martes, julio 29, 2014

0xWord: Código descuento de lectura veraniega. Solo hoy

Como en el pasado, 0xWord va a activar el Mode Verano y durante el mes de Agosto no se hará entrega de pedidos como habitualmente hacemos. En este periodo se va a hacer un cambio de almacén, y como la actividad suele bajar se aprovecha para acumular la entrega de pedidos a finales de mes y hacer otras tareas.

Figura 1: Llévate a la FOCA contigo a la playa

Pero.. para los que quieran llevarse a la playa la mejor de las lecturas, como hace mucha gente, hemos sacado un código descuento con un 10% de rebaja sobre el precio que durará solo hoy, es decir, hasta las 24:00. El código descuento es VERANO2014. Las compras deben estar hechas hoy, y las confirmaciones de los pagos deben haber llegado, como muy tarde, el miércoles, ya que el jueves se harán los últimos envíos y se activará el Mode Verano.

Figura 2: Código descuento 10% solo para hoy "VERANO2014"

Así que, si quieres algún libro para llevarte a la playa, hoy es el día. Además, te informo de que hasta nueva orden Hacking con Buscadores y Una al día están agotados, además de que el número de unidades disponibles de Metasploit para Pentesters y Hacker Épico es muy corto y probablemente hoy se acaben también esas ediciones.

Por si quieres alguna recomendación, en Security By Default hicieron una selección para hacerse profesional de la seguridad. Yo, como creo que la playa es más para vaguear y tomar martinis, si tuviera que llevarme alguno a la playa, yo me llevaría Hacker Épico, Wardog y el Mundo, o Microhistorias: anécdotas de la historia de la informática y los hackers, que son de disfrutar la lectura a la par que aprender.

Saludos Malignos!

lunes, julio 28, 2014

Saltar el bloqueo de cuentas Google es un juego de niños

El robo de identidad es algo muy común hoy en día, por eso hay que poner un segundo factor de autenticación a todas tus identidades si quieres evitar sustos innecesarios. En mi caso, me gustaría poner Latch como ya he hecho con mi Windows para saber cuándo alguien intenta entrar en mi cuenta con mi contraseña, pero mientas que no exista esa posibilidad en Google, uso Google Authenticator que si bien no me avisa cuando alguien usa mi contraseña en mi cuenta y me obliga a poner un código cada vez que inicio sesión, al menos sé que me tienen que robar el terminal para lograr robarme la identidad.

Figura 1: Respuesta de Google Security sobre esto que os voy a contar

El poner un segundo factor de autenticación es para mí vital, sobre todo viendo las medidas de seguridad que tienen empresas como Google para detectar y bloquear el robo de identidad basándose en patrones de comportamiento. De todo esto que os voy a contar, avisé a Google y decidieron que NO era un fallo de seguridad. Tal vez luego lo arreglen como las URLs de Gmail indexadas en Google y BING, pero por ahora no. Espero que os guste.

Inicio de sesión desde otra ubicación

La cuestión es que ocurriría si alguien intenta acceder desde una ubicación distinta a la que utiliza el dueño de una cuenta de Google. No olvidemos que una de las características que argumentan los grandes sitios de Internet a la hora de generar las huellas digitales de las conexiones de sus clientes es la protección de las cuentas. En el caso concreto de Google, por seguridad, se bloqueara dicha cuenta y comienza todo un proceso de seguridad para verificar que se trata del dueño legitimo, tal y como explicó Chema en sus pruebas con cuentas robadas y publicadas en foros de Internet.

Figura 2: Verificar tu identidad de una cuenta de Gmail introduciendo cuenta de recuperación

Si intentamos realizar el acceso a una cuenta desde una ubicación distinta a la habitual, haciendo una conexión directamente desde el login del correo electrónico de Gmail aparecerá un desafío y si no contestamos correctamente a todas las preguntas que se formulan - cosas que un atacante probablemente no sepa - la cuenta seguirá bloqueada. Hasta ese punto todo parece correcto, pero... ¿y si intentamos hacer login desde cualquier otra propiedad de Google?

El inicio desde otra ubicación en YouTube

No hay que olvidar que la cuenta de Google hoy en día tiene muchas puertas, por ejemplo haciendo login en YouTube. ¿Se lanza el mismo proceso de seguridad? La respuesta es NO. En este caso, al conectar por YouTube avisara de que alguien esta intentando entrar a tu cuenta desde otra ubicación y formula una pregunta: ¿Desde qué ubicación te sueles conectar normalmente? Esto ya no es una barrera costosa, ya que para un atacante es fácil de averiguar con buscar un poco en Internet.

Una vez conseguida dicha información se accede a la cuenta sin ningún problema. Si al mismo tiempo el dueño legítimo de la identidad está conectado, aparecerá un aviso en la parte superior de la pagina de que alguien ha entrado a tu cuenta desde otra ubicación y realiza otra pregunta más: ¿Has sido tu? Con contestar que sí es suficiente, y adiós a más preguntas al mismo tiempo que se consigue acceso total a Todo Google.

Esto pasará únicamente si el atacante está navegando bajo una conexión con una dirección IP de un país diferente al del dueño de la cuenta, pero si es astuto y antes de conectarse se asegura de obtener dicha información recogiendo información por las redes sociales podría elegir el país de conexión y se tendría acceso sin ningún problema.

El bug en el Bloqueo de seguridad por ubicación distinta a habitual

Siguiendo con las pruebas, intenté iniciar sesión en el login principal de Google desde otra ubicación a la habitual a la mía con conexión vía VPN/Proxy con una dirección IP de "Estados Unidos" quedando así la cuenta bloqueada "por seguridad". Para eliminar el bloqueo Google da varias opciones de recuperación:

Acceso mediante cuenta de correo de recuperación

En esta primera opción debes introducir la dirección de correo electrónico que tienes asociado a tu cuenta de Google. Cualquiera que vea esto, asume que se va a enviar cualquier tipo de mensaje de desafío a ese buzón de correo con algún código y/o enlace para confirmar que se está en posesión de esa dirección de correo electrónico. Sorpresa la mía cuando por error introduzco mal el dominio de mi cuenta de correo electrónico y pongo algo como: "j••••@hotmail.crom"

Figura 3: Con el dominio mal puesto se tiene acceso a la cuenta, desbloqueando el control

¿. crom? dije yo llevándome la manos a la cabeza pensando que al haberlo puesto mal tendría que repetir todo el proceso, pero... no, Te permite entrar. Pero...WTF?

¿Y si pongo un dominio totalmente distinto? Pues también cuela. Al final, lo único que se comprueba es que el nombre de la cuenta sea el correcto, por lo que el dominio no importa nada. De hecho, cuando las cuentas de recuperación son de los grandes proveedores de correo electrónico, no tiene mucho sentido preguntarlo y es más una forma de recordar al dueño qué cuenta se está preguntado.

Figura 4: Con un dominio no existente también se produce el desbloqueo

Lo más sorprendente de todo es que Google NO realiza un desafío sobre el correo electrónico, solo que has acertado en el nombre. Es decir, que no importa si el atacante no tiene control sobre la cuenta de recuperación, basta con que sepa qué cuenta... perdón, que alias de correo en esa cuenta tiene. En este vídeo se puede ver todo el proceso de verificación.


Figura 5: Desbloqueo de cuenta de Google desde ubicación no habitual

Por desgracia, los usuarios tienden a poner el mismo nombre de usuario de su cuenta, pero en otro dominio de correo. Algo como lucas11111@gmail.com, lucas1111@hotmail.com, lucas1111@icloud.com, etcétera. Mala idea para un caso de cuenta de recuperación viendo como funciona el sistema.

Acceso mediante conocimiento de la ubicación habitual

Dependiendo de la propiedad de Google, al detectarse el acceso desde una ubicación no habitual, el desafío puede resolverse si se indica la ciudad desde la que suele iniciar sesión esa cuenta, en mi caso "Palma de Mallorca, España". Vamos, algo que está al alcance de casi cualquiera hoy en día con saber dónde vive una persona mirando su vida en Internet y en las redes sociales. ¿Es útil para algo esta protección?

Figura 6: Desbloqueo de cuentas por introducción de ubicación habitual

Lo cierto es que vistas estas opciones de seguridad para el bloqueo de cuenta, el uso de un segundo factor de autenticación es la única medida eficiente para evitar que en un descuido, un 0day, una troyano, un keylogger, o una conexión controlada entre todas las que se producen en la red con mis cuentas, acabe con el robo de mi identidad.

Autor: Jonathan Novel
Twitter: @JonathanNovel

Entradas populares