: un conmutador antiguo, o quizás un enrutador doméstico antiguo, posiblemente con un punto de acceso inalámbrico.
Además de los ensayos exhaustivos, haz que todo esté listo para el escenario antes de que llegue la audiencia y realiza dos recorridos finales con tus voluntarios.
A medida que te presentas, introduce tu mini-internet. Explique que Alice y Bob intercambiarán mensajes a través de este servidor. Llámalo faciemlibro.com para una risa barata.
Pida ayuda a algunos ayudantes o voluntarios obedientes, y preséntelos como Alice y Bob. Sería llamativo si pudieras sacar a tu Alice y Bob de la audiencia con sus propias computadoras portátiles o iPads, pero tendrían que estar en esto contigo y configurarlo por adelantado, ya que no puedes perder el tiempo configurando su ordenadores. De lo contrario, podría proporcionarles computadoras portátiles que funcionen.
Pídales que intercambien un par de mensajes (tal vez haga arreglos para que cuenten una broma adecuada a la audiencia) para mostrar cómo funciona. Todo esto debe hacerse rápidamente, antes de que pierda la audiencia.
Ahora es el momento de presentarte como el espía, Eve. Eve tendrá que sacar su computadora portátil y conectarlo a la red. Para obtener risas adicionales, podría tener una letra grande de la NSA en la tapa de su computadora portátil que se revela al público cuando la abre, o usar un logotipo de la NSA como fondo para su escritorio.
Finalmente, es tiempo de demostración. Haga que Eve use metasploit para irrumpir en el servidor e instalar un detector de paquetes. Haga que Alice y Bob intercambien algunos mensajes más, luego use Wireshark para mostrar a todos la pantalla de Eve con copias del tráfico de la red. Si puedes mantener todo el circo durante 60 segundos en los ensayos, sorprenderás a la multitud.
Con suerte, estará en el punto en el que su audiencia está demandando cifrado. Haga que Eve vuelva a iniciar la captura de paquetes y que Alice y Bob utilicen el puerto https para intercambiar mensajes nuevamente. Ahora, la captura de Eve de Wireshark mostrará que el tráfico capturado está cifrado y ya no se puede leer.
Recuerda, no te centres en el hack. No estás intentando probar que los servidores de Facebook pueden ser pirateados, o que eres un tipo de súper hacker. Incluso puedes decirles que descargaste la demo de internet, y fue así de fácil. Pero asegúrese de que entiendan que todo el punto de la demostración es mostrar que Eve puede ver todo el tráfico, incluso si no puede entender el contenido cifrado de los mensajes.
A estas alturas, espero que su audiencia quiera escuchar el resto de su conversación.