Sidejacking con “Hamster” “Ferret” Descargar herramientas de la demostración en Black Hat Publicada por 4v4t4r en Artículos sobre seguridad, Herramientas, Seguridad en la Web .
Como meciona Robert Graham en su blog, la técnica no es nada nueva, Main in the middle (hombre en el medio) en ambientes wi-fi permite llevar a cabo este tipo de ataques.
En la conferencia “Black Hat Hacker”, llevada a cabo en Las Vegas, EE.UU., se demostró que ahora las herramientas facilitan el robo de datos de cuentas de correo electrónico, indicó Robert Graham de la firma Errata Security.
Los archivos identificadores denominados cookies son robados durante el ataque, el cual permite a los piratas informáticos hacerse pasar por su víctima.
Antes de la demostración, que involucró el robo en vivo de una cuenta de correo electrónico de Google (Gmail), se pensaba que muchos sitios eran seguros debido a que utilizan un sistema que permite la codificación de datos que cambian cada vez que la gente ingresa al sistema.
Sin embargo, Graham llevó a cabo su ataque en los archivos identificadores que no estaban codificados, unos pequeños archivos que muchos sitios utilizan para identificar a las personas que regularmente regresan a la misma página en Internet.
Las herramientas creadas por Graham, denominadas “Hamster” y “Ferret”, observan el flujo de tráfico dentro y fuera de los puntos de transmisión de redes inalámbricas de Internet y permite a los piratas informáticos obtener cookies mientras estos datos le son presentados a la gente que está ingresando en su correo electrónico o en su cuenta en los sitios de socialización en Internet.
Al utilizar una cookie un atacante podría hacerse pasar por la víctima y disfrutar de casi el mismo nivel de acceso a una cuenta como su titular.
Hubo algunas defensas en contra del ataque, señaló Graham.
Los atacantes no podrían cambiar claves de acceso y posesionarse de la cuenta debido a que la mayoría de los sitios le preguntan a los usuarios que reingresen sus antiguas claves de acceso antes de poder hacer cambios.
Además, Graham señaló que algunos servicios de correo electrónico, como GMail, le permiten a las personas codificar todos los datos intercambiados mientras se encuentran en el sitio.
Graham reveló su hallazgo en una presentación realizada durante la conferencia de cuatro días en Las Vegas.
La conferencia reúne a profesionales de seguridad de todo el mundo que intercambian información sobre los últimos avances y futuras debilidades.
Graham indicó que Errata pondría a la disposición del público las herramientas utilizadas en su sitio en Internet.
Asimismo, en la conferencia David Thiel, de la firma de seguridad iSec Partners, reveló que los reproductores de audio y video en Internet tienen ciertas debilidades que podrían ser explotadas por piratas informáticos.
Las debilidades podrían ser utilizadas para adjuntar programas maliciosos a descargas de música o video con el fin de obtener los datos de una computadora personal.
Thiel sugirió que criminales informáticos podrían utilizar las páginas de los sitios de socialización en Internet. “El potencial para un ataque es bastante severo”, añadió.
Thiel dijo que las empresas encargadas del desarrollo de reproductores de audio y video en Internet están trabajando en la corrección de estos problemas.
Fuente del texto: BBC en español
Descargar herramientas “hamster” y “Ferret” más documento de ayuda (manual de uso-tutorial)
Más información en Errata Security
[...] Todos contra el cibercrimen Pistas digitales de auditoría (Auditorías en Seguridad Informática)Convergencia hasta en la seguridad Más allá del filtrado común Seis pasos para la seguridad inalámbrica Guía para tener una red segura Análisis forense en Linux El cibercrimen no es personal Uso adecuado del correo Una buena administración Modelos de seguridad en la pasarela Preguntas frecuentes sobre seguridad en aplicaciones Web (OWASP FAQ) ¿Una batalla perdida? Sidejacking con “Hamster” “Ferret” Descargar herramientas de la demostración en Black Hat [...]
[...] la ultima entrega del Black Hat realizado en las vegas, incluso han sido liberadas las herramientas Hamster” y “Ferret” que facilitan las [...]
[...] mas importantes omitiendo las que han pasado con el tiempo como por ejemplo el robo se seciones con Hamster o atraves del bug descubierto en [...]
Oigan, el ferret no me genera ningún hamster.txt
Mi tarjeta de red es intel, integrada
Sugerencias?
Saludos!
hey por fis respondan como generar hamster con el ferret pero q se pueda por favor digan paso pro paso por q me dicen unos asi por ejemplo : — Ferret no genera el Archvio Hamster.txt, en el cual se guardan las Cookies sniffadas por Ferret, ¿Cuál es la solución? Exacto, eso mismo, crearlo tú mismo, así que sólo dirígete bajo la consola de Windows al directorio C:\Sidejacking\ y escribe “Echo > hamster.txt” .. listo, ahora puedes arrancar Ferret con confianza..—
y ya no dicen donde ahi q escribir eso de hehco>hamster.txt pls digan ok grax