martes, enero 20, 2015

Cómo te pueden robar la cuenta de Facebook en solo 5 segundos de descuido

Normalmente cuando alguien se deja la sesión de su equipo abierto en un entorno de trabajo durante unos minutos, está demostrando una gran confianza en todas las personas que tienen acceso físico a su equipo, además de un alto grado de irresponsabilidad para con la seguridad de toda la empresa. Es por eso, que lecciones como el Ataque David Hasselhoff intentan conseguir que la víctima entienda que no debe dejar la sesión sin bloquear, aunque sea a las malas. 

Figura 1: Cómo te pueden robar la cuenta de Facebook en 5 segundos de descuido

Cuando alguien se deja la sesión durante un breve instante de tiempo abierto, aunque sean solo unos segundos, una persona puede copiar archivos, ver información confidencial o realizar acciones en los sistemas con la cuenta de la víctima, y eso puede ser más que suficiente para tener un verdadero problema de seguridad.

Robar la cuenta de Facebook en 10 minutos

Con el ejemplo de robar una cuenta de Facebook, una de las cosas que se podría intentar hacer es simplemente la de mirar las contraseñas almacenadas en el navegador, pero además de que debería tener la contraseña almacenada, desde que se usan las master passwords, se hace complicado localizar las contraseñas almacenadas en el navegador. 

Figura 2: Passwords almacenadas en Firefox protegidas por Master Password

Si el usuario que ha dejado su equipo abierto tiene la sesión de Facebook activa, en ese momento se puede intentar acceder a las preferencias de la cuenta, para ver si es posible cambiar la contraseña, pero si no tienes la contraseña antigua, esto no es posible.

Figura 3: Para cambiar la password necesitas la cuenta antigua

Sin embargo, el camino más sencillo es robar la sesión. Hacer un secuestro de la sesión que está abierta, para lo que basta con que el atacante se lleve las cookies. Para hacerlo, solo es necesario 5 segundos delante del equipo. Tan sencillo como usar las herramientas del desarrollador ir a la sección de cookies y tomar una foto con el smartphone.  En Google Chrome, el acceso  hace con Ctrl+Shif+I (Alt+Cmd+I si es un OS X).

Figura 4: Cookies de sesión de Facebook sin proteger

De esto no te protege ni que la cookie lleve el Flag Secure, ni el Flag HTTPOnly ni nada parecido. Una vez hecha la foto, desde otra ubicación el atacante puede entrar tranquilamente a la cuenta usando una herramienta para configurar cookies en la sesión del navegador y escribiendo las que están en la foto que tomó, consiguiendo de esta forma obtener acceso a la cuenta de la víctima. Todo mucho más sencillo que caer en los engaños de las apps mágicas para hackear Facebook.

Cuidado con tu equipo cuando tú no estás con él

En solo unos segundos de descuido tu cuenta de Facebook, o de cualquier otro servicio, ha podido volar, por lo que ten un cuidado extremo de proteger tu equipo contra cualquiera que tenga acceso físico a tu máquina. Por supuesto, evita cachear contraseñas en el navegador, pero si lo haces que sea con Master Password. En equipos portátiles puedes poner sistemas de seguridad que incluso detecten el movimiento cuando alguien los toca, como el caso de iAlertU.

Figura 5: iAlertU - Cuando alguien toca tu equipo, le tira una foto con la Webcam

Además, por si alguien se ha hecho con tu contraseña en la empresa - que expertos en Shoulder Surfing hay muchos - para que no a utilice sin tu permiso puedes ponerte Latch para Windows, Latch para Linux o Latch para OS X y así mientras que tu equipo esté solo en tu zona de trabajo nadie lo va a poder tocar.

Saludos Malignos!

42 comentarios:

  1. @Maligno
    La cookie de sesión en Facebook queda anulada tras cerrar el navegador.

    ResponderEliminar
  2. @Maligno
    Lo puedes comprobar desde Chrome.

    ResponderEliminar
  3. No. Probado. Solo en modo anónimo.

    ResponderEliminar
  4. @Maligno
    No es cierto, sí que es posible.

    ResponderEliminar
  5. @Anónimo, bueno. Esto es así tiempo ha, lo hemos probado con cinco equipos distintos otra vez, y sigue funcionando igual. El evento de Close del navegador no mata la cookie de sesion. Sorry.

    Solo en modo incógnito, donde se borra físicamente la cookie la sesión desaparece.

    Saludos!

    ResponderEliminar
  6. Que pesado el anonimo ese. Es duro para entender que cerrar el navegador no cierra la sesion.

    ResponderEliminar
  7. @Maligno
    Entonces es cuestión de magia, porque yo lo he probado igualmente en varios equipos y sí cierra la sesión. Sorry.

    ResponderEliminar
  8. @Anónimo, no. Es cuestión de que tú tienes algo configurado en tu navegador para borrar las cookies. Solo eso.

    Saludos!

    ResponderEliminar
  9. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  10. @Maligno
    Negativo. Navegador Chrome, configuración por defecto, y tan solo anula la sesión de Facebook.

    ResponderEliminar
  11. @anónimo, pues algo hay. Revisa en profundidad tus configuraciones, tus plugins, etc... Creeme que Facebook no mata la sesión con el evento Close del navegador. Solo estás perdiendo las cookies de la caché (¿la borras?)

