13 de junio de 2014

Experto israelí salva Gmail de hackeo 'killer' -- Israeli expert saves Gmail from ‘killer’ hack -Bilingüe


Experto israelí salva Gmail de hackeo 


'killer'



500 millones de cuentas de Google habrían estado en peligro si un hacker '


sombrero negro' encontró el problema, dice Oren Hafif




TRADUCCION DE GOOGLE


 12 de junio 2014, 18:18 2
Un empleado de Google hace una presentación en un programa reciente tecnología (Fotografía: Serge Attal/Flash90)
Un empleado de Google hace una presentación en un programa reciente tecnología (Fotografía: Serge Attal/Flash90)
Oren Hafif, un hacker israelí "sombrero blanco", descubrió un grave fallo de seguridad en Gmail que podría haber comprometido los 500 millones de cuentas y los hackers les permite acceder a cuentas de correo de los usuarios y todos los servicios Web que utilizan el sistema de autenticación de Google. Hafif descubrió la vulnerabilidad, lo documentó, intentó con éxito hacia fuera y dijo Google al respecto. Google le dio una recompensa de $ 500, como parte de su programa de recompensas de errores.
Recibe boletín diario del Start-Up Israel
y no te pierdas nuestros principales noticias 
  REGISTRARSE!
Hafif, un miembro del equipo de seguridad de élite en la oficina israelí de Trustwave, una empresa de seguridad con sede en Chicago, celebra consultas con empresas grandes y pequeñas para detectar agujeros de seguridad en sus sistemas - llegar a los insectos, sus clientes esperan, antes de que los hackers pueden descubrir y explotarlos. Según Hafif ", con conocimientos acumulados de más de 300 pruebas de penetración y auditorías de seguridad para casi cualquier línea de servicio por ahí (finanzas, telecomunicaciones, salud, transporte, etc), para ayudar a mis clientes a ser más segura es mi objetivo."
Afortunadamente para Google, Hafif estaba en el trabajo de esta semana, cuando lo que él llamó el "One Token para gobernarlos a todos" explotar fue descubierto. Gmail, no es sólo una abreviatura de "Google Mail," como la mayoría de la gente supone que es; que representa Global Principal Autenticación e Identificación Biblioteca, y "se utiliza en todas partes de sitios como Facebook y Twitter para la banca en línea. Ser dueño de su cuenta de Gmail es el sueño de un hacker, ya que significa que todas las otras cuentas están ahora a su alcance ", Hafif dijo en un blog .
Aunque el fallo no habría expuesto a las contraseñas de Gmail para los piratas informáticos, se habría expuesto a ellos auténticas direcciones utilizando la plataforma de Google - casi la mitad de la batalla para conseguir el acceso a una cuenta, porque esas direcciones podrían utilizarse en los scripts de hackers que tratan de adivinar las contraseñas . Una vez que se descubrieron las contraseñas, la información de autenticación podría ser utilizado para acceder a todos los servicios que utilizan el sistema de autenticación de Google.
El truco consiste en utilizar un token de seguridad emitido por Google para generar una lista de direcciones de Gmail multiplataforma. El token es una cadena de texto y números tan valiosos que Hafif lo llama "mi testigo precioso." Al cambiar un carácter en el modo, dijo, fue capaz de extraer 37.000 direcciones de Gmail. Si hubiera querido, "yo podría haber extraído todas las direcciones de correo electrónico alojados en Google" en cuestión de semanas o incluso días.
Cabe señalar que muchas de las direcciones del servicio no use@gmail.com como su dirección de dominio. Programas de negocios de Google permiten a las empresas utilizar sus propios nombres de dominio y los de acogida en los servidores de Google. Estos, también, dijo Hafif, habrían sido vulnerables a la corte.
Que debería preocupar las empresas que utilizan la plataforma de Gmail, ya que el tema de la seguridad de Google "en realidad es un tema muy caliente en este momento", dijo. "¿Hay que pasar a la nube?¿Debemos utilizar Gmail como nuestro gestor de correo electrónico de la organización? A medida que la discusión sobre el futuro del correo electrónico de la empresa continúa con un enfoque en la seguridad, la filtración de correos electrónicos de la organización podría ayudar a los atacantes en sus ataques de phishing de lanza y, finalmente, exponer a la empresa a avanzar amenazas persistentes ", dijo. "Mi precioso símbolo puede llegar a todos ellos, incluso si nunca diste tu dirección de correo electrónico a un solo ser vivo. Correos electrónicos privados o direcciones de correo electrónico de negocios con dominio de la organización, todos son míos. Si se tiene en cuenta algunos de sus empleados y ejecutivos de direcciones de correo electrónico confidencial, eso es un problema ".
Hafif es un hacker de sombrero blanco, que usa sus "poderes" para buena por la piratería para eliminar amenazas a la seguridad, a diferencia de los hackers de "sombrero negro", que hacen todo lo contrario. Como tal, se informó del fallo a Google, que tomó medidas inmediatas para corregirlo. "El equipo de seguridad de Google fijó la vulnerabilidad y me ha premiado con una recompensa de $ 500."
Numerosos comentaristas en el blog expresaron su conmoción por lo que consideraban la muy pequeña cantidad de dinero otorgado Hafif para mitigar lo que podría haber sido un fallo de seguridad importante, que puede haber estado allí durante años. "No puedo creer que Google es tan barato #% @ #% @", escribió un comentarista. El mensaje llegó a decir que deberían haber dado Hafif mucho más, teniendo en cuenta "el daño a nivel macro garantía que habría sido causada por la fuga de su base de datos de correo electrónico completa y el daño a la reputación de Google." Otros llamó la recompensa "hilarante" y "vergonzoso".
"Gracias por los elogios," Hafif respondió, y agregó que, si bien le hubiera gustado más dinero, él podía entender por qué Google mantenía un perfil bajo sobre esto, a pesar de que la falla de seguridad aquí era mucho más grave que los que generalmente descubren. "Es probable que entiendan que este caso es diferente. Sin embargo, al explicar esto una y otra vez puede ser abrumador. Siempre mirar el panorama más amplio. Quiero decir, yo estoy especulando, pero ¿quién sabe? "
Haz clic abajo para ver un video de Oren Hafif explicando el error Gmail descubrió:


Read more: Israeli expert saves Gmail from 'killer' hack | The Times of Israel http://www.timesofisrael.com/israeli-expert-saves-gmail-from-killer-hack/#ixzz34YYa5zLf
Follow us: @timesofisrael on Twitter | timesofisrael on Facebook


Israeli expert saves Gmail from ‘killer’ hack


500 million Google accounts would have been at risk if a ‘black hat’ hacker found the problem, says Oren Hafif


 June 12, 2014, 6:18 pm 2
A Google employee makes a presentation at a recent tech show (Photo credit: Serge Attal/Flash90)
A Google employee makes a presentation at a recent tech show (Photo credit: Serge Attal/Flash90)
Oren Hafif, an Israeli “white hat” hacker, discovered a serious security flaw in Gmail which could have compromised all 500 million accounts and allowed hackers to access users’ mail accounts and all Web services that use Google’s authentication system. Hafif discovered the vulnerability, documented it, successfully tried it out and told Google about it. Google gave him a $500 reward, as part of its Bug Bounty program.
Get the Start-Up Israel's daily newsletter
and never miss our top stories
   FREE SIGN UP!
Hafif, a member of the elite security team at the Israeli office of Trustwave, a Chicago-based security company, consults with businesses large and small to detect security holes in their systems — getting to the bugs, his clients hope, before hackers can discover and exploit them. According to Hafif, “with knowledge gathered from over 300 penetration tests and security audits for almost any service line out there (finance, telecom, healthcare, transportation, etc), helping my clients become more secure is my goal.”
Fortunately for Google, Hafif was on the job this week, when what he termed the “One Token to Rule Them All” exploit was uncovered. Gmail, is not just an abbreviation for “Google Mail,” as most people suppose it is; it stands for Global Main Authentication and Identification Library, and “is used everywhere from sites like Facebook and Twitter to online banking. Owning your Gmail account is a hacker’s dream because it means all other accounts are now in reach,” Hafif said in a blog post.
Although the bug would not have exposed Gmail passwords to hackers, it would have exposed to them authentic addresses using the Google platform — almost half the battle in getting access to an account, because those addresses could be used in hacker scripts that try to guess passwords. Once the passwords were discovered, the authentication information could be used to access all services that use Google’s authentication system.
The hack involves using a security token issued by Google to generate a list of Gmail-platform addresses. The token is a string of text and numbers so valuable that Hafif calls it “my precious token.” By changing one character in the token, he said, he was able to mine 37,000 Gmail addresses. Had he wanted to, “I could have extracted all of the email addresses hosted on Google” in a matter of weeks, or even days.
It should be noted that many of the service’s addresses do not use @gmail.com as their domain address. Google’s business programs allow companies to use their own domain names and host them on Google servers. These, too, said Hafif, would have been vulnerable to the hack.
That should concern businesses that use the Gmail platform, since the issue of Google’s security “is actually a pretty hot topic right now,” he said. “Should we move to the cloud? Should we use Gmail as our organizational email manager? As the argument about the future of enterprise email goes on with a focus on security, leakage of organizational emails might assist attackers in their spear-phishing attacks and eventually expose the company to advance persistent threats,” he said. “My precious token can get them all, even if you never gave your email address to any single living creature. Private emails or business email addresses with your organization’s domain, all are mine. If you consider some of your employees and executives email addresses confidential, that’s a problem.”
Hafif is a white hat hacker, who uses his “powers” for good by hacking to eliminate security threats, as opposed to “black hat” hackers, who do the opposite. As such, he reported the bug to Google, which took immediate action to fix it. “The Google security team fixed the vulnerability and rewarded me with a $500 bounty.”
Numerous commenters on the blog post expressed shock at what they considered the very small amount of money awarded Hafif for mitigating what could have been a major security breach, which may have been there for years. “I can’t believe Google are such cheap #%@#%@,” wrote one commenter. The post went on to say that they should have given Hafif a lot more, given “the collateral macro level damage that would have been caused by leaking their entire email database and the damage to Google’s reputation.” Others called the reward “hilarious” and “shameful.”
“Thanks for the compliments,” Hafif responded, adding that while he would have liked more money, he could understand why Google was keeping a low profile about this, even though the security flaw here was much more serious than the ones they usually uncover. “They probably understand that this case is different. However, explaining this over and over again might be overwhelming. Always look at the wider picture. I mean, I am speculating, but who knows?”
Click below to see a video of Oren Hafif explaining the Gmail bug he discovered:


Read more: Israeli expert saves Gmail from 'killer' hack | The Times of Israel http://www.timesofisrael.com/israeli-expert-saves-gmail-from-killer-hack/#ixzz34YemHhPx
Follow us: @timesofisrael on Twitter | timesofisrael on Facebook


No hay comentarios: