334 meneos
5545 clics

Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

Un usuario de Gmail, el servicio de correo de Google, ha detectado una vulnerabilidad en el sistema. Este fallo fue descubierto cuanto el matemático Zachary Harris recibió una oferta de trabajo de la propia Google. El problema de Gmail radicaba en la clave DKIM, utilizada para iniciar sesión en los dominios de correo electrónico. Todo comenzó con un extraño email de un reclutador de Google enviado al matemático de 35 años, Zachary Harris. En dicho correo, le ofrecían un puesto como ingeniero en fiabilidad web.
etiquetas: correo, seguridad, google
usuarios: 175   anónimos: 159   negativos: 3  
40comentarios mnm karma: 627
  1. #1   Me imagino que, claro, lo habrán contratado ;)
    votos: 4    karma: 38
  2. #2   Pues no se yo... quizás el email era de Google realmente, hubiera sido una buenisima técnica de reclutamiento
    votos: 1    karma: 18
  3. #3   Vaya crack. Le ofrecen un puesto en "fiabilidad web" y encuentra un agujero de seguridad en la oferta de trabajo.
    votos: 68    karma: 635
     *   aitor.menta aitor.menta
  4. #4   #3 Según dice el propio artículo, no estaba interesado en el trabajo
    votos: 2    karma: 42
  5. #5   #4 Vamos, que lo ha encontrado solo por putear, no? :-D
    votos: 0    karma: 7
  6. #6   #5 Más bien para no ser puteado :-P
    votos: 2    karma: 25
  7. #7   Pero pero pero... esto es imposible... Google nunca tiene fallos de seguridad
    votos: 2    karma: 9
  8. #8   #4 #3 Pues para no estar interesado les ha dejado una carta de presentacion cojonuda.
    votos: 32    karma: 315
  9. #9   #1 Pues no...

    > ...Evidentemente, Zachary Harris no entró a trabajar a Google porque de partida la empresa de Mountain View no estaba buscando empleados, además, nunca le interesó, el sólo dio a conocer el caso porque era de interés general [via ow.ly/eMPYa]
    votos: 3    karma: 48
  10. #10   Yo me pregunto cuantos servidores o carga de computacion adicional en servidores (creo que se mide en MFLOPS) requerirá este paso de clave DKIM 512 bits a 2.048 bits. (y cuanto consumo adicional en electricidad)
    Relacionado:
    ¿Cuánta electricidad consumen los gigantes de Internet?
    www.meneame.net/story/cuanta-electricidad-consumen-gigantes-internet
    votos: 1    karma: 19
  11. #11   #7 Todas las empresas tienen fallos de seguridad. Lo que diferencia a unas de otras es el tiempo que tardan en resolverlos una vez descubuertos; en este caso 2 días.
    votos: 5    karma: 55
     *   otosigo otosigo
  12. #12   El DKIM no sirve "para iniciar sesión" en ningún lado. En fin, las paridas que hay que leer cuando los reporteros se ponen a hablar de cosas técnicas.
    votos: 6    karma: 61
  13. #13   Yo hace años descubrí una vulnerabilidad en los blogs de Microsoft.
    Lo puse en conocimiento, pero como mis conocimiento de informática no eran tan avanzados siempre tuve la duda si era culpa de Microsoft o de la otra parte.
    Os cuento.
    Tenía un blog en los spaces de Msn. Tenías una opción para ver las visitas del blog y de donde te venían (vamos lo normal).
    Resulta que le envié la dirección de mi blog, mediante el correo normal de hotmail, a una secretaria que estaba trabajando en una grandísima empresa.
    Ella al pulsar mi enlace desde su correo dejó el "rastro" en las estadísticas de mis visitas. Apareció en mis estadísticas el enlace desde el que ella entró, tipo inbox/blablabla.
    Me da por pulsar el enlace y accedí directamente desde las estadísticas de mi blog a su bandeja de entrada o_o
    Allí pude ver su correo interno, documentos guardados, contactos, etc.
    Solo podía acceder cuando ella tenía la ventana abierta del correo en su ordenador.
    Se lo comuniqué a ella y también envié correo a Microsoft (creo recordar que también envié un post a Kriptopolis)
    Nadie me respondió, pero arreglarlo lo arreglaron xD
    votos: 29    karma: 277
  14. #14   Y Google en vez de mandarle un email agradeciéndoselo simplemente optaron por callar.
    No ta mal.
    votos: 1    karma: 16
  15. #15   enviado al matemático de 35 años, Zachary Harris

    Ya estamos con el spanglish de seguir siempre el orden inglés... Esa frase, dicha así, indica que sólo hay un matemático de 35 años y que se llama Zachary Harris. Para decir lo que realmente quiere decir, debería ser:

    enviado a Zachary Harris, matemático de 35 años.

