Robert Graham libera sus herramientas para romper cuentas de Gmail. ¿Cómo evitarlo?

folder_locked.gifEl tema no es ninguna tonteria porque si en este país lo de la seguridad informática es tomado medio a broma incluso por gente que debería preocuparse, no quiero pensar en los miles de usuarios que se conectan alegremente a un hot-spot Wi-Fi o la red abierta de turno.

En mayor medida, cuando Gmail es usado por una gran mayoría de usuarios de correo web, como será el ratio respecto a Yahoo o Hotmail (este útimo se usa más para mensajería instantánea en muchos casos que para el envío-recepción de correo) que Graham, CEO de Errata Security, no pudo comprobar según el si era efectivo su ataque en Yahoo o Hotmail, dentro de los eventos de Defcon ya que la proporción era de 20 a 1…

Lo cual nos puede indicar que llegó «con prisa» a la conferencia, porque sólo le dio tiempo a comprobarlo en Gmail antes de la BlakcHat ¿? ahí queda la pregunta…

El mencionado Robert Graham, sorprendió a todos los asistentes a su conferencia en BlackHat 2007 con una demostración sobre como romper la seguridad de una cuenta de Gmail mediante el uso de dos herramientas de «sidejacking» programadas por el mismo, (Ferret y Hamster) capturando y guardando las cookies e ID de sesión de la víctima para posteriormente, suplantar su identidad y autentificarse como otro usuario en Gmail.

Una adaptación de los conocidos ataques «man-in-the-middle» para redes Wi-Fi abiertas o hot-spots (robo de cookies vía XSS más el uso de un sniffer y la extensión «edit cookies» para Firefox).

Ataques no tan sencillos de realizar por un profano en la materia y que ahora, gracias a que Graham ha puesto a disposición de quien quiera descargarlas en su blog, las dos herramientas en un zip junto con las instrucciones para realizar el ataque, están casi al alcance de «cualquiera».

Como dato curioso comentaros que para GNU/Linux, BSD o Mac OS X nada de nada, sólo puedes ejecutar las herramientas bajo entornos Windows, (que no significa que no afecte el ataque sólo a Windows sino que los programas de Graham son para Windows) cuando me lo descargo y veo el .EXE, vaya bajón (incluso en los comentarios de su entrada, un usuario le pide el código fuente-;).

¿Tendré que volver a instalar Parallels para probarlo? En fin…sería de risa xD después del rollo de quitarlo, al final acabaré metiendo Wine en Debian o Kubuntu…ya os contaré.

Desde Kriptópolis, nos ofrecen unos consejos muy interesantes sobre como estar más protegido ante este tipo de ataques, a saber;

«En primer lugar, es conveniente que nuestra sesión con Gmail transcurra cifrada de principio a fin. Para ello, en vez de conectarnos a la dirección https://www.google.com/gmail (que nos redirige a direcciones sin cifrar mientras usamos nuestra cuenta) hay que conectarse siempre mediante https://gmail.google.com, que mantendrá nuestra sesión cifrada

Más consejos;

«En segundo lugar, antes de utilizar Gmail es conveniente cerrar el resto de pestañas o ventanas que tengamos abiertas, así como no pulsar ningún enlace ni navegar a ninguna otra veb mientras continúe abierta nuestra sesión en Gmail… Por último, al acabar la sesión no olvidar cerrarla (e incluso eliminar las cookies)«

También, un lector apunta en los comentarios de ese post;

«Con este script de greasemonkey te aseguras que todas las conexiones a servicios de google se mantienen cifradas, no sólo a gmail

Yo os aconsejo además, dejar en marcada la opción en Firefox preferencias-privacidad en «Aceptar cookies de las webs hasta que «se cierre Firefox», creo que por defecto viene «hasta que caduquen» y en «Limpiar información privada» activarlo para «cada vez que se cierre Firefox.

Asimismo, considerar el uso de la extensión «Noscript» para los más paranoicos y otros casos de ataques vía web.

Saludos y a protegerse tocan, Dabo -;).

Fuente y más info

[tags]Hacking Gmail, sidejacking, xss, firefox, wi-fi, sniffer, seguridad, Ferret, Hamster, BlackHat, cracking, cookies, Robert Graham[/tags]

dabo

Work: @apache_ctl | Edu: Hacker (and free) Culture & @debianhackers, @daboweb | Life: @verticalplaneta | ¿Hacktivista? (legítima defensa) GPG Key 0xBC695F37

dabo escribió 1256 entradas

Navegación de la entrada


Comentarios

  • baviera

    Madre mía, yo alucino. Menos mal que nos vais advirtiendo y nos vamos protegiendo con vuestros consejos ;)

  • dabo

    Pues si Baviera, son cosas que pasan y no es que te vaya a pasar a ti necesariamente pero tampoco estás libre de que ocurra, por lo que lo mejor es procurar evitar al máximo el riesgo -;)

  • Trebol

    Desde luego, no sé si la ignorancia me vence, pero, ¿que se gana con todo esto?. Ser el rey de la red, hacerse notar… No entiendo en verdad. Siempre he dicho, que este medio como es la red, es de todos y entre todos deberíamos mejorar y ayudarnos; no fastidiarnos (no hay iconos GRRRRR) ;)

  • dabo

    Lo sé Trébol pero las cosas lamentablemente están así ty dudo mucho que vayan a cambiar y ¿Qué se gana con todo eso? detrás del malware hay un gran negocio…

    Saludos !

  • Trebol

    Pudiendo caer en la apariencia de la ignorancia, no entiendo nada, pues al final todos salimos salpicados de esto incluso quienes lo hacen también caerá… ¿No es mejor hacerlo de forma limpia?…

    Abrazo.

Comentarios cerrados.