-
-
Robert Graham, CEO de la compañía Errata Security, fue el protagonista de uno de los momentos más interesantes en el evento Black Hat.
Lo que Graham logró es algo que los proveedores de mail basados en web como Gmail, Hotmail o Yahoo! niegan permanentemente pero muchos saben que es real: la posibilidad de hackear una cuenta mediante la obtención de las cookies de una sesión.
Y eso es lo que ha hecho Graham, pero para hacer la cosa más interesante lo ha hecho en vivo y con cámaras que filmaban y mostraban en pantalla gigante su proceder. Para obtener las cookies utilizó una herramienta de su propio desarrollo, que el denominó Hamster, y procedió a hackear una cuenta especialmente abierta por uno de los concurrentes al evento.
George Ou, un especialista de ZDNet, abrió la cuenta getmehacked@gmail.com y envió un email a varios concurrentes. Luego Graham, mediante su aplicación comenzó a rastrear cookies enviadas y recibidas a través de la red wireless provista por el evento.
Al obtener la correspondiente al usuario y su cuenta de Gmail recién abierta, procedió a ingresar, y a mostrar a la atónita concurrencia el email recién enviado. Dado que varios de los asistentes habían recibido el email pocos segundos antes de parte de Ou, pudieron testificar la veracidad de lo ocurrido, que igualmente era mostrado a pantalla gigante.
Y por si hackear una cuenta de correo no fuera lo suficientemente emocionante, Graham procedió a enviar un email utilizando la cuenta hackeada. El email, con título "I like sheep" (me gustan las ovejas) fue enviado a varios de los presentes, que a los pocos segundos se sorprendían al recibirlo.
Lo que más asusta de todo esto es que Graham afirma haber podido seguir ingresando a las cuentas hackeadas durante varios días. Claro que en su caso, para evitar problemas con la ley, Graham se dedicó a hackear cuentas de conocidos, con fines puramente "experimentales"
Lógicamente, las grandes compañías aseguran que no es posible ingresar a una cuenta de email mediante las cookies, algo que de confirmarse generaría terribles miedos de parte de los usuarios, que no siempre pueden eliminarlas al utilizar un ordenador de uso público. Y muchos podrán argumentar que mediante el uso de SSL (Segure Sockets Layer o capa de conexiones seguras) se eliminan los riesgos.
Pero lo cierto es que la gran mayoría de los usuarios no están al tanto de las formas de utilizar esas conexiones con sus ordenadores, e ingresan en redes wi-fi de manera desprotegida. Graham seguramente lanzará Hamster en pocos días, por lo que no deberías sorprenderte si de pronto nos enteramos de hackeos en masa de cuentas de Gmail.
La noticia, en el blog de George Ou-
Hamster, analizando el tráfico de la red wireless
-
Hamster: para ingresar en una cuenta solo hay que pinchar en la dirección IP encontrada
-
-
¿Y tú, qué opinas?
-
#1Christian lunes, 06 de agosto de 2007, 07:23
De miedo la verdad... o sea la mejor manera de evitar esto es no usando redes wifi publicas para revisar correos... por que segun entiendo, solamente usando este tipo de redes o una computadora publica sin borrar los cookies es la unica forma de que te hackeen o me equivoco?
-
#2h@nz ...el Geek lunes, 06 de agosto de 2007, 16:37
Bueno, a mi me parece que no es nada espectacular (pero si muy interesante), quienes trabajamos en sistemas sabemos que TODOS los programas o sistemas estan expuestos a posibles ataques y que estos tarde o temprano se pueden hacer conocidos... lo que me parece gracioso de esto es que antes se decía que gmail era inhackeable, pero como vemos no es así, es un sistema como cualquier otro con sus virtudes y defectos. Creo que Google al estar en proceso de monopolizar internet esta descuidando sus principales herramientas, a toda empresa le puede pasar. En cuanto a la red inalámbrica, todo indica que la tecnología se enrumba hacia ese horizonte, en el futuro, todo será inalámbrico así que ... Leer más
-
#3
-
#4
-
#5
-
#6
-
#7willy viernes, 10 de agosto de 2007, 01:42
epere4, al enviar información por https o ssl, la misma viaja encriptada. Aunque igualmente puede ser capturada por sniffers o herramientas similares, ya será mucho más difícil (realmente muchísimo más difícil) ver los datos contenidos. Pero, en redes wi-fi siempre estará el elemento inseguridad presente de una manera mucho más notoria que en redes cableadas. Y no solo en conexiones wireless, es mucho más fácil interceptar teléfonos inalámbricos, móviles, obtener códigos de alarma de vehículos, etc. Es un tema que en el mediano plazo comenzará a exigir soluciones cada vez más urgentes. Saludos
-
#8
-
#9aix_ viernes, 17 de agosto de 2007, 00:32
Todo esto es inexacto ya que la vulnerabilidad en sí no depende de gmail sino de la tecnología wifi. De hecho se podría hacer lo mismo sin las herramientas del señor Graham en gmail o en cualquier otra cuenta webmail simplemente capturando paquetes y dependiendo del correo tomar la información, reconstruir cookies, etc.. Lo que es vulnerable es la tecnología wifi pero esto no es algo nuevo, y no debiera ser noticia pues es de todos conocido.
