Harris fue escéptico porque sabía que como matemático no era el candidato ideal que buscaba Google según el correo. Tras preguntarse si podía ser un caso de suplantación de identidad (spoofing), verificó la información de la cabecera del email y encontró que todo aparentaba ser legítimo. Luego notó algo raro. Google estaba usando una clave de dominio DKIM bastante débil (de 512 bits de largo cuando se recomendaba como mínimo 1.024 bits) para certificar que sus correos electrónicos provenían de un legítimo dominio corporativo de Google, lo que significaba que cualquiera con la suficiente habilidad podía crackearla y enviar correos a nombre de la empresa de Mountain View. El matemático pensó que Google no podía ser tan poco precavido, por lo que concluyó que debía ser una forma especial para reclutar personal y testear si eran capaces de detectar esta vulnerabilidad, por lo que Harris decidió romper la clave DKIM y enviar un correo a cada uno de los fundadores de Google (Sergey Brin y Larry Page) personificando al otro. Harris procuró poner su mail en la dirección de retorno (return-path) del correo que le envió a Brin y Page, además de la dirección de su sitio web en el contenido del mensaje. Tras esperar dos días, notó que la clave DKIM de Google cambió a 2.048 bits y su sitio web comenzó a recibir muchas visitas desde direcciones IP de Google. Harris encontró una vulnerabilidad real en la empresa de Mountain View. Tras darse cuenta, Harris verificó que el problema de una clave DKIM débil (de menos de 1.024 bits) se repetía tanto en Yahoo!, Microsoft, Dell, Apple, eBay, Amazon, PayPal, Twitter, SBCGlobal, US Bank, HP, HSBC, y Match.com; quienes en gran parte ya mejoraron actualmente sus normas de seguridad para evitar la suplantación. Fuente: How a Google Headhunter’s E-Mail Unraveled a Massive Net Security Hole (Wired)
Matemático detecta falla de seguridad en Google y suplantó por mail a sus fundadores
Publicado el 25 octubre 2012 por Davinci2411Harris fue escéptico porque sabía que como matemático no era el candidato ideal que buscaba Google según el correo. Tras preguntarse si podía ser un caso de suplantación de identidad (spoofing), verificó la información de la cabecera del email y encontró que todo aparentaba ser legítimo. Luego notó algo raro. Google estaba usando una clave de dominio DKIM bastante débil (de 512 bits de largo cuando se recomendaba como mínimo 1.024 bits) para certificar que sus correos electrónicos provenían de un legítimo dominio corporativo de Google, lo que significaba que cualquiera con la suficiente habilidad podía crackearla y enviar correos a nombre de la empresa de Mountain View. El matemático pensó que Google no podía ser tan poco precavido, por lo que concluyó que debía ser una forma especial para reclutar personal y testear si eran capaces de detectar esta vulnerabilidad, por lo que Harris decidió romper la clave DKIM y enviar un correo a cada uno de los fundadores de Google (Sergey Brin y Larry Page) personificando al otro. Harris procuró poner su mail en la dirección de retorno (return-path) del correo que le envió a Brin y Page, además de la dirección de su sitio web en el contenido del mensaje. Tras esperar dos días, notó que la clave DKIM de Google cambió a 2.048 bits y su sitio web comenzó a recibir muchas visitas desde direcciones IP de Google. Harris encontró una vulnerabilidad real en la empresa de Mountain View. Tras darse cuenta, Harris verificó que el problema de una clave DKIM débil (de menos de 1.024 bits) se repetía tanto en Yahoo!, Microsoft, Dell, Apple, eBay, Amazon, PayPal, Twitter, SBCGlobal, US Bank, HP, HSBC, y Match.com; quienes en gran parte ya mejoraron actualmente sus normas de seguridad para evitar la suplantación. Fuente: How a Google Headhunter’s E-Mail Unraveled a Massive Net Security Hole (Wired)