sábado, 11 de agosto de 2007

Inseguridad en GMAIL

Robert Graham, CEO de Errata Security, enseñó a la audiencia de BlackHat 2007 cómo hackear una cuenta de Gmail.

La audiencia estalló en risas y aplausos cuando Graham usó sus herramientas de hijacking (secuestro de información) para hackear una cuenta de correo Gmail registrada por uno de los asistentes al evento.

La demostración fue proyectada ante una audiencia de más de 500 personas. Los primeros ataques los realizó inalámbricamente, usando su laptop con una herramienta llamada Ferret, que él mismo escribió a comienzos de este año y que captura y almacena las cookies y las ID sesion enviadas por el navegador web de la víctima...

Luego, con otra de sus aplicaciones llamada Hamster, procesa estos datos almacenados, los cuales quedan listos para ser utilizados.

El propio Robert Graham reconoce en su weblog que su reciente sesión de "magia negra" en Black Hat no tiene nada de nuevo, ya que los ataques man-in-the-middle en hotspots públicos Wifi o el robo de cookies mediante XSS o el uso de un sniffer con la extensión Edit Cookies para Firefox, permiten obtener idénticos resultados. La novedad es que ahora todo resulta mucho más fácil.

Sobre todo teniendo en cuenta que Graham ha puesto a libre disposición sus herramientas Ferret y Hamster que, junto a a algunas intrucciones, pueden ya descargarse desde su sitio en un solo zip de 470 KB.

Precauciones:

En primer lugar, es conveniente que nuestra sesión con Gmail transcurra cifrada de principio a fin. Para ello, en vez de conectarnos a la dirección https://www.google.com/gmail (que nos redirige a direcciones sin cifrar mientras usamos nuestra cuenta) hay que conectarse siempre mediante https://gmail.google.com, que mantendrá nuestra sesión cifrada.

En segundo lugar, antes de utilizar Gmail es conveniente cerrar el resto de pestañas o ventanas que tengamos abiertas, así como no pulsar ningún enlace ni navegar a ninguna otra web mientras continúe abierta nuestra sesión en Gmail...

Por último, al acabar la sesión no olvidar cerrarla (e incluso eliminar las cookies).




Vía:Kriptópolis
Enlaces:Noticia original en ZDnet y HOWTO: secure Gmail to prevent session hijacking


Autor: K3beta |

Categorías: ,