    Cada vez estoy más harto de las noticias de supuestos profesionales que están llenas de faltas de ortografía. Paso de menear ésta.
    votos: 16    karma: 144
     *   takamura takamura
  16. #16   Ni las gracias le han dado, para que aprendáis a hacerle favores a google.
    votos: 1    karma: 12
  17. #17   Más que una vulnerabilidad, es un descuido.
    Estaban usando una firma débil (y por culpa de eso, alguien malintencionado podría mandar emails haciéndose pasar por google) pero se sustituye por una fuerte y ya está (que es lo que han hecho)
    De todas formas, un 10 para el señor Harris, que le dió por investigarse el tema y descubrirlo
    votos: 3    karma: 40
  18. #18   #15 O como tú lo pones o eliminando la coma entre años y Zachary.
    votos: 2    karma: 29
  19. #19   #17 Piensa que para que haya vulnerabilidades ha de haber descuido ;)
    Si observas todas las posibilidades, no hay descuido, y por lo tanto tampoco vulnerabilidad.
    votos: 0    karma: 18
  20. #20   En portada de yahoo news ;)
    votos: 3    karma: 30
  21. #21   Ahora viene cuando Menéame implosiona.
    votos: 1    karma: 12
  22. #22   #13 Es facil, seguramente en la url iba la cookie de una sesión activa. Sin saberlo, encontraste un XSS con inyección de cookie de sesión.
    votos: 5    karma: 49
     *   Kilvin Kilvin
  23. #23   Harris se aseguró que los mensajes que se enviaran desde las cuentas de los fundadores del gigante de las búsquedas le llegaran también a él. Sin embargo, dos días después las claves encriptadas del correo de Google habían cambiado repentinamente a 2.048 bits. Además, Harris nunca recibió respuesta de los fundadores de Google.

    ¿Cómo era eso? Ah, sí, don't be evil... xD
    votos: 2    karma: 27
  24. #24   #17 Más que un descuido, era una vulnerabilidad.

    Creo que estás confundiendo vulnerabilidad con error de programación o con error de diseño.

    Una vulnerabilidad es cualquier cosa que permita llevar a cabo un ataque a un sistema que supuestamente debe estar protegido ante ellos.

    Si pones la contraseña en un post-it en el monitor del PC eso es una vulnerabilidad (a menos que el acceso físico a esa ubicación esté restringido convenientemente).

    Si usas como contraseña "1234" eso es una vulnerabilidad. Es una contraseña no segura y por lo tanto susceptible de ser usada como vector de ataque.

    En este caso usaron una clave demasiado débil para la capacidad de computación actual, por lo tanto el sistema era vulnerable a un ataque que requería una cantidad de tiempo de proceso asumible computacionalmente por cuasi cualquier atacante.

    Así que más que un descuido, era una vulnerabilidad. Aunque sí, podía haber sido un descuido, lo cual para el responsable de seguridad de ese ámbito es una negligencia.
    votos: 1    karma: 22
     *   sorrillo sorrillo
  25. #25   Que desagradecidos... ni siquiera le responden en agradecimiento.... yo creía que estos de Google eran más enrollados.
    votos: 2    karma: 22
  26. #26   #7 lo siento amigo, el sarcasmo no es lo tuyo :-P
    votos: 0    karma: 10
  27. #27   #22 Pues lo ignoro. Mis conocimientos informáticos no dan para tanto ;)
    votos: 1    karma: 26
  28. #28   Vale, el tío es un crack, pero siendo ese el puesto que se le ofrecía puede ser que haya sido una especie de prueba a propósito, ¿no?
    votos: 0    karma: 9
  29. #29   Yo no entiendo nada, te mandan un email, que parece tremendamente legitimo, pero aun asi te pones a investigar no se que encriptado (donde esta ese encriptado para verlo?), ves que es de 512bits y luego que?

    No le veo ni pies ni cabeza
    votos: 0    karma: 10
  30. #30   #29: Sólo hay que ser una pizca de paranoico, otra de curioso, y matemático.

    Desconfias de que el remitente sea real y vas a :

    "Mostrar original" en gmail

    Ves las cabeceras y veras una que pone:

    DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=dk; d=info.xxxxx.com;
    h=Message-Id:Mime-Version:Content-Type:Reply-To:List-Unsubscribe:From:To:Date:Subject; i=alfonso@info.xxxx.com;
    bh=WSLdm6BEsZXNU7OQbf/UeUzMhbU=;
    b=RqnjNdf+9H3TixJrsKUKB/NBLzuo7bvhf5bU0RLBWGQjS4V2jWGTDxa+vhEBCqwsCdQAMQbk2vWu
    au8eK64nJsCDkF57mpYMGq5GO5EVqyoKMRKCFq5uS+iSybBMVB8nDTCwQgM5bABUSqU2UUZXw9Ht
    QQq1oMpJEIetg07Gr0c=

    Por ejemplo, ahi te das cuenta que la cabecera es muy corta, no una burrada de numeros que es lo habitual en una DKIM segura...

    Con un programa de fuerza bruta, lo descifras, y se lo mandas descifrado al origen, y le demuestras que su clave DKIM es insegura...
    votos: 2    karma: 29
  31. #31   #15 Para ser tan gramar nazi, bien que confundes ortografia con sintaxis.

    ¿Le cogieron al final? No encuentro si lo cogieron en ninguna parte del documento.
    votos: 2    karma: 22
  32. #32   Si a alguien le interesa, aquí hablan de ello: www.jupiterbroadcasting.com/26536/breaking-dkm-techsnap-81/
    Y mirad el articulo original, porque tienen mas chicha (www.wired.com/threatlevel/2012/10/dkim-vulnerability-widespread/all/).
    votos: 0    karma: 7
  33. #33   #31 No, era muy rápido, #4 #9 ya lo advirtieron. ;)
    votos: 0    karma: 7
  34. #34   Ha sido un auténtico "Me quereis, me deseais, pero no me interesa, gracias". Y los pobres de Google ya estaban salivando.
    votos: 0    karma: 7
  35. #35   Harris se aseguró que los mensajes que se enviaran desde las cuentas de los fundadores del gigante de las búsquedas le llegaran también a él.

    ¿Que se aseguró de que cuando ellos enviaran un correo le llegara también a él? WHAT? Esto es imposible.
    votos: 0    karma: 10
  36. #36   #22 donde está el XSS? simplemente se quedó en el historial de visitas la url del e-mail con la Session ID en el query-string y esta no había caducado.
    votos: 0    karma: 9
     *   guifre guifre
  37. #37   #36 XSS no solo es un campo en el que puedas completar con codigo arbitrario. Cross Site se refiere a que puedes pasar sesiones no solo en formularios mal parametrizados, el mero hecho de enviar una url que lleva una cookie, ya es XSS. Hoy en día ya no suelen suceder estar barbaridades, pero en su día era indistinguible un XSS de un Session injection. ;)

    Te copio y pego la definición de XSS de la wikipedia para despejar cualquier duda <3

    XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar (ej: VBScript), evitando medidas de control como la Política del mismo origen. Este tipo de vulnerabilidad se conoce en español con el nombre de Secuencias de comandos en sitios cruzados.1

    Es posible encontrar una vulnerabilidad XSS en aplicaciones que tenga entre sus funciones presentar la información en un navegador web u otro contenedor de páginas web. Sin embargo, no se limita a sitios web disponibles en Internet, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en sí.

    XSS es un vector de ataque que puede ser utilizado para robar información delicada, secuestrar sesiones de usuario, y comprometer el navegador, subyugando la integridad del sistema. Las vulnerabilidades XSS han existido desde los primeros días de la Web.2



    S41ud05!
    votos: 0    karma: 8
  38. #38   #37 Ha hecho una petición con los credenciales en la URI, no ha mandado malicious client-side code en ningún lado..

    De tu definición: "permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar" cuéntame donde ha sucedido esta inyección javascript o html en el escenario anterior?
    votos: 0    karma: 9
  39. #39   #31 El uso de la coma entra dentro de las reglas ortográficas, aunque en este caso también se pueda decir sintaxis. Por ejemplo, en la Ortografía de la RAE hay un apartado dedicado a la coma y su uso. Obviamente, el uso de la coma debe obedecer a las reglas de la sintaxis, pero su uso normalmente se explica tanto en los manuales de ortografía como en los de gramática.
    votos: 0    karma: 12
     *   takamura takamura
  40. #40   #31 Y siempre pone tildes de más: la clásica hipercorrección del acomplejado.
    votos: 0    karma: 11
comentarios cerrados

menéame