Ataque viable para resetear cuentas de Gmail - Junio 2012

Antes que nada, la vulnerabilidad ya está solucionada, pero todavía no hay detalles precisos de ello.

En segundo lugar, el ataque de escalada de privelegios en Gmail fue exitoso el 01/06/2012 y durante mayo 2012, y logró acceder:

- una cuenta de Gmail estándar
- una cuenta de Gmail corporativa (Google Apps, Gmail pago), con two-factor authentication configurada

Acá tienen detalles de cómo se configura la autenticación two-factor para gmail:
http://googleblog.blogspot.com.ar/2011/02/advanced-sign-in-security-for-your.html

De momento la noticia no parece muy difundida, pese a que es de una fuente muy fiable: el CEO de la empresa CloudFlare y menciona la participación del equipo de seguridad de Google, algo que no fue desmentido hasta el momento.

El post del blog ya fue actualizado dos veces por Mattew Prince, el 02/06/2012 confirmando que CloudFlare y el equipo de seguridad de Google terminaron con el ataque.

De momento no hay noticias de otros ataques similares a cuentas de Gmail, pero es evidente que fue posible durante bastante tiempo, así que las medidas de seguridad recomendadas son

- resetear la password,
- configurar autenticación two-factor (es posible hacer en cuentas Gmail no pagas)
- configurar una cuenta de correo para recuperación de contraseña que no se use para ninguna otra cosa (que no aparezca ni se mencione en ningun mail ni posteo online).


La explicación del procedimiento de hacking:

"Este ataque parece haber comenzado a mediados de mayo, al parecer un account request fue enviado a Gmail para mi cuenta de correo personal. El procedimiento de Google hace varias preguntas para verificar que el solicitante es el propietario de la cuenta de correo. No tenemos claro como funciona el proceso, pero parece ser que semanas luego de que el proceso fue iniciado, el hacker de alguna manera convenció al sistema de recuperación de contraseñas de Google para que añadiera una cuenta de correo adicional para recuperar contraseñas perdidas a mi cuenta de correo personal. La clave usada en mi correo era de más de 20 caracteres de largo, altamente aleatorios, y la clave no la usé para ningun otro servicio, así que es poco probable que fuera atacada vía técnica de diccionario o adivinada.

Luego de que la cuenta de correo para recuperar contraseñas fuera añadida, el hacker pudo hacer de vuelta el procedimiento de recuperación de contraseña perdida y conseguir resetear mi cuenta de correo Gmail. Con ese reseteo, ingresaron en mi cuenta de correo esta mañana.

Como miles de otras empresas, CloudFlare usa Google Apps para mails, Cuando creamos la cuenta de CloudFlare.com, configuré mi cueta de correo personal - de Gmail - como correo para recuperar contraseñas. El hacker logró hacer que el sistema de recuperación de contraseñas de Google reseteara la clave del correo de CloudFlare.com y la enviara a mi correo personal. Sorprendentemente, todas las cuentas de correo de CloudFlare usan two-factor authentication; todavía estamos trabajando con Google para entender cómo fue que el hacker fue capaz de resetear la clave de CloudFlare sin proveer un token two-factor válido."

[Nota: el comentario de que no se explican cómo la cuenta Gmail con two-factor authentication fue reseteada es porque en teoría, al tener el celular configurado para recibir el token, cuando se resetea la contraseña, se recibe un correo con el link a un página, donde hay que cargar el token que se recibe vía sms en el celular, recien luego de eso se puede cambiar la contraseña de esas cuentas.

El problema es que el hacker no tuvo - todo indica que es así con seguridad - acceso al celular del CEO de CloudFlare, por lo que no habría recibido el token para poder cambiar la contraseña, de todos modos, pudo cambiarla. Es posible que mientras avance la investigación surjan nuevos hechos, por ahora es sorprendente el reset de pass sin tener el token. ]

Luego de comprometida la cuenta de correo de CloudFlare, el atacante procedió a resetear la password de la cuenta de un cliente puntual de CloudFlare, y modificó los DNS para el cliente, redirigiendo el tráfico hacia los sites durante un tiempo, hasta que el issue fue detectado.

Links
"Post Mortem: Today's Attack; Apparent Google Apps/Gmail Vulnerability; and How to Protect Yourself"
Fecha 01 / 06 / 2012
http://blog.cloudflare.com/post-mortem-todays-attack-apparent-google-app