Descubierta una vulnerabilidad en Gmail mediante un email


Un usuario de Gmail, el servicio de correo de Google, ha detectado una vulnerabilidad en el sistema. Este fallo fue descubierto cuanto el matemático Zachary Harris recibió una oferta de trabajo de la propia Google. El problema de Gmail radicaba en la clave DKIM, utilizada para iniciar sesión en los dominios de correo electrónico.





Todo comenzó con un extraño email de un reclutador de Google enviado al matemático de 35 años, Zachary Harris. En dicho correo, le ofrecían un puesto como ingeniero en fiabilidad web. "Es obvio que tiene pasión por Linux y por la programación. Me gustaría saber si usted está abierto a explorar, confidencialmente, oportunidades en Google", decía el email.

La primera opción que barajó Harris fue que el email había sido falsificado, enviado por un estafador que quería hacerse pasar por un empleado del gigante de las búsquedas. Sin embargo, cuando el matemático examinó toda la información que había en el correo, se dio cuenta de que todo estaba en orden y parecía legítimo.

Harris se percató de que Google estaba usando una clave criptográfica débil para certificar a los destinatarios de que su correspondencia venía de un dominio legítimo de Google. Por lo tanto, cualquier persona que pueda desvelar esa clave, podría utilizarla para suplantar a un remitente.

El problema radicaba en la clave DKIM (DomainKeys Identified Mail) que Google utiliza para Gmail. DKIM incluye una clave criptográfica que se utiliza para iniciar sesión en los dominios de correo electrónico y sirve para confirmar a un destinatario que la información del encabezado en un e-mail es correcta. Cuando el correo electrónico llega a su destino, el receptor puede buscar la clave pública a través de los registros DNS del remitente y verificar la validez de la firma.

"El hecho de que yo entrara en esto sin saber lo que es una cabecera DKIM, demuestra que alguien con conocimientos técnicos suficientes puede resolverlo sobre la marcha", asegura Harris.

Por razones de seguridad, las llamadas estándar DKIM son de, al menos 1.024 bits de longitud. Sin embargo, Google estaba usando una clave de 512 bit que podría ser fácilmente corrompible. Teniendo en cuenta todo esto, Harris pensó que Google no podría ser tan "descuidado" por lo que el matemático, pese a no estar interesado en la oferta de trabajo, desencriptó la clave y envió un mensaje a los fundadores de Google, Sergey Bin y Larry Page.

Harris se aseguró que los mensajes que se enviaran desde las cuentas de los fundadores del gigante de las búsquedas le llegaran también a él. Sin embargo, dos días después las claves encriptadas del correo de Google habían cambiado repentinamente a 2.048 bits. Además, Harris nunca recibió respuesta de los fundadores de Google.

Por ello, Harris se dio cuenta de que la vulnerabilidad que había encontrado era cierta. Además, comenzó a explorar otras webs y se percató de que muchas de ellas tenían el mismo problema con las claves DKIM: PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, Bank EE.UU., HP, Match.com y HSBC.

Según la revista Wired, una portavoz de Google ha afirmado que la compañía ha estado trabajando en esta vulnerabilidad y ya ha revocado las claves para todos sus dominios afectados y reeditado otros nuevos mayores de 1.024 bits.

Fuente Original: http://www.wired.com/

Leído en: http://www.europapress.es/



Otras noticias de interés:

Alerta: Microsoft Windows te está instalando parches sin avisar
Un revelador documento del portal Microsoft Watch revela un descubrimiento preocupante: Windows Update está actualizando algunos componentes sin preguntar al usuario, una práctica peligrosa y muy, muy polémica....
Firefox 3 ya es Portable - USB
Mozilla Firefox Portable no es otra cosa que la versión portátil del excelente navegador para tenerlo siempre a mano en tu pendrive. De tal manera podrás contar con tus páginas de inicio, extensiones y plug-ins desde cualquier máquina sin necesi...
Nuevo ataque a Twitter
Cligs es uno de los servicios de recorte de direcciones web rival de Twitter. Esta vez ha sido objeto de un ataque que ha provocado que más de 2,2 millones de direcciones llevaran hasta un blogger....
Descifrado del troyano PGPcoder
Desvelamos los detalles del algoritmo utilizado por PGPcoder, un troyano que cifra los archivos de los sistemas que logra infectar y solicita dinero a los usuarios afectados si quieren volver a restaurarlos....
Google: Nuevas políticas de uso
A partir del 1 de marzo Google implementará sus nuevas políticas de uso y de privacidad. Reuniendo 60 políticas de privacidad en 1 solo documento....
Un modelo computacional imita la visión cerebral en contextos complejos
Permitirá construir robots capaces de ver tal como lo hace el cerebro. ngenieros del Instituto Tecnológico de Massachusetts (MIT) han desarrollado un modelo computacional que imita la manera en que el cerebro humano procesa la información visual y...
Ubuntu vs Windows
Muchas personas hemos oido hablar muy bien sobre el uso de linux en un ordenador de escritorio pero no se atreven a hacer la migración. Intentaré mostrar en este artículo cómo funciona un escritorio de Linux apuntando las similitudes con el de Wi...
¿Port Knocking... ofuscación o capa de seguridad?
El objeto de este artículo es recordar el concepto de Port Knocking y sus implicaciones de seguridad para en un posterior artículo reflexionar sobre Single Packet Authorization (SPA). Port Knocking no es un ingenio nuevo, lleva con nosotros desde 2...
Mozilla Messaging comienza sus actividades
La nueva subsidiaria de correo electrónico de la Fundación Mozilla, acaba de anunciar la puesta en marcha de sus actividades....
Graves problemas en el algoritmo que genera los números aleatorios en Debian
La criptografía en Debian ha sufrido un grave revés. Se ha descubierto que el generador de números aleatorios del paquete OpenSSL de Debian es predecible. Esto hace que las claves generadas con él ya no sean realmente fiables o verdaderamente seg...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • descubierta
  • email
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gmail
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mediante
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra