BlackHat: Gmail es muy fácil de hackear
Lunes 6 de Agosto, 2007 por Antonio Paredes
En Black Hat, uno de los más importantes eventos de seguridad informática, un experto en seguridad sorprendió a todos demostrando en vivo como hackear una cuenta de Gmail.
Robert Graham, CEO de la compañía Errata Security, fue el protagonista de uno de los momentos más interesantes en el evento Black Hat.
La posibilidad de hackear una cuenta mediante las cookies de una sesión la niegan los proveedores de webmail como Gmail, Hotmail o Yahoo!, pero es real.
Graham, lo puso más interesante al hacerlo en vivo mientras filmaban y mostraban en una pantalla gigante su procedimiento. Para obtener las cookies utilizó una herramienta que él mismo desarrolló, llamada Hamster, y procedió a hackear una cuenta especialmente abierta por uno de los concurrentes al evento.
George Ou, un especialista de ZDNet, abrió la cuenta getmehacked@gmail.com y envió un email a varios concurrentes. Graham, mediante su aplicación rastreó las cookies enviadas y recibidas a través de la red wireless del evento.
Graham ingresó a la cuenta y mostró el email recién enviado a la sorprendida multitud. Varios de los asistentes que recibieron el email de Ou, testificaron la veracidad de lo ocurrido, que también fue mostrado en la pantalla gigante.
Graham finalizó enviando un email utilizando la cuenta hackeada. El email tenía el título “I like sheep” (me gustan las ovejas) y lo envió a varios de los presentes, que a los pocos segundos se sorprendían al recibirlo.
Graham afirmó haber podido seguir ingresando a las cuentas hackeadas durante varios días. Pero, para evitar problemas legales, solo entraba a las cuentas de sus conocidos.
Recordemos la famosa exposición de Michael Lynn sobre los routers de Cisco, probablemente Graham publicará Hamster en pocos días, no sería una sorpresa ver hackeos en masa de cuentas de Gmail.
Actualización: Ya pueden descargarse las herramientas Ferret y Hamster desde este enlace.
[ Fuente : Clic aquí para ir a la pagina ]
Noticias recomendadas
Ver más artículos
- ↑ Siguiente: TeraCopy: Copia tus archivos segura y rápidamente
- ↓ Anterior: Fallo zero day en MySpace
Agosto 6, 2007 - 4:44 pm
A ver, un bug grave en firefox, cuentas de gmail fácilmente hackeables hace un tiempo apareció un virus para linux en su versión para iPods, es decir, aquello que se decía lo más seguro resulta simplemente ser algo común y silvestre, todos los sistemas tienen bugs, en algun momento caen, esa es una realidad incambiable, no existe el sistema perfecto.
La moraleja aquí sería… hay que tener cuidado con lo que hacemos en un computador, la mayor seguridad la pone el usuario final.
Saludos.
Agosto 6, 2007 - 6:33 pm
Se trata de un fallo de seguridad grave, no se harán esperar los Crackers para robar información valiosa de personas que depositamos nuestra confianza en estas cuentas, ojalá Google pueda solucionar el fallo a tiempo
Agosto 6, 2007 - 7:20 pm
“Graham posiblemente publicará Hamster en pocos días, no nos sorprenderá si nos enteramos de hackeos en masa de cuentas de Gmail.”
Hola, como va a publicar ese programita o como se llame por más experimental que sea; no es ético y es un peligro.
Agosto 6, 2007 - 8:33 pm
Fuera de si es ético o no publicarlo, lo que debe empezar a preocuparnos es qué hacer para evitarlo… ¿será posible?
Agosto 6, 2007 - 9:37 pm
en la red ya nada es seguro, lo sabian verdad?
Agosto 7, 2007 - 1:03 am
Hola a todos, tremendo debate.
H@nz totalmente de acuerdo, la seguridad la pone el usuario final principalmente, si se tiene cuidado y desconfianza se obtiene poco más que un antivirus actualizado con firewall integrado.
Edward, todos esperamos lo mismo, creo que la mayoría, sino todos, usamos Gmail a diario.
Milanta, que no te sorprenda que sea publicado, Michael Lynn, iba a publicar en BlackHat sobre un fallo de seguridad de en los routers Cisco, los de Cisco no quisieron, tampoco los jefes de la compañía en la que trabajaba, así que en la propia BlackHat, Lynn renunció a su trabajo y dio su presentación, Cisco arranco de los libros y folletos las paginas de la presentación de Lynn, hubo un gran escándalo, lo demandaron y más (al final se amistaron Cisco y Lynn). Más información aquí:
http://www.diarioti.com/gate/n.php?id=9248
http://www.diarioti.com/gate/n.php?id=9251
Miguel, podría ser mediante un software Anti-Sniffer, para que desde nuestra misma red (Aula, Cybercafé, Oficina, Universidad) no detecten los datos de nuestras conversaciones y navegación, para las cookies, podemos optar por la opción de Firefox Menú: Herramientas - Borrar datos privados.
Dwhite, bienvenido.
Lógico, ni OpenBSD, el sistema más seguro (según expertos), Mac (con arquitectura diferente) o Linux con código abierto se salvan (ni menciono a Microsoft…), tampoco nuestros propios móviles y sus sistemas operativos (Symbian u otro). Ya me extendí demasiado.
Solo a tener cuidado, desconfianza y estar al tanto de algún fallo que nos pueda afectar.
Para Dwhite:
Dwhite, te agradecería que me dieras algún crédito de los artículos que publicas en tu blog, ya que yo corto las imágenes, redacto, me informo un poco más, guiándome de fuentes y cito a la más adecuada y no he visto que me menciones todavía.
Agosto 7, 2007 - 2:45 am
Crei que Google Gmail era una de los mejores servidores de Email con respecto a la seguridad.Pero ahora veo que nada ya nada de nada es seguro en el internet. Ojala pronto arreglen ese problemon porque muchos usuarios de Gmail saldrian afectados.
Agosto 7, 2007 - 6:58 am
[…] Gmail es muy fácil de hackearxkod.com.pe/seguridad/blackhat-gmail-es-muy-facil-de-hackear/ por blackhat hace pocos segundos […]
Agosto 7, 2007 - 8:12 am
[…]Graham, mediante su aplicación rastreó las cookies enviadas y recibidas a través de la red wireless del evento.[…]
Lo inseguro en éste caso es la wifi.
Agosto 7, 2007 - 8:44 am
Lo inseguro en este caso es el Wifi, nada raro, desde sus inicios se han detectado fallos y ni con las claves WAP se encuentra total seguridad, ni siquiera resaltaron si el Wifi estaba protegido con clave, de lo contrario eso lo hace fácilmente cualquier novato con una herramienta para ese fin.
Saludos
Agosto 7, 2007 - 9:28 am
[…] Xkod Comparte este articulo:Estos íconos enlazan con webs de marcadores sociales que permiten a los […]
Agosto 7, 2007 - 10:51 am
Aún no ha sido publicado Hamster, por el momento no puedo afirmar su efectividad sin que tenga que ver los fallos o la inseguridad del wifi.
Veamos que exactamente es comprometido con este bicho, hace un tiempo atrás se detecto un bug en Gmail, pero en ese caso fue javascript, se podía ingresar a cualquier cuenta solo cambiando algunos valores, veremos que tan rápido reacciona Google, en caso de ser Gmail el único afectado.
Saludos
Agosto 7, 2007 - 11:30 am
También hay técnicas para capturar passwords de Hotmail, gmail en LAN:
Capturar contraseñas mediante Ettercap NG en Ubuntu
Saludos
Agosto 7, 2007 - 11:49 am
Hola nuevamente. Ya nada es seguro que buena jeje. Pero es cierto. Y yo que pensaba que Gmail era inviolable. Tampoco soy ingenuo.
Y bien, si la publica y aumenta su ego y tal vez algunos dolarillos en sus bolsillos y se j…n algunos cuantos miles/millones de usuarios que más da no creen.
Hasta que nos toque y ahí si vamos a ver que ondas como dicen los mexicanos.
Anthony gracias por los links. Saludos a todos.
Agosto 7, 2007 - 1:23 pm
Me parece que el hack es todo un mundo jeje.
Agosto 7, 2007 - 1:33 pm
Esperemos que esa herramienta no caiga en manos equivocadas, porque nos encontraremos con cientos de “sabios” que se encargarán de joder a los demás.
Saludos
Agosto 7, 2007 - 1:56 pm
No puedo asegurar esto, pero me inclino por pensar que antes de publicarlo, hablará con Google y con quienes se vean afectados, luego de eso desvelaría la técnica, así quedarían todos obligados a solucionar ese el problema rápidamente, creo que si no lo publica, otro u otros que lo descubran podrán sacar provecho y sería peor.
Saludos, bienvenidos los nuevos ;)
Agosto 7, 2007 - 2:00 pm
A ver Alfredos que os veo un poco afectados, lo que ha hecho el colega empresas varias es saciar su sed de publicidad, no ha descubierto la forma de hacerte con la cuenta de gmail que quieras (cosa que parece deducible de la noticia). No, no, no y no. El tio lo único que da es una forma para acceder a una cuenta de gmail teniendo la cookie de una sesion de esa cuenta de gmail, cosa bien distinta, ya que ¿cómo vamos a sacar la cookie? Pues coje el lumbreras y la saca usando un ataque archiconocido, el MITM, que sólo puede usarse estando en la misma red local que la víctima, en este caso en la misma red wireless. Lo que no dice es que en este caso, lo de menos es la habilidad para robar la cookie! Vamos, que sería igual de fácil hacer un programa que intercepte la conexión y saque la contraseña, casi mejor que la cookie, ¿no? Lo del colega este vale en casos en los que des con la cookie, por ejemplo, accediendo al disco duro de la víctima y robando la cookie.
En fin, que no. No, no y no.
Agosto 7, 2007 - 3:34 pm
[…] Link xkod […]
Agosto 7, 2007 - 4:36 pm
Mi amigo dice que si se publicaran todas las vulnerabilidades que gmail tiene, todos lo dejarían de usar…. :P
Agosto 7, 2007 - 4:36 pm
Pero claro, mi amigo no es americano ni va a la BlackHat diciendo que es el copón. :P :P
Agosto 7, 2007 - 4:45 pm
muchas tonterias
Agosto 7, 2007 - 4:50 pm
[…] 1) Gmail es muy facil de Hackear […]
Agosto 7, 2007 - 5:26 pm
Ya nada es seguro.
Agosto 7, 2007 - 6:08 pm
Amigos, un poco de calma. Quien trabaje en una red local más o menos abierta, con o sin WiFi, que sepa que sus compañeros pueden fisgonearle un poquito no ya sus cuentas de correo, sino hasta esas fotos picantonas escondidas (a no tan buen recaudo) en “Mis imágenes”. Y si acceden a su teclado, ya ni les cuento. Pueden terminar con goatse como fondo de pantalla.
Agosto 8, 2007 - 3:49 am
Que hace tanto windowsero barato hablando de seguridad? :?
Agosto 8, 2007 - 7:56 am
La seguridad es tarea de todos xD
Agosto 8, 2007 - 1:18 pm
[…] Un experto en informática sorprendió en la pasada edición de Black Hat, un importante evento de seguridad informática, demostrando que el servicio de correo de Google es muy fácil de hackear. […]
Agosto 8, 2007 - 11:23 pm
[…] puede ser hackeado facilmente Un experto en informática sorprendió en la pasada edición de Black Hat, un importante evento de seguridad informática, demostrando que el servicio de correo de Google es […]
Agosto 9, 2007 - 3:54 am
Y no hay nada que Gmail pueda hacer para evitar el funcionamiento de ‘Hamster’?
Saludos.
Agosto 9, 2007 - 9:53 am
[…] Un experto en informática sorprendió en la pasada edición de Black Hat, uno de los más importantes eventos sobre seguridad informática, demostrando que el servicio de correo de Google es facilmente hackeable. […]
Agosto 9, 2007 - 4:26 pm
Y qué pasa si uno accede a gmail usando httpS? (https://mail.google.com/mail)
¿¿¿La cookie es visible en la red wireless aún en este caso???
Yo creía que no. Siempre uso mi gmail con protocolo seguro.
Agosto 9, 2007 - 5:32 pm
[…] Un experto en informática sorprendió en la pasada edición de Black Hat, un importante evento de seguridad informática, demostrando que el servicio de correo de Google es muy fácil de hackear. […]
Agosto 13, 2007 - 9:49 am
[…] Hace poco en la conferencia BlackHat se demostraba como podía ser vulnerada una cuenta de Gmail fácilmente. […]
Agosto 14, 2007 - 12:10 am
[…] Gmail es muy fácil de hackear […]
Agosto 14, 2007 - 5:16 am
Que tal Anthony me parece un buen blog el tuyo, te leo hace tiempo pero recién me animo a comentar, mi apreciación con este post: creo que nos dejamos llevar por el sensacionalismo, de lo que hizo Michael, sin antes probarlos por completo, en LAN se hacen maravillas, y es WI-Lan mucho mejor, ya que este,es una tecnología que esta en desarrollo, y por ello los bugs.
Wifi decente aqui es un lujo, asi que si alguien trato de hacerlo, haber si sube el video.
Saludos
Agosto 14, 2007 - 6:46 am
Hola Czar, bienvenido.
De acuerdo contigo, aunque el titulo del post solo un resumen del artículo completo.
