Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Peligro con las galletas robadas de la cocina de Hotmail
 
VSantivirus No. 660 - Año 6 - Domingo 28 de abril de 2002

Peligro con las galletas robadas de la cocina de Hotmail
http://www.vsantivirus.com/28-04-02.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


El robo de las cookies puede poner en riesgo la seguridad de Hotmail. Esto es lo que algunos investigadores han demostrado, al mismo tiempo que advierten que esta metodología está extendiéndose y haciéndose cada vez más común por parte de los ciberatacantes.

La técnica es muy sencilla, y permite acceder a cualquier cuenta de Hotmail sin necesidad de tener la contraseña.

La culpa la tiene en parte el sistema empleado por Microsoft para facilitar el uso de su servicio de correo gratuito, y por otro lado la falta de educación del usuario, que pasa por alto la importancia de cosas tan sencillas como las de cerrar una sesión de lectura de correo on-line, con la opción correspondiente antes de abandonar la página Web y el sitio de Hotmail. Generalmente se cierra el explorador, o se selecciona otro destino, pero no se tiene la costumbre de seleccionar la opción para cerrar la sesión actual.

Este acto deja habilitada en las cookies usadas por Hotmail, la posibilidad de ingresar a la misma página (o sea a la cuenta de correo en este caso), sin necesidad de ingresar nuevamente la contraseña. Para que ello ocurra, también es necesario que el usuario haya aceptado (lo suele hacer por comodidad), la opción de guardar el nombre de usuario y contraseña para no volver a ingresarlos en próximas visitas.

A partir de esta situación, cualquiera que sepa donde buscar, puede obtener por medio de un troyano, o a través de la ingeniería social (el engaño), las cookies correspondientes al Hotmail de la víctima, y con ellas ingresar a la cuenta de correo ajena.

Esto puede seguir haciéndose, aún cuando el usuario afectado cambie sus contraseñas.

Microsoft fue advertido del problema, y el jueves de la semana pasada comentó a la prensa que la compañía ofrece a sus usuarios las herramientas para limitar los riesgos de los ataques causados por esta técnica de robo de cookies. Pero además, afirmó que siempre buscará la manera de proteger a sus usuarios de este tipo de riesgos.

Mientras tanto los expertos, en base a las pruebas realizadas, aseguran que el problema es para cualquier sitio que utilice las cookies como mecanismo de autenticación, tarea para las que no fueron creadas. Y aunque los riesgos pueden disminuirse si se manejan los tiempos de expiración adecuadamente, y no se confía en el usuario para que siempre abandone un sitio cerrando la sesión con la opción correspondiente, la mayoría ignora (por desconocimiento o por comodidad), estas reglas básicas de comportamiento.

Por otra parte, al contrario de otros sitios, incluidos algunos de comercio electrónico o incluso bancos, que limitan los tiempos de expiración de las cookies, Microsoft mantiene la posibilidad de su uso por horas, e incluso días, según se ha demostrado, y todo con el único objetivo de facilitar el ingreso a estos servicios a sus usuarios.

En este caso, dos de las cookies proporcionadas por MSN.com, llamadas "MSPAuth" y "MSPProf", son las llaves digitales que permiten a un atacante el acceso a las páginas Web de cualquier cuenta de correo, sin necesidad de ingresar la contraseña nuevamente.

Las cookies solo desaparecen (según demostraron las pruebas), si se utiliza la opción para abandonar la sesión adecuadamente, o si se apaga y reinicia la computadora, pero no si se cierra o abandona la página actual visitada.

A pesar de ello, cualquier cookie robada en ese momento (cuando la sesión está activa), puede permanecer activa en cualquier otra máquina y en cualquier otro momento que se desee usar. Una simple copia de la misma, puede volver este proceso prácticamente eterno, aún con los cambios de contraseñas.


Referencias:

Hotmail
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=hotmail



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2002 Video Soft BBS