En un verano que parece movidito para el asunto de la seguridad informática, una nueva “herramienta” de doble filo ha sido presentada por Mike Perry, un especialista en ingeniería inversa de San Francisco en la DefCon 16, que permite automáticamente el robo de las cookies donde va la información de acceso de Gmail para “capturar” la conexión del usuario, y poder conectarse al correo en su lugar.
Gmail tiene un defecto en el manejo de estas cookies (que es en donde viene almacenada la información de acceso y de sesión) y es que, pese a que el ingreso del usuario y la contraseña de acceso se realiza a través de SSL, y por lo tanto cifrado, una vez se ha comprobado este acceso y se ingresa al correo, como esta cookie no tiene marcada la opción “segura”, permite que pueda ser transmitida cuando no estamos conectados por SSL y estamos chequeando el correo. Esto nos permite capturar la cookie a través de la red en un ataque llamado por él “Active Https Cookie Hijacking”, y usarla como nuestra para “pasearnos” tranquilamente por el correo del usuario víctima.
Hay una manera de evitar esto y es que el usuario final active una preferencia en su configuración de Gmail llamada “Siempre usar conexión HTTPS“. Esta configuración no ha estado disponible hasta hace pocos días en Gmail
Hay que tener en cuenta, que ni es la primera vez que sale una herramienta relacionada con esta vulnerabilidad (Como Surf jack, que también captura cookies), ni Gmail es la única web que tiene estos problemas, ya que otras webs muy importantes, de la talla de Facebook o Amazon han sido descubiertas estos meses pasados con ese defecto de seguridad.
Un problema que, en principio, se podría producir “unicamente” (y ya es bastante) en redes privadas o en inalámbricas públicas (mucho ojo a dónde os conectais si no va por SSL), debido al último agujero descubierto en las DNS, y a que aun existen muchos servidores DNS sin parchear, podría llegar a realizarse a través de internet cuando haya gente conectada a través de servidores “envenenados”.
A partir de esto extendemos las recomendaciones habituales, que eran siempre usar conexiones SSL en redes públicas o compartidas, y pasar a usarlas siempre cualquiera que sea la red a la que estamos conectados.
Un artículo de Alvaro Gonzalez Crespo
