334 meneos
5544 clics

Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

es.noticias.yahoo.com/descubierta-vulnerabilidad-gmail-em... 
por JanSmite el 25-10-2012 10:54 UTC publicado: 27-10-2012 22:35 UTC
Un usuario de Gmail, el servicio de correo de Google, ha detectado una vulnerabilidad en el sistema. Este fallo fue descubierto cuanto el matemático Zachary Harris recibió una oferta de trabajo de la propia Google. El problema de Gmail radicaba en la clave DKIM, utilizada para iniciar sesión en los dominios de correo electrónico. Todo comenzó con un extraño email de un reclutador de Google enviado al matemático de 35 años, Zachary Harris. En dicho correo, le ofrecían un puesto como ingeniero en fiabilidad web.
etiquetas: correo, seguridad, google
negativos: 3   usuarios: 175   anónimos: 159  
compartir:  twitter  facebook  tuenti  
40comentarios tecnología, seguridad karma: 628
  1. #1   Me imagino que, claro, lo habrán contratado ;)
    38  votos: 4   link
    el 25-10-2012 10:55 UTC por JanSmite JanSmite
  2. #2   Pues no se yo... quizás el email era de Google realmente, hubiera sido una buenisima técnica de reclutamiento
    18  votos: 1   link
    el 25-10-2012 11:00 UTC por paco_camps_2011 paco_camps_2011
  3. #3   Vaya crack. Le ofrecen un puesto en "fiabilidad web" y encuentra un agujero de seguridad en la oferta de trabajo.
    635  votos: 68   link
    el 25-10-2012 11:00 UTC por aitor.menta aitor.menta
  4. #4   #3 Según dice el propio artículo, no estaba interesado en el trabajo
    42  votos: 2   link
    el 25-10-2012 11:02 UTC por JanSmite JanSmite
  5. #5   #4 Vamos, que lo ha encontrado solo por putear, no? :-D
    7  votos: 0   link
    el 25-10-2012 11:03 UTC por EdmundoDantes EdmundoDantes
  6. #6   #5 Más bien para no ser puteado :-P
    25  votos: 2   link
    el 25-10-2012 11:24 UTC por juanrey juanrey
  7. #7   Pero pero pero... esto es imposible... Google nunca tiene fallos de seguridad
    9  votos: 2   link
    el 25-10-2012 11:48 UTC por Desmond Desmond
  8. #8   #4 #3 Pues para no estar interesado les ha dejado una carta de presentacion cojonuda.
    315  votos: 32   link
    el 25-10-2012 13:03 UTC por ChingPangZe ChingPangZe
  9. #9   #1 Pues no...

