• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

CR_

Gmail hacking

11 mensagens neste tópico

in: http://blogs.zdnet.com/Ou/?p=651

Robert Graham (CEO Errata Security) gave his Web 2.0 hijacking presentation to a packed audience at Black Hat 2007 today. The audience erupted with applause and laughter when Graham used his tools to hijack someone’s Gmail account during an unscripted demo. The victim in this case was using a typical unprotected Wi-Fi Hotspot and his Gmail account just popped on the large projection screen for 500 or so audience members to see. Of course had the poor chap read my blog about email security last week he might have avoided this embarrassment. But for the vast majority of people using Gmail or any other browser or “Web 2.0″ application, they’re all just a bunch of sheep waiting to be jacked by Graham’s latest exploit.

ss850071.JPG

I caught up with Graham after the show and we went over more of the details of this Web hijacking exploit. First he captures the Wi-Fi signals using his laptop and a tool called Ferret which he wrote earlier this year. The tool grabs Cookies and Session IDs from your Web Browser session sent over the air and stores it.

Next, Graham fires up his new tool called Hamster (which he will post within the next week) which will process those Session IDs and Cookies so that they’re ready to clone.

Captured Session IDs and Cookies

cookie-info.png

Hamster hosts a local proxy server that allows point-n-click hijacking

hamster-proxy.jpg

The attacker can then go to his local Hamster proxy server to clone other people’s Web identities and hijack their Web accounts.=

ss850072.JPG

Once the identity is cloned, the attacker is able to jump on to online services like Gmail masquerading as the victim with full access to read and send email on behalf of the victim. Furthermore, the attacker can go to maps.google.com and find the victim’s personal information like home address if it’s saved in to Google Maps.

I volunteered to set up an account on Gmail called “GetMeHacked” and allowed Graham to perform the attack. I then got a test email to Humphrey Cheung (Sr. Editor TGDaily) who was also watching the attack. Cheung posted his story here.

mail-from-humphrey.png

Before I knew it, I got hijacked and Graham sent an email on behalf of me.

gotjacked.png

What makes this even scarier is that Graham can go back in to my Gmail account for at least several more days using the same hijacked Session ID and Cookies. In fact he doesn’t even need to perform the hijacking immediately because he can record all the Wi-Fi Hotspot data and process it with Hamster at anytime before the Cookies expire. In one fell swoop the attacker can steal the identities of every Wi-Fi Hotspot user within a few hundred feet or a lot more if a larger antenna is used.

If you weren’t already scared of using public Wi-Fi Hotspots before, this should drive the point home. Graham even mentioned the dangers of Municipal Wi-Fi the use of Anonymous Secure Hotspots to solve this problem which I wrote about a few weeks ago. For the time being however, there isn’t much that can be done on the vast majority of Web 2.0 services. Gmail fortunately allows the user to manually force SSL mode which would solve this problem but unfortunately they don’t turn it on automatically for all users so the vast majority of users are wide open to session hijacking. For now, a user’s only effective solution is to use some sort of VPN gateway to encrypt all of their data but most people won’t do that. Tools like Hamster and Ferret will hopefully raise awareness and get the public to demand more secure Hotspots and SSL-enabled online services.

If you weren’t already scared of using public Wi-Fi Hotspots before, this should drive the point home.
0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Brutal.. simplesmente brutal! :P

É o que dá usar hot spots! :P

Mas... como eles disseram e bem, ao usar SSL daria para prevenir isto. Ou então um VPN gateway.

A maior parte das pessoas não faz ideia do risco onde anda!

Adorei!

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Para aqueles que, como eu, estavam à procura de como activar o SSL no gmail, é tão simples como meter um 's' à frente de 'http'.

Uma pequena alteração que pode significar muito.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Há Aqui uma coisa que me faz confusão... Eu nunca disse explicitamente que queria usar o Gmial em SSL e sempre que abria a página de webmail, era redireccionado para a página SSL. Acabei de escrever www.gmail.com e o gajo redireccionou para ligação SSL. É só comigo que isto acontece? Eu sempre usei SSL, mesmo sem intenção...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Há Aqui uma coisa que me faz confusão... Eu nunca disse explicitamente que queria usar o Gmial em SSL e sempre que abria a página de webmail, era redireccionado para a página SSL. Acabei de escrever www.gmail.com e o gajo redireccionou para ligação SSL. É só comigo que isto acontece? Eu sempre usei SSL, mesmo sem intenção...

No blog do gajo houve uma discussão sobre isso.

Eu por exemplo, estava sempre a entrar normalmente, sem SSL, havia pessoas que entrando pelo www estavam em SSL no login, mas ao ver os emails já estavam sem SSL.

Portanto o melhor é mesmo no bookmark incluir o https para não restar dúvidas.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Ok :P

Nunca reparei se ao ler o mail estava mesmo em SSL, suponho que sim, mas nunca tive razão para realmente verificar isso.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Ok :P

Nunca reparei se ao ler o mail estava mesmo em SSL, suponho que sim, mas nunca tive razão para realmente verificar isso.

Se estás em SSL a barra de endereço do meu firefox aparece a amarelo e aparece o icon de um cadeado.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Já agora... Como é que se obriga o Gmail a usar SSL sempre ?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Eu como só vou ao gmail pelo Outlook, não tenho esses problemas, pois o gmail obriga a que o POP3 teja encriptado.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Já agora... Como é que se obriga o Gmail a usar SSL sempre ?

É só veres um dos meus posts acima.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Ok :P

Nunca reparei se ao ler o mail estava mesmo em SSL, suponho que sim, mas nunca tive razão para realmente verificar isso.

Se estás em SSL a barra de endereço do meu firefox aparece a amarelo e aparece o icon de um cadeado.

Eu sei, mas eu só reparava que tava em SSL ao fazer o login, depois suponha que tava, nunca dei conta se continuava amarelo ou não.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora