sábado, 4 de octubre de 2008

Seguridad de las webs

Hoy entro inocentemente a ver la web de la revista Science:

Escribo en el explorador http://www.sciencemag.org, intro y...



Acojonante, sin hacer nada y de repente soy el Señor Peter Schumckenheimer


My account:


Change your contact info:



Genial, peterschumckenheimer@mail.netmails.net, con teléfono y todo.
Un estafador, conocido como phisher, que se hace pasar por una persona o empresa de confianza no tendría muy dificil establecer una supuesta comunicación oficial (correo electrónico, llamadas telefónicas o ambos) y tratar de llevar a cabo una estafa electrónica.

Moraleja uno: desconfiar de mails y llamadas. Y nunca dar sus claves personales a nadie.

Pero supongamos que no entramos como otro usuario desde el principio y que la autentificación de la web funciona bien. Nos encontramos con un login vacío. Tenemos que rellenar a elegir User/AAAS member.

Pues ponemos un nombre comun al azar: Ian.


Respuesta de la web:


Ian Saville, Muchas gracias por darme el correo completo, señores. Bueno, ahora a probar con los passwords típicos: nombreapellido, apellido, ciudad, fecha de nacimiento... cualquier cosa que se nos ocurra.


Y ya tenemos hasta una dirección y un teléfono:


Por deslizes como éste hackear la cuenta de Sarah Palin (la gobernadora de Alaska) fue muy sencillo.

Moraleja dos: poner contraseñas que no salgan en google ni en documentos tipo DNi.

Bueno, con esto vemos que si a los fallos de programación les juntamos un poco de lo que se llama Ingeniería Social llegamos a la conclusión del día:
Seguridad de las webs... y un webo. Su seguridad depende de usted.

Bye!

5 comentarios:

JL dijo...

Yo he entrado en www.sciencemag.org y soy Guest... :(

Anónimo dijo...

Pues prueba esto: User Agent Switcher, un add-on para Firefox permite modificar el User-Agent del navegador y así hacerle creer a los sitios que visitas que eres el mismísimo Google Search Bot. Después de descargar la extensión, es necesario configurarla asi:
Description: GoogleBot
UserAgent:GoogleBot/2.1(+http://www.googlebot.com/bot.html)
Suerte.

Piernodoyuna dijo...

he intentado entrar con pruebas de usuarios y password, pero me he pegado un buen rato y no he podido. Probaré el addon de firefox aver que tal.

piernodoyuna dijo...

Ya está, (sin addon ni nada).
http://www.bugmenot.com/view/sciencemag.org
Esta web es la bomba!!

Anónimo dijo...

enhorabuena, "hacker" ;D