    > ...Evidentemente, Zachary Harris no entró a trabajar a Google porque de partida la empresa de Mountain View no estaba buscando empleados, además, nunca le interesó, el sólo dio a conocer el caso porque era de interés general [via ow.ly/eMPYa]
    48  votos: 3   link
    el 26-10-2012 11:09 UTC por s0phisma s0phisma
  10. #10   Yo me pregunto cuantos servidores o carga de computacion adicional en servidores (creo que se mide en MFLOPS) requerirá este paso de clave DKIM 512 bits a 2.048 bits. (y cuanto consumo adicional en electricidad)
    Relacionado:
    ¿Cuánta electricidad consumen los gigantes de Internet?
    www.meneame.net/story/cuanta-electricidad-consumen-gigantes-internet
    19  votos: 1   link
    el 26-10-2012 20:58 UTC por capitan__nemo capitan__nemo
  11. #11   #7 Todas las empresas tienen fallos de seguridad. Lo que diferencia a unas de otras es el tiempo que tardan en resolverlos una vez descubuertos; en este caso 2 días.
    55  votos: 5   link
    el 26-10-2012 21:50 UTC por otosigo otosigo
  12. #12   El DKIM no sirve "para iniciar sesión" en ningún lado. En fin, las paridas que hay que leer cuando los reporteros se ponen a hablar de cosas técnicas.
    61  votos: 6   link
    el 26-10-2012 22:39 UTC por RubenC RubenC
  13. #13   Yo hace años descubrí una vulnerabilidad en los blogs de Microsoft.
    Lo puse en conocimiento, pero como mis conocimiento de informática no eran tan avanzados siempre tuve la duda si era culpa de Microsoft o de la otra parte.
    Os cuento.
    Tenía un blog en los spaces de Msn. Tenías una opción para ver las visitas del blog y de donde te venían (vamos lo normal).
    Resulta que le envié la dirección de mi blog, mediante el correo normal de hotmail, a una secretaria que estaba trabajando en una grandísima empresa.
    Ella al pulsar mi enlace desde su correo dejó el "rastro" en las estadísticas de mis visitas. Apareció en mis estadísticas el enlace desde el que ella entró, tipo inbox/blablabla.
    Me da por pulsar el enlace y accedí directamente desde las estadísticas de mi blog a su bandeja de entrada o_o
    Allí pude ver su correo interno, documentos guardados, contactos, etc.
    Solo podía acceder cuando ella tenía la ventana abierta del correo en su ordenador.
    Se lo comuniqué a ella y también envié correo a Microsoft (creo recordar que también envié un post a Kriptopolis)
    Nadie me respondió, pero arreglarlo lo arreglaron xD
    277  votos: 29   link
    el 27-10-2012 09:25 UTC por Fotoperfecta Fotoperfecta
  14. #14   Y Google en vez de mandarle un email agradeciéndoselo simplemente optaron por callar.
    No ta mal.
    16  votos: 1   link
    el 27-10-2012 11:43 UTC por ingenieril ingenieril
  15. #15   enviado al matemático de 35 años, Zachary Harris

    Ya estamos con el spanglish de seguir siempre el orden inglés... Esa frase, dicha así, indica que sólo hay un matemático de 35 años y que se llama Zachary Harris. Para decir lo que realmente quiere decir, debería ser:

    enviado a Zachary Harris, matemático de 35 años.

    Cada vez estoy más harto de las noticias de supuestos profesionales que están llenas de faltas de ortografía. Paso de menear ésta.
    144  votos: 16   link
    el 27-10-2012 12:43 UTC por takamura takamura
  16. #16   Ni las gracias le han dado, para que aprendáis a hacerle favores a google.
    12  votos: 1   link
    el 27-10-2012 13:19 UTC por airwave airwave
  17. #17   Más que una vulnerabilidad, es un descuido.
    Estaban usando una firma débil (y por culpa de eso, alguien malintencionado podría mandar emails haciéndose pasar por google) pero se sustituye por una fuerte y ya está (que es lo que han hecho)
    De todas formas, un 10 para el señor Harris, que le dió por investigarse el tema y descubrirlo
    40  votos: 3   link
    el 27-10-2012 14:17 UTC por yomisma123 yomisma123
  18. #18   #15 O como tú lo pones o eliminando la coma entre años y Zachary.
    29  votos: 2   link
    el 27-10-2012 18:35 UTC por bufalo_1973 bufalo_1973
  19. #19   #17 Piensa que para que haya vulnerabilidades ha de haber descuido ;)
    Si observas todas las posibilidades, no hay descuido, y por lo tanto tampoco vulnerabilidad.
    18  votos: 0   link
    el 27-10-2012 18:47 UTC por Fotoperfecta Fotoperfecta
  20. #20   En portada de yahoo news ;)
    30  votos: 3   link
    el 27-10-2012 19:32 UTC por XQNO XQNO
  21. #21   Ahora viene cuando Menéame implosiona.
    12  votos: 1   link
    el 27-10-2012 22:38 UTC por dvp3107 dvp3107
  22. #22   #13 Es facil, seguramente en la url iba la cookie de una sesión activa. Sin saberlo, encontraste un XSS con inyección de cookie de sesión.
    49  votos: 5   link
    el 27-10-2012 22:43 UTC por el_peluzza el_peluzza
  23. #23   Harris se aseguró que los mensajes que se enviaran desde las cuentas de los fundadores del gigante de las búsquedas le llegaran también a él. Sin embargo, dos días después las claves encriptadas del correo de Google habían cambiado repentinamente a 2.048 bits. Además, Harris nunca recibió respuesta de los fundadores de Google.

