Matemático detecta falla de seguridad en Google y suplantó por mail a sus fundadores

Tras recibir un correo falso con una oferta de trabajo para Google, el matemático verificó un grave problema de seguridad en varios e importantes sitios web.

Zachary Harris es un matemático de 35 años de Florida, Estados Unidos, que recibió hace un tiempo atrás un inesperado correo electrónico desde Google ofreciéndole un puesto de trabajo. "Obviamente tienes una pasión por Linux y la programación. Queríamos ver si estás abierto a explorar nuevas oportunidades con Google", decía el correo.

Harris fue escéptico porque sabía que como matemático no era el candidato ideal que buscaba Google según el correo. Tras preguntarse si podía ser un caso de suplantación de identidad (spoofing), verificó la información de la cabecera del email y encontró que todo aparentaba ser legítimo.

Luego notó algo raro. Google estaba usando una clave de dominio DKIM bastante débil (de 512 bits de largo cuando se recomendaba como mínimo 1.024 bits) para certificar que sus correos electrónicos provenían de un legítimo dominio corporativo de Google, lo que significaba que cualquiera con la suficiente habilidad podía crackearla y enviar correos a nombre de la empresa de Mountain View.

El matemático pensó que Google no podía ser tan poco precavido, por lo que concluyó que debía ser una forma especial para reclutar personal y testear si eran capaces de detectar esta vulnerabilidad, por lo que Harris decidió romper la clave DKIM y enviar un correo a cada uno de los fundadores de Google (Sergey Brin y Larry Page) personificando al otro.

Harris procuró poner su mail en la dirección de retorno (return-path) del correo que le envió a Brin y Page, además de la dirección de su sitio web en el contenido del mensaje. Tras esperar dos días, notó que la clave DKIM de Google cambió a 2.048 bits y su sitio web comenzó a recibir muchas visitas desde direcciones IP de Google. Harris encontró una vulnerabilidad real en la empresa de Mountain View.

Tras darse cuenta, Harris verificó que el problema de una clave DKIM débil (de menos de 1.024 bits) se repetía tanto en Yahoo!, Microsoft, Dell, Apple, eBay, Amazon, PayPal, Twitter, SBCGlobal, US Bank, HP, HSBC, y Match.com; quienes en gran parte ya mejoraron actualmente sus normas de seguridad para evitar la suplantación.

Evidentemente, Zachary Harris no entró a trabajar a Google porque de partida la empresa de Mountain View no estaba buscando empleados, además, nunca le interesó, el sólo dio a conocer el caso porque era de interés general.

Link: How a Google Headhunter’s E-Mail Unraveled a Massive Net Security Hole (Wired)

powered byDisqus