En la ultima convencion Black Hat (una de las mas famosas sobre temas de seguridad y redes) el CEO de la compañia Errata Sec, Robert Graham, demostro en vivo y en directo (con una pantalla gigante de por medio) como hackear una cuenta de Gmail partiendo de una cookie de sesion, aunque, segun el es posible aplicar el mismo metodo con cuentas de Hotmail y Yahoo por mencionar algunos de los mas conocidos.

hamsterize1.jpg

Para la prueba en vivo y en directo, George Ou (un experto de ZDNet) creo la cuenta getmehacked@gmail.com y mando un mail a algunos de los presentes saliendo a internet por  su conexion, sin proteccion, al HotSpot WiFi de la convencion. Graham haciendo uso de Ferret (un sniffer desarrollado por el) guardo todas las cookies e ID de sesiones enviadas por el navegador (que obviamente salian por la red WiFi, las caso al vuelo :D ).

El paso siguiente fue analizar y clonar las sesiones obtenidas de los cookies con su programa Hamster. Hamster maneja un servidor proxy local que le deja al usuario duplicar las sesiones (hacer hijacking) con solo un click. Una vez hecho esto, el usuario (por no decir atacante :D ) puede ir a Gmail (o Hotmail, o Yahoo, u otros similares) y hacer uso del servicio como si fuera el verdadero dueño de la cuenta. Graham por ejemplo mando un mail diciendo “I like sheep” (chiste geek, la Wall of Sheeps marca los servicios que transmiten las sesiones, user y pass, sin proteccion, que si alguien duplica la sesion puede usarla como si fuera el verdadero usuario [Ejemplo: ICQ o Gmail].

cookie-info1.png

Es una noticia que no le conviene a ninguna compañia, pero si no se ocupan de la seguridad de sus usuarios bien merecida esta. En su momento todas salieron a desmentirlo, pero aca hay una prueba indiscutible de esto. Me acuerdo que hace unos años paso algo parecido con Hotmail, aunque en ese caso no se duplicaba la sesion, sino el identificador del mail y se podia obtener cualquier mensaje con eso.

Creo que el problema aca es que la gente no se pregunta “Por que pasa esto?”, sino que descarta que a una empresa como Google no es posible que le pase.