¿Cómo mi profesor olfateó mi contraseña de Gmail? [cerrado]

Navega tus respuestas
1

Aquí describo el escenario que usé para iniciar sesión en mi cuenta de Gmail.

  1. Se me entregó una computadora portátil con Windows instalada recientemente con Chrome instalado.
  2. Conectado a la red WiFi de mi universidad.
  3. Inicia sesión en Gmail mediante la ventana de incógnito del navegador Chrome.
  4. Salido de Gmail.
  5. Cerré el navegador y se lo entregué a mi profesor para descubrir mi contraseña no guardada.
  6. Y encontró mi contraseña en 15 segundos.

Le aseguro que no se instalaron aplicaciones de registro de teclas y mi profesor se negó a revelar el método que utilizó para descubrir mi contraseña y ahora estoy realmente condenado.

Estoy bastante seguro de que mi profesor no tuvo acceso a la computadora portátil antes y puede hacer este truco en cualquier computadora que esté conectada a la red de nuestra universidad. Y no había rastreadores ni malware en la computadora portátil, ya que he comprobado los servicios que se ejecutan bajo Administrador de tareas.

Solo quiero saber cómo lo hizo. ¿Alguien sabe cómo lo hizo?

Creo que la red de la universidad podría estar usando cookies para rastrear las actividades del usuario y creo que los datos de inicio de sesión se guardan en la Red.

    
pregunta Digin Dominic 25.02.2017 - 08:28
fuente

2 respuestas

3

No estoy completamente seguro, pero creo que cualquier firewall corporativo decente tiene las herramientas para realizar una inspección SSL decente (profunda).

Esto está disponible para los cortafuegos para realizar el control de aplicaciones, análisis antivirus, prevención de fugas de datos, etc.

Básicamente, las conexiones SSL de los clientes pueden enviarse a través del firewall y, a menos que esta "computadora recién instalada" no confíe en los certificados del firewall, parece ser técnicamente posible registrar datos confidenciales en el firewall.

La forma en que HSTS entra en juego con estos basados en proxy no está del todo clara, pero supongo que a menos que OP esté usando una versión legítima reciente de Google Chrome para navegar a gmail.com, sería difícil excluirlo por completo. Posibilidad de "inspección SSL". Incluso si lo hizo, no estoy seguro de que la inspección SSL se pueda deshacer.

En cualquier caso, ya sea que se haga o no a través de un firewall, esto probablemente requerirá que se preinstale un certificado en el almacén de certificados de la PC.

    
respondido por el bnqprv 25.02.2017 - 11:39
fuente
1

Considere la posibilidad de ser víctima de sslstrip + sniffing attack (o también llamado sslstrip2). Si se está conectando a la red inalámbrica de la universidad, tal vez el profesor tenga el control del enrutador (ya MITM), o tal vez tuvo un ataque de envenenamiento ARP (probablemente el primero).

Una vez que se realiza MITM (Man-In-The-Middle), puedes rastrear el tráfico. Si el sitio se sirve mediante SSL (sitios https), debe hacer sslstrip para hacerlo. Si el sitio tiene HSTS (Http Strict Transport Security), el SSL está forzado pero aún puede hacer sslstrip usando la primera solicitud de http sin formato antes de ser redirigido a https. Y si además el sitio es un sitio "famoso", como Facebook, Twitter, Gmail, etc. ... no hay una primera solicitud de http simple, incluso si pides "gmail.com" porque los navegadores modernos tienen una lista de sitios interna. Con este "famoso" los sitios que se conocen utilizando SSL. Entonces, sslstrip estándar es imposible ... pero esa es la razón por la que sslstrip2 existe.

Puede rastrear contraseñas de sitios SSL con HSTS si usa ssltrip +, que está compuesto por un DNS y un PROXY además del sniffing estándar y sslstrip.

El mecanismo de cómo funciona es básicamente "engañar" a la víctima mediante DNS. Cuando la víctima solicita, por ejemplo, "www.gmail.com", lo redirige a otro nombre de dominio que no está en las listas del navegador HSTS. Por lo general, algo como "wwww.gmail.com" < - note el 4 w . Con el DNS y el PROXY, la víctima está accediendo a un Gmail con acceso sslstripped mientras el atacante está haciendo la conexión al sitio SSL real.

Así que no es imposible. Tal vez fuiste víctima de esto. Si desea más información, verifique artículo .

Funciona, lo he probado muchas veces utilizando herramientas como Bettercap (y también hay otras herramientas) que combinan este tipo de Tecnologías todo en uno.

    
respondido por el OscarAkaElvis 25.02.2017 - 10:08
fuente

Lea otras preguntas en las etiquetas

¿Es WPA (2) / AES o algún derivado realmente seguro? ¿Cuál es la mejor configuración para mantener privado mi correo electrónico de atacantes y agencias gubernamentales?