    ¿Cómo era eso? Ah, sí, don't be evil... xD
    27  votos: 2   link
    el 27-10-2012 22:49 UTC por robustiano robustiano
  24. #24   #17 Más que un descuido, era una vulnerabilidad.

    Creo que estás confundiendo vulnerabilidad con error de programación o con error de diseño.

    Una vulnerabilidad es cualquier cosa que permita llevar a cabo un ataque a un sistema que supuestamente debe estar protegido ante ellos.

    Si pones la contraseña en un post-it en el monitor del PC eso es una vulnerabilidad (a menos que el acceso físico a esa ubicación esté restringido convenientemente).

    Si usas como contraseña "1234" eso es una vulnerabilidad. Es una contraseña no segura y por lo tanto susceptible de ser usada como vector de ataque.

    En este caso usaron una clave demasiado débil para la capacidad de computación actual, por lo tanto el sistema era vulnerable a un ataque que requería una cantidad de tiempo de proceso asumible computacionalmente por cuasi cualquier atacante.

    Así que más que un descuido, era una vulnerabilidad. Aunque sí, podía haber sido un descuido, lo cual para el responsable de seguridad de ese ámbito es una negligencia.
    22  votos: 1   link
    el 27-10-2012 22:55 UTC por sorrillo sorrillo
  25. #25   Que desagradecidos... ni siquiera le responden en agradecimiento.... yo creía que estos de Google eran más enrollados.
    22  votos: 2   link
    el 27-10-2012 23:00 UTC por zcully zcully
  26. #26   #7 lo siento amigo, el sarcasmo no es lo tuyo :-P
    10  votos: 0   link
    el 27-10-2012 23:26 UTC por miguelpedregosa miguelpedregosa
  27. #27   #22 Pues lo ignoro. Mis conocimientos informáticos no dan para tanto ;)
    26  votos: 1   link
    el 27-10-2012 23:43 UTC por Fotoperfecta Fotoperfecta
  28. #28   Vale, el tío es un crack, pero siendo ese el puesto que se le ofrecía puede ser que haya sido una especie de prueba a propósito, ¿no?
    9  votos: 0   link
    el 27-10-2012 23:44 UTC por Toftin Toftin
  29. #29   Yo no entiendo nada, te mandan un email, que parece tremendamente legitimo, pero aun asi te pones a investigar no se que encriptado (donde esta ese encriptado para verlo?), ves que es de 512bits y luego que?

    No le veo ni pies ni cabeza
    10  votos: 0   link
    el 28-10-2012 00:45 UTC por jdroid80 jdroid80
  30. #30   #29: Sólo hay que ser una pizca de paranoico, otra de curioso, y matemático.

    Desconfias de que el remitente sea real y vas a :

    "Mostrar original" en gmail

    Ves las cabeceras y veras una que pone:

    DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=dk; d=info.xxxxx.com;
    h=Message-Id:Mime-Version:Content-Type:Reply-To:List-Unsubscribe:From:To:Date:Subject; i=alfonso@info.xxxx.com;
    bh=WSLdm6BEsZXNU7OQbf/UeUzMhbU=;
    b=RqnjNdf+9H3TixJrsKUKB/NBLzuo7bvhf5bU0RLBWGQjS4V2jWGTDxa+vhEBCqwsCdQAMQbk2vWu
    au8eK64nJsCDkF57mpYMGq5GO5EVqyoKMRKCFq5uS+iSybBMVB8nDTCwQgM5bABUSqU2UUZXw9Ht
    QQq1oMpJEIetg07Gr0c=

    Por ejemplo, ahi te das cuenta que la cabecera es muy corta, no una burrada de numeros que es lo habitual en una DKIM segura...

    Con un programa de fuerza bruta, lo descifras, y se lo mandas descifrado al origen, y le demuestras que su clave DKIM es insegura...
    29  votos: 2   link
    el 28-10-2012 00:54 UTC por Voyager Voyager
  31. #31   #15 Para ser tan gramar nazi, bien que confundes ortografia con sintaxis.

