13 abril 2012

Blogger sin SSL

Blogger sin SSL
Soy usuario de Gmail y además, de Blogger (como tantos), pues bien, un día como otro cualquiera, accedo a gmail y me autentico, hasta ahí todo perfecto. Posteriormente entro en mis blogs (funsecurity.net, tecnomind.org) y claro, soy usuario de google y blogger es de google, pero las cookies son para el dominio google.com, por lo tanto, procedo a entrar mediante en enlace que se encuentra en la esquina superior derecha "Acceder". Automáticamente, se transfieren las sesiones de google.com a blogger.com y ya eres usuario autenticado en blogger. Muy bien, ¿verdad?, pero claro, tenemos un problema, si estamos en una red corporativa/pública, corremos el riesgo que nuestras conexiones sean esnifadas y se hagan con nuestras galletas(cookie/session hijacking), ya que las conexiones de blogger.com no van cifradas.

¿Recuerdan firesheep?, desarrollar un plugin para robar en redes públicas sesiones de bloggeros resulta trivial. En este caso no hay extensión para navegadores ni modo de forzar conexiones SSL, ya que google no lo tiene implementado, o lo hacen o estamos vendidos! Google debería de estar más concienciado con la seguridad de sus usuarios bloggeros. De que nos vale cifrar nuestras búsquedas si luego nuestros blogs están expuestos?!?!

Proceso de transferencia de sesiones entre google.com y blogger.com:

Al pinchar sobre "Acceder", seremos redireccionados a accounts.google.com con los parametros necesarios para indicarle a google que queremos iniciar sesión en blogger.

Cuando accounts.google.com verifica nuestra sesión mediante las cookies, nos responde para redireccionarnos a blogger.com con el parámetro "auth" que indica a blogger.com nuestra autenticidad mediante javascript o meta refresh.

 Petición a blogger.com pasando como parámetro "auth" SIN CIFRAR.

Respuesta de blogger.com con la tan ansiada cookie de blogger.com que nos autentica para realizar operaciones sobre nuestros blogs y que por supuesto viaja SIN CIFRAR.

Google ha sido notificado a la espera de alguna contestación, no obstante y mientras tanto, recomiendo acceder a blogger sólo por redes privadas que nosotros controlemos. El hecho de usar vpn, tor, etc tampoco ayuda, ya que el nodo final podría esnifar nuestras conexiones, a no ser que la red vpn sea controlada por nosotros. Igualmente nuestras conexiones en algún nodo estarán en texto plano, así que cuidadito.

He expuesto la forma en la que yo he descubierto el fallo y además nos ha servido para conocer como google transfiere sesiones. Si accedes a blogger directamente y te logas, igualmente tus conexiones siguen estando sin cifrar a posteriori del logado.

saludos,

Artículo cortesía de Adrián Ruiz Bermudo

4 comments :

p0is0n dijo...

¡Gracias por la contribución Adrián! En caso de haber desarrollado un 'plugin' para firesheep, ¿estará disponible para su descarga una vez la vulnerabilidad sea parcheada?

Gracias de nuevo }:))

Adrián Ruiz dijo...

Hola, gracias a ti!,

no es una vulnearabilidad como tal, sino un "problema" de implementación.

El plugin... no había pensado en desarrollarlo, pero ya que lo pides nos pondremos a ello.

No obstante, siempre queda la manera tradicional: cain, ettercap, arpspoof, etc,

saludos!

juanolo dijo...

actualiza tu versión de burpsuite pedazo de lamer!!!!!

frnk_ dijo...

Vaya, leyendo tu post me he dado cuenta que Reader tampoco cifra las conexiones.