Un usuario de Gmail, el servicio de correo de Google, ha detectado una vulnerabilidad en el sistema. Este fallo fue descubierto cuanto el matemático Zachary Harris recibió una oferta de trabajo de la propia Google. El problema de Gmail radicaba en la clave DKIM, utilizada para iniciar sesión en los dominios de correo electrónico. Todo comenzó con un extraño email de un reclutador de Google enviado al matemático de 35 años, Zachary Harris. En dicho correo, le ofrecían un puesto como ingeniero en fiabilidad web.
Comentarios
Vaya crack. Le ofrecen un puesto en "fiabilidad web" y encuentra un agujero de seguridad en la oferta de trabajo.
#3 Según dice el propio artículo, no estaba interesado en el trabajo
#4 Vamos, que lo ha encontrado solo por putear, no?
#5 Más bien para no ser puteado
#4 #3 Pues para no estar interesado les ha dejado una carta de presentacion cojonuda.
#31 No, era muy rápido, #4 #9 ya lo advirtieron.
Yo hace años descubrí una vulnerabilidad en los blogs de Microsoft.
Lo puse en conocimiento, pero como mis conocimiento de informática no eran tan avanzados siempre tuve la duda si era culpa de Microsoft o de la otra parte.
Os cuento.
Tenía un blog en los spaces de Msn. Tenías una opción para ver las visitas del blog y de donde te venían (vamos lo normal).
Resulta que le envié la dirección de mi blog, mediante el correo normal de hotmail, a una secretaria que estaba trabajando en una grandísima empresa.
Ella al pulsar mi enlace desde su correo dejó el "rastro" en las estadísticas de mis visitas. Apareció en mis estadísticas el enlace desde el que ella entró, tipo inbox/blablabla.
Me da por pulsar el enlace y accedí directamente desde las estadísticas de mi blog a su bandeja de entrada
Allí pude ver su correo interno, documentos guardados, contactos, etc.
Solo podía acceder cuando ella tenía la ventana abierta del correo en su ordenador.
Se lo comuniqué a ella y también envié correo a Microsoft (creo recordar que también envié un post a Kriptopolis)
Nadie me respondió, pero arreglarlo lo arreglaron
#13 Es facil, seguramente en la url iba la cookie de una sesión activa. Sin saberlo, encontraste un XSS con inyección de cookie de sesión.
#22 Pues lo ignoro. Mis conocimientos informáticos no dan para tanto
#22 donde está el XSS? simplemente se quedó en el historial de visitas la url del e-mail con la Session ID en el query-string y esta no había caducado.
#36 XSS no solo es un campo en el que puedas completar con codigo arbitrario. Cross Site se refiere a que puedes pasar sesiones no solo en formularios mal parametrizados, el mero hecho de enviar una url que lleva una cookie, ya es XSS. Hoy en día ya no suelen suceder estar barbaridades, pero en su día era indistinguible un XSS de un Session injection.
Te copio y pego la definición de XSS de la wikipedia para despejar cualquier duda
#37 Ha hecho una petición con los credenciales en la URI, no ha mandado malicious client-side code en ningún lado..
De tu definición: "permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar" cuéntame donde ha sucedido esta inyección javascript o html en el escenario anterior?
enviado al matemático de 35 años, Zachary Harris
Ya estamos con el spanglish de seguir siempre el orden inglés... Esa frase, dicha así, indica que sólo hay un matemático de 35 años y que se llama Zachary Harris. Para decir lo que realmente quiere decir, debería ser:
enviado a Zachary Harris, matemático de 35 años.
Cada vez estoy más harto de las noticias de supuestos profesionales que están llenas de faltas de ortografía. Paso de menear ésta.
#15 O como tú lo pones o eliminando la coma entre años y Zachary.
#15 Para ser tan gramar nazi, bien que confundes ortografia con sintaxis.
¿Le cogieron al final? No encuentro si lo cogieron en ninguna parte del documento.
#31 El uso de la coma entra dentro de las reglas ortográficas, aunque en este caso también se pueda decir sintaxis. Por ejemplo, en la Ortografía de la RAE hay un apartado dedicado a la coma y su uso. Obviamente, el uso de la coma debe obedecer a las reglas de la sintaxis, pero su uso normalmente se explica tanto en los manuales de ortografía como en los de gramática.
#31 Y siempre pone tildes de más: la clásica hipercorrección del acomplejado.
El DKIM no sirve "para iniciar sesión" en ningún lado. En fin, las paridas que hay que leer cuando los reporteros se ponen a hablar de cosas técnicas.
Más que una vulnerabilidad, es un descuido.
Estaban usando una firma débil (y por culpa de eso, alguien malintencionado podría mandar emails haciéndose pasar por google) pero se sustituye por una fuerte y ya está (que es lo que han hecho)
De todas formas, un 10 para el señor Harris, que le dió por investigarse el tema y descubrirlo
#17 Piensa que para que haya vulnerabilidades ha de haber descuido
Si observas todas las posibilidades, no hay descuido, y por lo tanto tampoco vulnerabilidad.
#17 Más que un descuido, era una vulnerabilidad.
Creo que estás confundiendo vulnerabilidad con error de programación o con error de diseño.
Una vulnerabilidad es cualquier cosa que permita llevar a cabo un ataque a un sistema que supuestamente debe estar protegido ante ellos.
Si pones la contraseña en un post-it en el monitor del PC eso es una vulnerabilidad (a menos que el acceso físico a esa ubicación esté restringido convenientemente).
Si usas como contraseña "1234" eso es una vulnerabilidad. Es una contraseña no segura y por lo tanto susceptible de ser usada como vector de ataque.
En este caso usaron una clave demasiado débil para la capacidad de computación actual, por lo tanto el sistema era vulnerable a un ataque que requería una cantidad de tiempo de proceso asumible computacionalmente por cuasi cualquier atacante.
Así que más que un descuido, era una vulnerabilidad. Aunque sí, podía haber sido un descuido, lo cual para el responsable de seguridad de ese ámbito es una negligencia.
Me imagino que, claro, lo habrán contratado
#1 Pues no...
> ...Evidentemente, Zachary Harris no entró a trabajar a Google porque de partida la empresa de Mountain View no estaba buscando empleados, además, nunca le interesó, el sólo dio a conocer el caso porque era de interés general [via http://ow.ly/eMPYa]
En portada de yahoo news
Harris se aseguró que los mensajes que se enviaran desde las cuentas de los fundadores del gigante de las búsquedas le llegaran también a él. Sin embargo, dos días después las claves encriptadas del correo de Google habían cambiado repentinamente a 2.048 bits. Además, Harris nunca recibió respuesta de los fundadores de Google.
¿Cómo era eso? Ah, sí, don't be evil...
Que desagradecidos... ni siquiera le responden en agradecimiento.... yo creía que estos de Google eran más enrollados.
Yo me pregunto cuantos servidores o carga de computacion adicional en servidores (creo que se mide en MFLOPS) requerirá este paso de clave DKIM 512 bits a 2.048 bits. (y cuanto consumo adicional en electricidad)
Relacionado:
¿Cuánta electricidad consumen los gigantes de Internet?
¿Cuánta electricidad consumen los gigantes de Internet?
¿Cuánta electricidad consumen los gigantes de Inte...
lanacion.com.arPues no se yo... quizás el email era de Google realmente, hubiera sido una buenisima técnica de reclutamiento
Y Google en vez de mandarle un email agradeciéndoselo simplemente optaron por callar.
No ta mal.
Ahora viene cuando Menéame implosiona.
Ni las gracias le han dado, para que aprendáis a hacerle favores a google.
Harris se aseguró que los mensajes que se enviaran desde las cuentas de los fundadores del gigante de las búsquedas le llegaran también a él.
¿Que se aseguró de que cuando ellos enviaran un correo le llegara también a él? WHAT? Esto es imposible.
Yo no entiendo nada, te mandan un email, que parece tremendamente legitimo, pero aun asi te pones a investigar no se que encriptado (donde esta ese encriptado para verlo?), ves que es de 512bits y luego que?
No le veo ni pies ni cabeza
#29: Sólo hay que ser una pizca de paranoico, otra de curioso, y matemático.
Desconfias de que el remitente sea real y vas a :
"Mostrar original" en gmail
Ves las cabeceras y veras una que pone:
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=dk; d=info.xxxxx.com;
h=Message-Id:Mime-Version:Content-Type:Reply-To:List-Unsubscribe:From:To:Date:Subject; i=alfonso@info.xxxx.com;
bh=WSLdm6BEsZXNU7OQbf/UeUzMhbU=;
b=RqnjNdf+9H3TixJrsKUKB/NBLzuo7bvhf5bU0RLBWGQjS4V2jWGTDxa+vhEBCqwsCdQAMQbk2vWu
au8eK64nJsCDkF57mpYMGq5GO5EVqyoKMRKCFq5uS+iSybBMVB8nDTCwQgM5bABUSqU2UUZXw9Ht
QQq1oMpJEIetg07Gr0c=
Por ejemplo, ahi te das cuenta que la cabecera es muy corta, no una burrada de numeros que es lo habitual en una DKIM segura...
Con un programa de fuerza bruta, lo descifras, y se lo mandas descifrado al origen, y le demuestras que su clave DKIM es insegura...
Vale, el tío es un crack, pero siendo ese el puesto que se le ofrecía puede ser que haya sido una especie de prueba a propósito, ¿no?
Pero pero pero... esto es imposible... Google nunca tiene fallos de seguridad
#7 Todas las empresas tienen fallos de seguridad. Lo que diferencia a unas de otras es el tiempo que tardan en resolverlos una vez descubuertos; en este caso 2 días.
#7 lo siento amigo, el sarcasmo no es lo tuyo
Si a alguien le interesa, aquí hablan de ello: http://www.jupiterbroadcasting.com/26536/breaking-dkm-techsnap-81/
Y mirad el articulo original, porque tienen mas chicha (http://www.wired.com/threatlevel/2012/10/dkim-vulnerability-widespread/all/).
Ha sido un auténtico "Me quereis, me deseais, pero no me interesa, gracias". Y los pobres de Google ya estaban salivando.