    Saludos!

    ResponderEliminar
  12. Es probable que si al iniciar sesión en FB no marcas "No cerrar sesión" el navegador sí borre las cookies al cerrarse.

    ResponderEliminar
  13. @Maligno
    No borro nada, ni tampoco hago nada especial. Tan solo cierro Chrome, dejando la sesión de Facebook abierta, y vuelvo a abrir Chrome. La sesión se invalida. Sin embargo, misma operación con Gmail, y la sesión permanece abierta. Garantizado al 100%, Chema.

    ResponderEliminar
  14. Aja, y como evitar eso?

    ResponderEliminar
  15. Creo que Anónimo está tomando mal la cookie, y creo que toma el Session ID (que si cambia cuando cierras el navegador). Pero en la imagen se ve claro que nunca tomas ese session ID, solo los datos que hacen que tu conexión a Facebook sea persistente (Si tu cierras el navegador sin hacer logout y apagas tu equipo, al otro día al abrir Facebook no tienes que volverte a loguear, dado que ya estas logueado, por eso el ataque funciona y por eso es que estas equivocado, la Cookie no expira (es reutilizable) y te puedes loguear en otro equipo sin problemas, ahí si, o haces Logout o en la configuración de FB cierras todas las sesiones activas "a las malas" haciendo que esas Cookies expiren

    ResponderEliminar
  16. una vez que tengo las cookies, que herramienta es la que se usa? gracias, saludos

    ResponderEliminar
  17. A mi me cierra la sesion, porque no tengo el check de mantener la sesion iniciada en facebook.. pero no he comprobado si borra las cookies..

    ResponderEliminar

  18. Probado, funciona, al cerrar el navegador de donde se tomaron las cookies se puede seguir accediendo a la cuenta. Si se abre nuevamente el navegador y se reloguea (no se tiene el recordar pass activo), ahí si expira la cookie.

    Gracias por compartir :)

    ResponderEliminar
  19. Tiene razón Chema, no borra a sesión y no caduca. Yo le hice la coña a un compañero de trabajo llegando antes que él, al día siguiente de que apagara el ordenador y puede entrar en su sesión sin problemas.

    ResponderEliminar
  20. a mi lo que me ocurre es que no me muestra todo el valor de algun valor pues es mas largo que lo que me muestra y aunque lo expanda acaba con los ..... de que la cookie es mas larga

    ResponderEliminar
  21. soy super novato aqui.. perdonar. pero en las Cookis solo veo un monton de numeros raros, ( o numeros con letras) que tiene eso que ver con la contraseña? ( me imagino que algo) pero como transformo esos numeros en algo que se pueda leer.

    ResponderEliminar
  22. Y despues de obtener las cookies, como los puedo usar?

    ResponderEliminar
  23. copio la cookie del facebook que quiero hackear, la ingreso a (greasemonkey cookie injector script) Wireshark Cookie Dump: con
    control C en https://www.facebook.com pero no pasa nada , debe ser por el https
    me parece que solo se podia cuando era http..

    ResponderEliminar
  24. Eso suponiendo que cuando haces click el navegador no se dedique apensar lo que quieres y empiece a mover la ruedecita de espera, como es habitual. O que el ordenador equipado con un super windows multitarea (ejem) esté guardando un archivo de word de 300 Mb y entonces podrás comprobar como se congela y el propietario del equipo te sorprende en bragas porque tu ordenador con 8 Gb de RAM no puede ejecutar varias tareas a la vez. ¿Qué, que no?. Prueba a intentar ver el contenido del lector de CD sin disco o a grabar un archivo grande y podrás ver lo que vale tu sistema operativo.

    ResponderEliminar
  25. Pero algunos valores son muy largos y ni siquiera me deja hacer copy/paste. Así que mucho peor hacerle una foto.

    ResponderEliminar
  26. escribio cantinflas esto , no entendi jajajaj..

    ResponderEliminar
  27. Muy bueno, pero un par de cookies no entran en la foto por mucho que muevas las columnas :)

    ResponderEliminar
  28. Juas, cuánto juanker por aquí suelto. Como para extrañarse luego de que la peña no cierre sesión, amos.

    ResponderEliminar
  29. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  30. Una vez mas queda demostrado que no puedes confiar en nadie, ni en tu propia sombra.

    ResponderEliminar
  31. Chema que te plagian http://www.adslzone.net/2015/01/21/robar-cuenta-facebook/

    ResponderEliminar
  32. como se llama el programa para modificar cookies

    ResponderEliminar
  33. una vez tengo la foto tomada de las cookies, como las cargo? que quiere decir, utilizando una herramienta que te permita configurar las cokkies de navegador? cual es? gracias

    ResponderEliminar
  34. Estáis usando las herramientas de desarrollador en modo horizontal? Así si salen completas. Por cierto, aun mas rápido que con Ctrl+Shif+I es con F12. Saludos Doctor Maligno!

    ResponderEliminar
  35. Una vez que tengo la foto de las cokies como desifro la contraseña?

    ResponderEliminar
  36. kien me puede ayudar a robar una cuenta xfis se lo agraseria toda,la vida xfvor ����������

    ResponderEliminar
  37. Que heramienta puedo usar para configurar manualmente la cookie

    ResponderEliminar