El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#1 28-08-2020 22:06:32

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 5,234

Vergonzosa actuación de google frente a brecha de seguridad gmail

Google ha mantenido el silencio sobre una brecha muy peligrosa durante 137 dias,
  hasta el full disclosure por parte de su descubridora

giphy.gif

  Antes de explicar en que consiste la brecha y de explicar en que la actitud de google es deplorable y irresponsable, demos las gracias y felicitemos a Allison HUSAIN por haber conseguido hackear al numero uno mundial del correo electrónico: Gmail.
 
  Vemos ahora en que consiste este bug que google no considera como critico. pam
Para autenticar a los autores de los e-mails que recibimos; gmail usa varias técnicas, las mas importantes siendo el SPF y el DMARC
Se examinan unos conjunto de marcadores (IP, estilo, firmas criptográficas... ) para encontrar correos electrónicos falsos, escritos por individuos que han usurpado la identidad de otros.

  Allison ha encontrado un servidor backend de google deficiente, no filtraba los emails.
Pasando por este servidor se burlan por completo los mecanismos SPF y DMARC, cualquier mail está marcado como legitimo
Luego se ha dado cuenta de que era capaz de usurpar la identidad de cualquiera y hacer llegar mails falsos marcados como muy seguros
Y esto gracias a la opción "modificar el destinatario del sobre": Podía determinar la ruta del mail y hacerlo pasar por el servidor defectuoso

lolgmail.jpg

  No creo que sea necesario demostrar durante tres horas porque es un brecha de seguridad extremadamente peligrosa, una bomba de relojería para los phishing más chungos que uno puedo imaginar, un sueño hecho realidad para los piratas.
  Con esta vulnerabilidad y buena ingeniera social se puede hacer millones y millones. 
  Pero google no ha considerado que se trata de una brecha critica.
Argumentando que no era el sistema gmail que estaba puesto en jaque ya que se trataba de phishing.
  Al final es el usuario quien comete el error y cae en la trampa.

  Tengo ganas de decir "vaya morro".
Primero porque hay un fallo técnico grosero en el sistema.
En el mundo moderno, autenticar es primordial, en esto se basa el cifrado https y todos los servicios/cifrados modernos.
Poder escribir un email usurpando la identidad de otro es un fallo técnico critico del servicio

  Peor aún es el "timeline" y la actitud de google
La investigadora se ha puesto en contacto con ellos y Google ha empezado a marear la perdiz...
Recuerdo que google grita alto y claro que son los campeones del "full disclosure responsable"
  Se supone que cuando encuentran una brecha dejan un plazo máximo de 90 días antes de publicarla.
   Hay tiempo de sobra para corregirla,
Cuando su equipo de investigación encuentra una brecha en, por ejemplo, iOS la cosa está muy cuadrada.
Comunican a apple la brecha y 90 días y un segundo después publican la brecha de seguridad
  Si Apple no ha corregido la brecha, problema suyo

  En este caso la investigadora ha comprobado 120 días después su primera toma de contacto que su ataque seguía efectivo.
Amenazó entonces con publicar un full disclosure el 17 de agosto.
Google respondí que estaban en ello, y que iban a hacer algo pronto, el 14 de agosto, prometido.

Luego dijeron que finalmente iban a hacer algo en setiembre
  Frente a tanta tomadura de pelo, Allison Husain publicó su PoC en su blog.
"Extrañamente", 7 horas después, google sacaba un parche correctivo... roll


  Google no respeta sus propios principios de "responsable disclosure"
No han considerado esta brecha como critica, así que no van a dar ninguna recompensa a la investigadora
imagínense un instante que grandes empresas hayan salido perjudicadas por culpa de esta brecha de seguridad y que ataquen a google ante los tribunales.
En un país como Estados Unidos es un caso de oro y la nota hubiera podido ser muy salada.
  Vergonzoso... pam

fuentes

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Temas similares

Tema Respuestas Vistas Ultimo mensaje
61 22986 Ayer 12:55:05 por kcdtv
Pegado:
140 39661 25-10-2020 12:13:09 por skan
4 144 25-10-2020 01:48:35 por kcdtv
Crear diccionario ???? por Domin15
3 163 22-10-2020 13:37:20 por kcdtv
Pegado:
Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r  [ 1 2 3 16 ]
391 37993 18-10-2020 15:24:57 por kcdtv

Pie de página

Información del usuario

Ultimo usuario registrado: miguel_239
Usuarios registrados conectados: 0
Invitados conectados: 9

Estadisticas de los foros

Número total de usuarios registrados: 2,016
Número total de temas: 1,464
Número total de mensajes: 14,390

Máx. usuarios conectados: 373 el 30-09-2019 15:04:36