La Comunidad DragonJAR

Aunque entrar a una cuenta de correo mediante Hijacking (secuestro de sesiones o cookies) no es nada nuevo, últimamente se ha hablado mucho de ello gracias a la conferencia dada por Robert Graham en la ultima entrega del Black Hat realizado en las vegas, incluso han sido liberadas las herramientas Hamster” y “Ferret” que facilitan las cosas.

En hackszine.com han publicado un articulo titulado HOWTO: secure Gmail to prevent session hijacking en el cual explican los pasos a seguir para evitar se víctima del robo de sesión por medio de hijacking.

Los pasos a seguir son los siguientes:

1. Ingresar siempre por https://mail.google.com/mail/
   Si no ingresamos por http://mail.google.com/mail nuestra información se transmite por http simple y sin cifrar, cosa que no pasas si escribimos https:// lo que indica a gmail que queremos hacer uso del protocolo http seguro para que nuestra sesión permanezca cifrada.
2. Ser precavido y no hacer clic en enlaces  mientras se tenga la sesión abierta.
   Mientras tengamos el correo abierto, tratemos de no navegar en otros sitios, ya que es posible que nuestra información sea robada al navegar por paginas con códigos malicioso.
3. Cerrar todas las pestañas y ventanas del navegador antes de abrir la sesión.
4. Eliminar archivos temporales y cookies al terminar de leer nuestro correo
   Hacer esto garantiza que ya no tendremos nuestros datos almacenados en el disco y por lo tanto no nos podrán robar estos (esto es muy recomendado especialmente cuando naveguemos en un café)

voy a explicar como usar cuentas de gmail (google mail) en el
MSN para así poder decir adios de una p*** vez a hotmail. Primero debemos irnos
a la web www.passport.net, que pertenece a microsoft, y deberemos hacer click
donde esta señalado en la imagen 1.

Después
debemos rellenar los campos que nos piden, mira en las imagenes 2 y 3.

Una vez
hechos estos pasos, vamos a nuestra bandeja de entrada de
gmail(o el servidor que sea) y comprobamos los correos entrantes. Passport.net nos
habra enviado un par de emails de confirmacion. Leelos atentamente y has click
en los links de comprobación que te dan, como se ve en la imagen 4.

Si te vuelve a pedir alguna vez mas el nombre de
usuario de contraseña, volved a darselo, pero siempre dandole tu direccion
nueva de gmail y la contraseña de gmail. Desde este momento ya podeis iniciar
sesion en MSN Messenger con vuestra cuenta de gmail. Esto tambien es aplicable
en la mayoria de servidores que no son hotmail. Si teneis alguna duda mas, no
dudess en preguntarme
1105636306

Un agujero en la seguridad de Gmail, el servicio de correo web gratuito de Google, permite el acceso a las cuentas de usuario de terceros, sin necesidad de conocer la contraseña, según publica una revista israelí.

“¿Usted obtuvo recientemente una cuenta de Gmail, o quizás usted recibió una invitación para sacar otra?, pues hay malas noticias, su casilla de correo está expuesta”, afirma la publicación Nana NetLife Magazine.

Las declaraciones publicadas corresponden a Nir Goldshlagger, un conocido hacker israelí. “Todos sus datos podrían estar expuestos públicamente. Sus correos podrían estar siendo leídos por desconocidos, y además, cualquiera podría enviar y recibir mensajes en su nombre”, dice Goldshlagger.

“Aún más alarmante”, explica, “es el hecho que hacer esto es bastante sencillo para un pirata informático, si tiene el conocimiento de la técnica específica para hacerlo y el nombre de usuario de la víctima”.

Google confirmó el fallo, que aún no está solucionado. En el reporte publicado no se dan más detalles de esta debilidad, salvo el hecho de que se basa en obtener las cookies relacionadas con la víctima, por medio de un enlace maliciosamente construido que apunta a Gmail.

Y de nada vale cambiar la contraseña, ya que esta técnica permite que una vez que se ha obtenido esta cookie, cualquiera podrá ingresar a esa cuenta sin necesidad de password alguno.

Puede ser probable que algunos piratas ya hayan utilizado este método para acceder a las cuentas de usuarios que aún ignoran el peligro que corren.

Según el informe, el problema puede ser mayor de lo que se piensa. Como Gmail ofrece un gigabyte de espacio de almacenamiento, muchos usuarios no borran su correspondencia antigua, o usan ese espacio para almacenar otros documentos privados, incluyendo contraseñas y otra información crítica.

Se trata de una grave amenaza, ya que los usuarios prácticamente no tienen forma de protegerse (no importa el cambio de contraseñas), es relativamente fácil explotarlo, y permite el robo de identidad (el atacante puede no solo enviar mensajes desde la cuenta de su víctima, sino acceder a todas las respuestas enviadas a la cuenta secuestrada).

No sería aventurado afirmar que es solo cuestión de tiempo para que alguien pueda crear una herramienta automática que sirva para aprovecharse de este fallo.

“La única solución por el momento es no utilizar Gmail para almacenar mensajes ni archivos que puedan ser utilizados maliciosamente. Por lo menos hasta que Google se ocupe de este problema”, afirma la publicación.

Además se debe considerar que cualquiera podrá tomar la personalidad de quien tenga una cuenta en Gmail, haciéndose pasar por él en cualquier momento.
1099367705