Gmail (entre otros) inseguro por defecto: expuesta la seguridad de las cookies, por Andor

Enviado por redaccion el 21 Agosto, 2008 - 06:56.

En un verano que parece movidito para el asunto de la seguridad informática, una nueva "herramienta" de doble filo ha sido presentada por Mike Perry, un especialista en ingeniería inversa de San Francisco en la DefCon 16, que permite automáticamente el robo de las cookies donde va la información de acceso de Gmail para "capturar" la conexión del usuario, y poder conectarse al correo en su lugar.

Andor_foto.jpgGmail tiene un defecto en el manejo de estas cookies (que es en donde viene almacenada la información de acceso y de sesión) y es que, pese a que el ingreso del usuario y la contraseña de acceso se realiza a través de SSL, y por lo tanto cifrado, una vez se ha comprobado este acceso y se ingresa al correo, como esta cookie no tiene marcada la opción "segura", permite que pueda ser transmitida cuando no estamos conectados por SSL y estamos chequeando el correo. Esto nos permite capturar la cookie a través de la red en un ataque llamado por él "Active Https Cookie Hijacking", y usarla como nuestra para "pasearnos" tranquilamente por el correo del usuario víctima.

conexion_https_gmail.pngHay una manera de evitar esto y es que el usuario final active una preferencia en su configuración de Gmail llamada "Siempre usar conexión HTTPS". Esta configuración no ha estado disponible hasta hace pocos días en Gmail

Hay que tener en cuenta, que ni es la primera vez que sale una herramienta relacionada con esta vulnerabilidad (Como Surf jack, que también captura cookies), ni Gmail es la única web que tiene estos problemas, ya que otras webs muy importantes, de la talla de Facebook o Amazon han sido descubiertas estos meses pasados con ese defecto de seguridad.

Un problema que, en principio, se podría producir "unicamente" (y ya es bastante) en redes privadas o en inalámbricas públicas (mucho ojo a dónde os conectais si no va por SSL), debido al último agujero descubierto en las DNS, y a que aun existen muchos servidores DNS sin parchear, podría llegar a realizarse a través de internet cuando haya gente conectada a través de servidores "envenenados".

A partir de esto extendemos las recomendaciones habituales, que eran siempre usar conexiones SSL en redes públicas o compartidas, y pasar a usarlas siempre cualquiera que sea la red a la que estamos conectados.

Un artículo de Alvaro Gonzalez Crespo

Guarda/busca/envia este enlace:
  • meneame
  • fresqui
  • Delicious
  • Digg
  • Reddit
  • Magnoliacom
  • Newsvine
  • Furl
  • Google
  • Yahoo
  • Technorati
  • Icerocket
  • Pubsub

Noticia anterior: Esa URL rara que ha aparecido en el portapapeles ....

Noticia Siguiente: El iPhone es para navegar en fin de semana

Enlaces relacionados

[ | 0 comentario/s]

Enviar un comentario nuevo

El contenido de este campo se mantiene como privado y no se muestra públicamente.
CAPTCHA
Este servicio evita el envío automatizado de comentarios
4 + 3 =
Solucione este simple problema matemático y añada el resultado. Ejemplo: 3+1 es igual a 4

Los comentarios que vulneren los derechos de otros usuarios, estén relacionados con actividades ilegales , supongan un claro ejemplo de interés comercial o sean ajenos al contenido de la noticia serán borrados sin aviso previo. Una buena ortografía y sintaxis ayudará a otros usuarios a entender mucho mejor sus inquietudes. Una vez enviado el comentario, se hará visible en unos minutos. Si cree que alguno de los comentarios publicados vulnera sus derechos, por favor, envíenos unas líneas a través de nuestro formulario de contacto. Al colocar un comentario en esta web, acepta que sus datos queden recogidos en una base de datos propiedad de Entremaqueros, SL., ubicada en EE.UU., cuya finalidad es el exclusivo almacenamiento de los mismos.


Necesitará iniciar sesión o registrarse para publicar comentarios o acceder a otros servicios de www.faq-mac.com