-
#10HackEscor domingo, 19 de agosto de 2007, 04:33
Coincido con Aix_ para mi forma personal eso es sacar provecho de los defectos de hardware que tiene en cuanto a seguridad, y por ende deja el aujero para el sotware. asi como esa empresa se podria hacer lo mismo caso concreto , me pare con mi antena entre medio de dos comunicaciones y por no tener seguridad pude realizar lo mismo con la diferencia que no es gmail. pero le puede tocar a cualquiera. de todas maneras lo que mas me intereso el la forma como lo realizo, y tomarse el trabajo de desarrollar su propia herramienta. Eso se lo valoro.
-
#11willy domingo, 19 de agosto de 2007, 17:13
Lo que Robert Graham ha hecho es crear una aplicación que obtiene los datos necesarios como para ingresar en una cuenta de Gmail. Aquí hay dos cuestiones: en primer lugar está claro que los datos han sido capturados debido a la facilidad conque eso puede suceder en los entornos wi-fi. Pero la debilidad con la que Gmail maneja esos datos ha sido la que permitió que sus cuentas sean hackeadas. Si las mismas tuvieran algún tipo de encriptación más fuerte, los datos igualmente podrían ser capturados (o mejor dicho los paquetes TCP/IP/UDP) pero de nada le servirían a quien lo haga porque estarían encriptados. Por ello considero que la falla más grave es de Gmail, porque sabiendo de esta posibi... Leer más
-
#12
-
#13cksk8 jueves, 08 de noviembre de 2007, 13:41
asi devera yo lo prove de otra formas con megaupload a una amista mia que tenia cuenta premio es con los cookies de internet explorer del nick y el pass solo lo intales del firefox estraer todo las historia de internet explorer y a pasalor a firefox y luego busca los cookies de firefox y te lo lleva en tu hhd portatil y listo asi de sensillo asi de sensillo verda solo es ingenieria inversa jajaj no lo es provado en msn yahho pero a luego !!! bueno un saludos a todos las amista de del contiemnte asia europeo y americano desde guangzhuo huadu bueno chaito nos vemos en la red by cksk8
-
#14
-
#15
-
#16
-
#17iih viernes, 06 de junio de 2008, 09:00
/**********oh que gente enferma ALGUNAS q comenta. "da miedo pero es real" por diossss cansa con ese "da miedo". y los otros que se quieren hacer ver y no son nadie. si saben tanto de hackers y son tan hackers como se creen entonces para que se meten a este tipo de conversaciones?? "el sabio calla." y no puede faltar el que da retos.."a que no hackean esto" " no creo que puedan" mierda que se la pasan al vicio no? .(( comentaristas #13 #14 y #16 y varios algunos de arriba esta todo bn con ustedes)) son solo algunos que se quieeren hacer ver. si saben tanto hagan sus vidas y no critiquen ni se hagan los q ya saben,se hacen los capos diciendo "oh no es gran cosa" puede que no sea gran cosa p... Leer más
-
#19
-
#20edwin_123 sábado, 12 de julio de 2008, 02:00
m gustaria hacken esta cuenta aber si tan chidos carol138@hotmail.com spero resultados
-
#24
-
Cargando...
-
nuevo comentario
Nombre Campo obligatorio
Email Escriba una dirección de correo electrónico con el formato sunombre@ejemplo.com.
Campo obligatorio
-
