En el evento Black Hat, uno de los m?s importantes en el ambiente de la seguridad inform?tica, un experto en seguridad sorprendi? a todos al demostrar en vivo como hackear una cuenta de Gmail.
Robert Graham, CEO de la compa??a Errata Security, fue el protagonista de uno de los momentos m?s interesantes en el evento Black Hat.
Lo que Graham logr? es algo que los proveedores de mail basados en web como Gmail, Hotmail o Yahoo! niegan permanentemente pero muchos saben que es real: la posibilidad de hackear una cuenta mediante la obtenci?n de las cookies de una sesi?n.
Y eso es lo que ha hecho Graham, pero para hacer la cosa m?s interesante lo ha hecho en vivo y con c?maras que filmaban y mostraban en pantalla gigante su proceder. Para obtener las cookies utiliz? una herramienta de su propio desarrollo, que el denomin? Hamster, y procedi? a hackear una cuenta especialmente abierta por uno de los concurrentes al evento.
George Ou, un especialista de ZDNet, abri? la cuenta [email protected] y envi? un email a varios concurrentes. Luego Graham, mediante su aplicaci?n comenz? a rastrear cookies enviadas y recibidas a trav?s de la red wireless provista por el evento.
Al obtener la correspondiente al usuario y su cuenta de Gmail reci?n abierta, procedi? a ingresar, y a mostrar a la at?nita concurrencia el email reci?n enviado. Dado que varios de los asistentes hab?an recibido el email pocos segundos antes de parte de Ou, pudieron testificar la veracidad de lo ocurrido, que igualmente era mostrado a pantalla gigante.
Y por si hackear una cuenta de correo no fuera lo suficientemente emocionante, Graham procedi? a enviar un email utilizando la cuenta hackeada. El email, con t?tulo “I like sheep” (me gustan las ovejas) fue enviado a varios de los presentes, que a los pocos segundos se sorprend?an al recibirlo.
Lo que m?s asusta de todo esto es que Graham afirma haber podido seguir ingresando a las cuentas hackeadas durante varios d?as. Claro que en su caso, para evitar problemas con la ley, Graham se dedic? a hackear cuentas de conocidos, con fines puramente “experimentales”
L?gicamente, las grandes compa??as aseguran que no es posible ingresar a una cuenta de email mediante las cookies, algo que de confirmarse generar?a terribles miedos de parte de los usuarios, que no siempre pueden eliminarlas al utilizar un ordenador de uso p?blico. Y muchos podr?n argumentar que mediante el uso de SSL (Segure Sockets Layer o capa de conexiones seguras) se eliminan los riesgos.
Pero lo cierto es que la gran mayor?a de los usuarios no est?n al tanto de las formas de utilizar esas conexiones con sus ordenadores, e ingresan en redes wi-fi de manera desprotegida. Graham seguramente lanzar? Hamster en pocos d?as, por lo que no deber?as sorprenderte si de pronto nos enteramos de hackeos en masa de cuentas de Gmail.
Fuente: http://www.neoteo.com/tabid/54/ID/4088/Default.aspx