Lo mejor de Google I/O 2013 #IO13 
Yahoo! y Facebook enfrentadas para adquirir Tumblr
Bill Gates supera a Carlos Slim como el hombre ...
Larry Page y la polémica que despertó contra Mi...
El nuevo Google Maps a primera vista
Google Glass a primera vista
Todo lo que vimos en la primera jornada del eve...
Larry Page: "Estamos sólo en el 1% de lo que po...Matemático detecta falla de seguridad en Google y suplantó por mail a sus fundadores
(C) Brynn Anderson/Wired
Zachary Harris es un matemático de 35 años de Florida, Estados Unidos, que recibió hace un tiempo atrás un inesperado correo electrónico desde Google ofreciéndole un puesto de trabajo. “Obviamente tienes una pasión por Linux y la programación. Queríamos ver si estás abierto a explorar nuevas oportunidades con Google“, decía el correo.
Harris fue escéptico porque sabía que como matemático no era el candidato ideal que buscaba Google según el correo. Tras preguntarse si podía ser un caso de suplantación de identidad (spoofing), verificó la información de la cabecera del email y encontró que todo aparentaba ser legítimo.
Luego notó algo raro. Google estaba usando una clave de dominio DKIM bastante débil (de 512 bits de largo cuando se recomendaba como mínimo 1.024 bits) para certificar que sus correos electrónicos provenían de un legítimo dominio corporativo de Google, lo que significaba que cualquiera con la suficiente habilidad podía crackearla y enviar correos a nombre de la empresa de Mountain View.
El matemático pensó que Google no podía ser tan poco precavido, por lo que concluyó que debía ser una forma especial para reclutar personal y testear si eran capaces de detectar esta vulnerabilidad, por lo que Harris decidió romper la clave DKIM y enviar un correo a cada uno de los fundadores de Google (Sergey Brin y Larry Page) personificando al otro.
Harris procuró poner su mail en la dirección de retorno (return-path) del correo que le envió a Brin y Page, además de la dirección de su sitio web en el contenido del mensaje. Tras esperar dos días, notó que la clave DKIM de Google cambió a 2.048 bits y su sitio web comenzó a recibir muchas visitas desde direcciones IP de Google. Harris encontró una vulnerabilidad real en la empresa de Mountain View.
Tras darse cuenta, Harris verificó que el problema de una clave DKIM débil (de menos de 1.024 bits) se repetía tanto en Yahoo!, Microsoft, Dell, Apple, eBay, Amazon, PayPal, Twitter, SBCGlobal, US Bank, HP, HSBC, y Match.com; quienes en gran parte ya mejoraron actualmente sus normas de seguridad para evitar la suplantación.
Evidentemente, Zachary Harris no entró a trabajar a Google porque de partida la empresa de Mountain View no estaba buscando empleados, además, nunca le interesó, el sólo dio a conocer el caso porque era de interés general.
Link: How a Google Headhunter’s E-Mail Unraveled a Massive Net Security Hole (Wired)
45 Comentarios
Matemático detecta falla de seguridad en Google y suplantó por mail a sus fundadores
y lo contrataron o contactaron? como q me faltó el final de este episodio de numb3rs :)
ResponderSi fuera en México, el matemático estaría muerto!!!! Fin de la historia!!!
Pero entonces quien el envió el Email a harris ?
Me quede con la misma duda :P
El correo lo envió un príncipe nigeriano....
Esteban Zamorano, en serio vas a escribir actualicé con Z ??? Vamos de mal en peor con los editores de fayer.
Hey @Aguz, no te molestes, ha demostrado el hombre que ni maestría tiene y ya es veterano.
Ojala un principe nigeriano de manos grandes te de por atras zamorano
Pues la verdad este matemático no fue el que encontró esta falla de seguridad si no aquellos que le enviaron por medio de spoofing.
ResponderSolo mas bien el verifico algo ya usado y comprobado.
Aunque también y luego que paso, que obtuvo a cambio... como se dio a conocer esto? etc...
Fayerwayer antes tenias mejores reportajes y noticias!!! (más completas)
Pues así las cosas yo creo que ni las gracias jejej, pero bueno gracias por compartir la noticia, se queda corta pero me parece interesante.
♫♪ mi fayerwayer ya no es lo que era ♪♫ ya no es lo que era ♪ ya no es lo que era ♪♫
http://youtu.be/gkS0hDYt0ZU
lo que pasa que todos en fayerwayer son webodkas , con suerte saben usar sus gadgets , pero entender de informatica , hardware y tecnología en general cero , su conocimiento tecnologico mas grande es logearse a facebook
se extrana las notas de Franco , Francisco , Leo y muchos otros que ya no postean o no trabajan ... :(
@Mauro
Te falta gente, como por ejemplo Seba Cabeza y muchos otros.
Que interesante artículo :)
ResponderPor lo que dice el artículo, ni las gracias le dieron.
ResponderY no le dieron un reconocimiento ni nada?
ResponderNo se suponia que Google pagaba por eso antes?
Responderesta rara la "historia", como que faltan partes...
y.... falto el remate d ela historia... que poco atinado el escritor, o se cuenta bien o no se cuenta, o por lo menos termina con un "desconocemos si la empresa ha contactado a Pepito Perez" por ultimo.
ResponderPUTA MADRE y nos dejan sin final
Responder"...Harris verificó que el problema de una clave DKIM débil […] se repetía tanto en Yahoo!, Microsoft, Dell, Apple, eBay, Amazon, PayPal, Twitter, SBCGlobal, US Bank, HP, HSBC, y Match.com; quienes en gran parte ya mejoraron actualmente sus normas de seguridad"
ResponderNOOOOOOOOOOOOOOO!!!!!!!
Hay personas que viven de eso ¡maldita sea!
una noticia a modo de historia y nos dejan sin el final =/
ResponderA la chucha esto está como cuando ves una buena película y PLOP !! se va la luz justamente en el final y desenlace de la historia.
Responder¿Y entonces? El tipo seco ¿Qué pasó? ¿Se lo llevaron los extraterrestres? ¿Lo contrató la DEA? ¿FBI? o que diablos paso?
Me suena a que el sí encontró la falla, y quería trabajar en google. por lo cual el mismo se envió un correo spoofeado con la supuesta oferta de trabajo.
ResponderPara luego de unos días hacer publico el descubrimiento obteniendo así más "publicidad", y de paso cubriendose ante la posible sanción de google por si acaso les respondían "Hey!, te denuncio a las autoridades por suplantación". Ante lo cual el podría decir: "Pero yo no los suplanté, yo descubrí un fallo y lo reporté".
De esta forma obtendría tres cosas:
- Un puesto en google
- Una cobertura legal por si a google no les gustaba lo que hizo.
- Publicidad a lo "Soy un hacker" y "Soy un genio matemático"
convida po loko, tay fumando de la wena parece xD
salfate eres tu?
Y el weón no ganó niunó!! jaja
ResponderAl menos su recompensa debió haber ganado!
entonces el solo comprobo que el sistema era debil. ¿Quien envio el correo entonces?
ResponderSaludos
mejor dicho quien origino el correo, el que le llego a el.
Hubiese pedido recompensa, por tal hallazgo!
ResponderDonde dice: "Matemático detecta falla de seguridad en Google y suplantó por mail a sus fundadores"
ResponderDeberia decir: "Matemático detecta falla de seguridad en Google y suplanta por mail a sus fundadores
A osea que fue recien?
dice "mail"
debe "decir correo electrónico"
De premio le dieron una regla y un borrador con forma del logo de android XD
ResponderCuanto vale ese wn
ResponderLo demando Apple por patentes comprometidas...
Responderay, es re lindo!
Responderes por esto que el anexo intel sat canbio a otro sistema y dejo este libre,el nuevo tiene vanda muy requete baja en gama ray Hers,localizacion desconocida solo los escojidos ban a esta tiene los mejores jakraker del mundo,sus fines no son ilegales ni molesta a nadie ni causo danio a nadie ,solo perfeccionan su sistema y su equipo,esto es lo que conocemos de anexo intelsat pulzar,>< todo esta desaparecido y borrado,me gustaria estar etre ellos,se que es inposible solo lo digo, enfin ahora se que no hera mentira,
ResponderDeja tu Comentario