    ¿Le cogieron al final? No encuentro si lo cogieron en ninguna parte del documento.
    22  votos: 2   link
    el 28-10-2012 04:44 UTC por yoshi_fan yoshi_fan
  32. #32   Si a alguien le interesa, aquí hablan de ello: www.jupiterbroadcasting.com/26536/breaking-dkm-techsnap-81/
    Y mirad el articulo original, porque tienen mas chicha (www.wired.com/threatlevel/2012/10/dkim-vulnerability-widespread/all/).
    7  votos: 0   link
    el 28-10-2012 09:14 UTC por senyorningu senyorningu
  33. #33   #31 No, era muy rápido, #4 #9 ya lo advirtieron. ;)
    7  votos: 0   link
    el 28-10-2012 09:24 UTC por Marx Marx
  34. #34   Ha sido un auténtico "Me quereis, me deseais, pero no me interesa, gracias". Y los pobres de Google ya estaban salivando.
    7  votos: 0   link
    el 28-10-2012 10:10 UTC por Despero Despero
  35. #35   Harris se aseguró que los mensajes que se enviaran desde las cuentas de los fundadores del gigante de las búsquedas le llegaran también a él.

    ¿Que se aseguró de que cuando ellos enviaran un correo le llegara también a él? WHAT? Esto es imposible.
    10  votos: 0   link
    el 28-10-2012 10:26 UTC por Pitt Pitt
  36. #36   #22 donde está el XSS? simplemente se quedó en el historial de visitas la url del e-mail con la Session ID en el query-string y esta no había caducado.
    9  votos: 0   link
    el 28-10-2012 10:45 UTC por guifre guifre
  37. #37   #36 XSS no solo es un campo en el que puedas completar con codigo arbitrario. Cross Site se refiere a que puedes pasar sesiones no solo en formularios mal parametrizados, el mero hecho de enviar una url que lleva una cookie, ya es XSS. Hoy en día ya no suelen suceder estar barbaridades, pero en su día era indistinguible un XSS de un Session injection. ;)

    Te copio y pego la definición de XSS de la wikipedia para despejar cualquier duda <3

    XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar (ej: VBScript), evitando medidas de control como la Política del mismo origen. Este tipo de vulnerabilidad se conoce en español con el nombre de Secuencias de comandos en sitios cruzados.1

    Es posible encontrar una vulnerabilidad XSS en aplicaciones que tenga entre sus funciones presentar la información en un navegador web u otro contenedor de páginas web. Sin embargo, no se limita a sitios web disponibles en Internet, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en sí.

    XSS es un vector de ataque que puede ser utilizado para robar información delicada, secuestrar sesiones de usuario, y comprometer el navegador, subyugando la integridad del sistema. Las vulnerabilidades XSS han existido desde los primeros días de la Web.2


    S41ud05!
    8  votos: 0   link
    el 28-10-2012 16:23 UTC por el_peluzza el_peluzza
  38. #38   #37 Ha hecho una petición con los credenciales en la URI, no ha mandado malicious client-side code en ningún lado..

    De tu definición: "permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar" cuéntame donde ha sucedido esta inyección javascript o html en el escenario anterior?
    9  votos: 0   link
    el 28-10-2012 17:57 UTC por guifre guifre
  39. #39   #31 El uso de la coma entra dentro de las reglas ortográficas, aunque en este caso también se pueda decir sintaxis. Por ejemplo, en la Ortografía de la RAE hay un apartado dedicado a la coma y su uso. Obviamente, el uso de la coma debe obedecer a las reglas de la sintaxis, pero su uso normalmente se explica tanto en los manuales de ortografía como en los de gramática.
    12  votos: 0   link
    el 30-10-2012 08:41 UTC por takamura takamura
  40. #40   #31 Y siempre pone tildes de más: la clásica hipercorrección del acomplejado.
    11  votos: 0   link
    el 30-10-2012 11:23 UTC por Makar Makar
comentarios cerrados

menéame