Contraseña Facebook [Archivo] - HACK HiSPANO - Foros de seguridad informática y hacking.

Ver la versión completa : Contraseña Facebook

orosius1000

01-04-2012, 12:00

Hola! Soy bastante nuevo en esto del hacking, y el otro dia me descargue el Cain y Abel. Trasteando, aprendi a usar el sniffer, y el ARP. Sniffeando toda mi red, monitoreé el trafico de mi router, y vi que aparecian todas mis conexiones a internet en la pestaña de passwords (me refiero a las conexiones que requerian relleno de formularios... es decir, casi todas).

Las paginas mas cutres ponian mis usernames y contraseñas en texto plano, cosa normal. Y entonces me fije en que tambien salian mi username y contraseña del facebook, solo que estaban encriptados. Dandole vueltas, me ha entrado curiosidad, y miedo. Alguien sabe como estan esos usernames y passwords codificados? Y se podrian desencriptar si alguien sniffea en mi red, o monitorea mi trafico?

hystd

01-04-2012, 12:55

¿Cómo sabes que esos datos capturados se corresponden con tu "username" y tu "contraseña" si estaban encriptados? Facebook no codifica esa información, y envía las credenciales de acceso (usuario y contraseña) por POST en texto plano, tal que así:

lsd=AVoUsKe1&locale=es_ES&email=usuario%40correo.com&pass=clavedelusuario&persistent=1&default_persistent=1&charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2% B4%2C%E6%B0%B4%2C%D0%94%2C%D0%84&timezone=-120&lgnrnd=034310_9UOz&lgnjs=1333276997

Como dije en otro post, fb es vulnerable a un MITM... pronto llegará alguien diciendo que es vulnerable a un phising :D

Un saludo.

orosius1000

01-04-2012, 13:47

Ahmm... Y como has conseguido ese texto? Con un MITM? Me gustaria saber como, y tambien si hay alguna forma de evitarlo, si es tan facil de hacer... :S

hystd

02-04-2012, 00:00

Ese texto se consigue iniciando sesión en facebook. En el ejemplo, iniciando con usuario: [email protected] y clave: clavedelusuario.

Evitarlo no puedes, pues si intentáramos codificar la información que se envía a facebook, éste no sabría cómo decodificarla, pues no implementa ninguna función para ello. La solución... no conectarse a facebook en sitios públicos.

¿Cómo debería facebook solucionar este problema? Pues pagando a entidades tipo Verisign para obtener un certificado firmado, y poder usar SSL, y así poder implementar https en vez de http. Bueno también podría no pagar un certificado, creando el suyo propio sin firmar, pero la usabilidad no sería muy agradable para los usuarios... ya que el navegador mostraría una advertencia que el usuario tendría que aceptar para instalar ese certificado no firmado en su navegador.

Cualquier otra solución basada en codificar del lado del cliente no es segura.

Un saludo.