Personalmente, pienso que es fácil obtener la contraseña de un correo electrónico, sea Yahoo, Hotmail, Gmail u otra, con técnicas conocidas como Fakes o paginas web falsas, está claro que solo a un usuario novato se le podría hacer esto, otra técnica conocida y fácil de emplearla, sería enviarle una animación flash o dirección web con algún ejecutable blindado, el usuario al ejecutar el archivo obtiene una infección y el atacante (en este ejemplo) nosotros, obtenemos sus datos de navegación, pulsación de teclas, capturas de pantalla, contraseñas de distintos programas y paginas, un muy largo etc. En realidad, nada nuevo bajo el sol, todo sistema siempre será vulnerable, en esto si me permito generalizar.
Saludos Czar
Gracias por tu comentario.
Agosto 24, 2007 - 10:48 am
@Jose Luis:
No están usando man in the middle, están usando Sidejacking. Con el MITM interfieres en la sesión original, mientras que con Sidejacking no. Sidejacking es el proceso de sniffing de cookies, usandola luego en las webs para clonar la sesión de la víctima
Septiembre 17, 2007 - 10:53 pm
¡Vaya!, que descubrimiento. Usar las cookies de un Blanco, para suplantarle la sesion de mail. Como si fuera ayer que nacio la idea. Es tan antiguo coo pisar la arena de la playa.
Hasta con IS es posible Hackearle a alguien cualquier cuenta, y los hay tan tontos, como que ponen en su Blog, Satan como user, y Anticristo2007666 como passw. Hay que ser estupidos para llegar al infierno por ese camino….
Octubre 1, 2007 - 11:52 am
Me parece una tecnica muy vieja pero buena, sin embargo me pregunto si la mayoria de sitios hoy en dia tendra defensa para el robo de cookies
Febrero 29, 2008 - 6:16 pm
aigan amigos kien me podria hacer un trabajito de recuperar mi cuenta de gmail por favor contactarme al msn zeus-_-2007@hotmail.com espero sus respuestas…
Marzo 19, 2008 - 12:33 am
La finalidad de haber demostrado que es posible obtener datos para hacerse de una contraseña en realidad es buena , al igual que liberen el mentado programa pues si razonan correctamente la finalidad de esto conlleva a que también las empresas que ofrecen servicios de correo como en este caso GMail deban de mejorar su trabajo en cuanto a seguridad de sus productos y al final seamos los usuarios los que ganemos.
Si no se muestra de manera publica los errores que tiene su trabajo , como van a irle dando solución si los desconocen ?
Sin embargo
Mayo 25, 2008 - 10:53 am
hola quieren saber como sacar las contraseñas de hotmail
es muy sencillo yo andava como ustedes y de verdad me funciono pero en realidad ya e obtenido muchas contraseñas de amigos lo unico k ise fue lo siguiente pongan mucha atencion en los pasos siguiente :
1- el primer paso para hackear la cuenta de hotmail es sencillo,
2- no decimos hackear por que es totalmente legal..
3-una ves que entraste en tu cuenta de hotmail,debes componer un mensaje con las siguientes caracteristicas:
Debes escribir la direccion del sistema, que contiene la base de datos sobre la cual hotmail realiza la verificacion de passwords, esa cuenta es la siguiente [Editado por la administración]
Debes de poner el login de tu victima o su correo como se les aga mas sencillo por ejemplo@
En el campo asunto debes escribir….> retrieve password
Y copiar este Codigo que esta abajo, para despues pegarlo en el campo de mensaje
Recuerda de escribir tu correo electronico correctamente y tu password, para que te llegue el pass de tu victima a tu correo…
codigo #1
/cgi-bin/star?108&login=23n4j3&pass=AQUI TU
PASSWORD/login&access19\%80s10eBrd/user&javascript=active&
get=TU CORREO&login=javascript/cgi/bin\%0a/:(aqui el correo de tu victima)
codigo #2
:form_pwd;login=(escribe aqui el login de tu victima)
form.login.focus();form.passwd.gets=”;form_pwd;val ue=”yes”;
sendto=(escribe tu correo electronico); form.passwd (escribe tu password)
form_pwd;value=”admi
recuerda que los administradores pensaran que tu eres un aministrador con los codigos que mandastes de tal forma se confundiran y te enviaran el pasaword de la victima
mucha suerte es sencillo bye
Junio 4, 2008 - 1:30 pm
jajajajajajajajajajajajajajajajaja cuantos lamers crees q t van a enviar su password ??? q truko mas patetico….
Junio 11, 2008 - 9:02 am
oIe causa SAbes me Puedes manDAr programAs de HAcker de msn y otras cOsiTas mas a MI msn……..o NAd y legal lAs formas de encuentro de contrtas Eres un Lobaso Ne esa nota CAusa mi msn arcangel1_28@hot,,
no maS no me lo Vallas a Hkear pes Causa ok Chever un sAludo el Pueblo Peruano-Aguaytia - GB - okkkkkAZ