Gmail hackeado durante el último Black Hat

**jscieza** · 07-ago-2007, 17:36

Cita:

En el evento Black Hat, uno de los más importantes en el ambiente de la seguridad informática, un experto en seguridad sorprendió a todos al demostrar en vivo como hackear una cuenta de Gmail.

Robert Graham, CEO de la compañía Errata Security, fue el protagonista de uno de los momentos más interesantes en el evento Black Hat.
Lo que Graham logró es algo que los proveedores de mail basados en web como Gmail, Hotmail o Yahoo! niegan permanentemente pero muchos saben que es real: la posibilidad de hackear una cuenta mediante la obtención de las cookies de una sesión.

Y eso es lo que ha hecho Graham, pero para hacer la cosa más interesante lo ha hecho en vivo y con cámaras que filmaban y mostraban en pantalla gigante su proceder. Para obtener las cookies utilizó una herramienta de su propio desarrollo, que el denominó Hamster, y procedió a hackear una cuenta especialmente abierta por uno de los concurrentes al evento.

George Ou, un especialista de ZDNet, abrió la cuenta getmehacked@gmail.com y envió un email a varios concurrentes. Luego Graham, mediante su aplicación comenzó a rastrear cookies enviadas y recibidas a través de la red wireless provista por el evento.

Al obtener la correspondiente al usuario y su cuenta de Gmail recién abierta, procedió a ingresar, y a mostrar a la atónita concurrencia el email recién enviado. Dado que varios de los asistentes habían recibido el email pocos segundos antes de parte de Ou, pudieron testificar la veracidad de lo ocurrido, que igualmente era mostrado a pantalla gigante.

Y por si hackear una cuenta de correo no fuera lo suficientemente emocionante, Graham procedió a enviar un email utilizando la cuenta hackeada. El email, con título "I like sheep" (me gustan las ovejas) fue enviado a varios de los presentes, que a los pocos segundos se sorprendían al recibirlo.

Lo que más asusta de todo esto es que Graham afirma haber podido seguir ingresando a las cuentas hackeadas durante varios días. Claro que en su caso, para evitar problemas con la ley, Graham se dedicó a hackear cuentas de conocidos, con fines puramente "experimentales".

Lógicamente, las grandes compañías aseguran que no es posible ingresar a una cuenta de email mediante las cookies, algo que de confirmarse generaría terribles miedos de parte de los usuarios, que no siempre pueden eliminarlas al utilizar un ordenador de uso público. Y muchos podrán argumentar que mediante el uso de SSL (Segure Sockets Layer o capa de conexiones seguras) se eliminan los riesgos.

Pero lo cierto es que la gran mayoría de los usuarios no están al tanto de las formas de utilizar esas conexiones con sus ordenadores, e ingresan en redes wi-fi de manera desprotegida. Graham seguramente lanzará Hamster en pocos días, por lo que no deberías sorprenderte si de pronto nos enteramos de hackeos en masa de cuentas de Gmail.

FUENTE ORIGINAL: http://www.neoteo.com/tabid/54/ID/4088/Default.aspx

ENCONTRADO EN: http://www.celulaweb.net/articulos/s...hackean-gmail/

***

Bueno, una muestra más de que todo sistema es vulnerable. Copie el artí**** porque me parece una lectura interesante, sobretodo para quienes gusten de temas relacionados a la seguridad y hacking.

PeterWill · 07-ago-2007, 18:57

Me mojo... ahora quien podra defenderme?

Ya no creo en nadie

.

**Diego** · 07-ago-2007, 18:58

That's hacking!

No como los charlatanes que dicen por ahi que te hackean una cuenta a cambio de "X" suma de dinero.
Seria bueno prestar atención de ahora en adelante la eliminación de cookies.
A propósito alguien ha testeado SandboxIE? solo para OS Windows

Snoopy · 07-ago-2007, 19:04

Y pensar que ni el hashing (o como se escriba en lo que comercio electronico) es seguro.

Menos mal que en mi correo solo tengo trivilidades

Saludos

TAXBLUESMAN · 08-ago-2007, 03:12

ibnterseante

brenda87 · 13-ago-2007, 23:30

En la web del dragón encontré esto:

Proteger tu cuenta Gmail del Hijacking de sesión

Aunque entrar a una cuenta de correo mediante Hijacking (secuestro de sesiones o cookies) no es nada nuevo, últimamente se ha hablado mucho de ello gracias a la conferencia dada por Robert Graham en la ultima entrega del Black Hat realizado en las vegas, incluso han sido liberadas las herramientas Hamster” y “Ferret” que facilitan las cosas.
En hackszine.com han publicado un articulo titulado HOWTO: secure Gmail to prevent session hijacking en el cual explican los pasos a seguir para evitar se víctima del robo de sesión por medio de hijacking.
Los pasos a seguir son los siguientes:

Ingresar siempre por https://mail.google.com/mail/
Si no ingresamos por http://mail.google.com/mail nuestra información se transmite por http simple y sin cifrar, cosa que no pasas si escribimos https:// lo que indica a gmail que queremos hacer uso del protocolo http seguro para que nuestra sesión permanezca cifrada.
Ser precavido y no hacer clic en enlaces mientras se tenga la sesión abierta.
Mientras tengamos el correo abierto, tratemos de no navegar en otros sitios, ya que es posible que nuestra información sea robada al navegar por paginas con códigos malicioso.
Cerrar todas las pestañas y ventanas del navegador antes de abrir la sesión.
Eliminar archivos temporales y cookies al terminar de leer nuestro correo
Hacer esto garantiza que ya no tendremos nuestros datos almacenados en el disco y por lo tanto no nos podrán robar estos (esto es muy recomendado especialmente cuando naveguemos en un café)

fuente:

http://www.dragonjar.us/proteger-tu-...e-sesion.xhtml

07-ago-2007, 18:57	#2
PeterWill Miembro de Plata Registrado: febrero-2007 Ubicación: Lima - Perú Edad: 20 Género: Mensajes: 952	Me mojo... ahora quien podra defenderme? Ya no creo en nadie . __________________

13-ago-2007, 23:30	#6
brenda87 Miembro de Oro Registrado: enero-2007 Ubicación: a 27 km fuera de Lima Mensajes: 2.357	En la web del dragón encontré esto: Proteger tu cuenta Gmail del Hijacking de sesión Aunque entrar a una cuenta de correo mediante Hijacking (secuestro de sesiones o cookies) no es nada nuevo, últimamente se ha hablado mucho de ello gracias a la conferencia dada por Robert Graham en la ultima entrega del Black Hat realizado en las vegas, incluso han sido liberadas las herramientas Hamster” y “Ferret” que facilitan las cosas. En hackszine.com han publicado un articulo titulado HOWTO: secure Gmail to prevent session hijacking en el cual explican los pasos a seguir para evitar se víctima del robo de sesión por medio de hijacking. Los pasos a seguir son los siguientes: Ingresar siempre por https://mail.google.com/mail/ Si no ingresamos por http://mail.google.com/mail nuestra información se transmite por http simple y sin cifrar, cosa que no pasas si escribimos https:// lo que indica a gmail que queremos hacer uso del protocolo http seguro para que nuestra sesión permanezca cifrada. Ser precavido y no hacer clic en enlaces mientras se tenga la sesión abierta. Mientras tengamos el correo abierto, tratemos de no navegar en otros sitios, ya que es posible que nuestra información sea robada al navegar por paginas con códigos malicioso. Cerrar todas las pestañas y ventanas del navegador antes de abrir la sesión. Eliminar archivos temporales y cookies al terminar de leer nuestro correo Hacer esto garantiza que ya no tendremos nuestros datos almacenados en el disco y por lo tanto no nos podrán robar estos (esto es muy recomendado especialmente cuando naveguemos en un café) fuente: http://www.dragonjar.us/proteger-tu-...e-sesion.xhtml __________________ http://www.circovip.com

Temas Similares
Tema	Autor	Foro	Respuestas	Último mensaje
El Bocón hackeado (defaced)	visionex	Seguridad Informática	2	30-jul-2008 19:06
Hotmail con 5 Gigas!!!! Adios Gmail....	Sido	Discusión General	36	06-nov-2007 02:30
Blog Peruano Hackeado	x-web	Foro Libre	2	20-jun-2007 15:57
Hotmail O Gmail	jimmy20	Discusión General	58	29-abr-2007 21:44
Gmail abierto para todo@s!!!!!	The Ghost	Discusión General	9	27-feb-2007 23:26

07-ago-2007, 18:58	#3
Diego Moderador Global Registrado: octubre-2006 Ubicación: No Man's Land Género: Mensajes: 2.975	That's hacking! No como los charlatanes que dicen por ahi que te hackean una cuenta a cambio de "X" suma de dinero. Seria bueno prestar atención de ahora en adelante la eliminación de cookies. A propósito alguien ha testeado SandboxIE? solo para OS Windows

07-ago-2007, 19:04	#4
Snoopy Miembro SUSPENDIDO Registrado: noviembre-2006 Ubicación: Lima Edad: 28 Mensajes: 1.500	Y pensar que ni el hashing (o como se escriba en lo que comercio electronico) es seguro. Menos mal que en mi correo solo tengo trivilidades Saludos

08-ago-2007, 03:12	#5
TAXBLUESMAN Miembro Nuevo Registrado: agosto-2007 Mensajes: 24	ibnterseante