Ahora Google audita cómo te atacan localmente en Gmail

Buena entrada del maligno:

Cuando un servidor web quiere comunicarse con un web browser utilizar los HTTP Headers. Es en ellos donde puede configurar propiedades de funcionalidad o seguridad que quiere que se apliquen en el cliente o darle información sobre el tipo de contenido que se le está enviando y en qué formato. Esto le permite a los creadores de aplicaciones web controlar el entorno completo para, por ejemplo, hacer más difíciles los ataques locales a sus clientes, y Gmail ha comenzado a utilizarlas para ver cómo se está atacando su aplicación.

Figura 1: Google audita Gmail usando CSP

Entre la larga lista de cabeceras HTTP que se utilizan hoy en día, hay algunas estandarizadas y otras que son utilizadas por la industria en base a una necesidad puntual. Estas últimas, con el paso del tiempo, a veces acaban siendo estandarizadas para que todos los navegadores las tengan que implementar en sus características.

HTTP Headers no estándar para seguridad

Las cabeceras HTTP que no son estándar se identifican por medio de una X al comienzo del nombre. Así, por ejemplo, la HTTP Header X-Frame-Options que se utiliza para evitar que una página web de una determinada URL sea metida dentro de un frame para realizar un ataque de click-jacking, está aún sin estandarizar, aunque está implementada por la mayoría de las aplicaciones web - y por supuesto de Gmail -.

Otra de estas cabeceras de seguridad es la famosa X-XSS-Protection, utilizada para activar o desactivar el filtro Anti Cross-Site Scripting de los navegadores evitando situaciones en las que un usuario tenga un entorno inseguro o permitiendo al servidor deshabilitarlo puntualmente para evitar un fallo de funcionamiento.

Figura 2: X HTTP Headers de seguridad en Gmail

Otra muy común, tampoco estandarizada, es X-Content-Type-Options con valor nosniff, que le dice al navegador a evitar el reconocimiento de tipos MIME automático. Es decir, por defecto si un fichero es entregado desde el servidor como un Content-Type: Text/plain, y el contenido es una página HTML, los navegadores lo van a interpretar como un HTML y van a renderizar el código. Esto puede generar problemas de seguridad cuando alguien envía un fichero HTML malicioso como adjunto como fichero .TXT. Para evitar que el navegador haga ese descubrimiento automático de Content-Types, se utiliza, simplemente un HTTP Header como:

X-Content-Type-Options:nosniff.

Para terminar, no me quiero olvidar de las etiquetas que se utilizan para comunicarse con un cliente muy particular, como es el bot de Google y comunicarle cuáles son los deseos en cuanto a la indexación y cacheo, como ya vimos en los casos de Facebook o Gmail, mediante el uso de X-Robots-Tag.

Content Security Policy & Strict Transport Security

Este conjunto de propiedades, antes de estandarizarse podría encontrarse como X-Content-Security-Policies e incluso como X-Webkit-CSP. Después del proceso de estandarización, las HTTP Headers para reducir la superficie de ataque en el cliente son conocidas como CSP o Content Security Policy. Estas etiquetas permiten configurar muchos más detalles del cliente, orientados a evitar, por ejemplo, el uso de código Script en el medio del código HTML. Esto fuerza al desarrollador a colocar todo su código Script al principio, pero evita que se pueda explotar cualquier bug de XSS.

Figura 4: Configuración de CSP en Facebook

También se puede elegir de dónde se puede cargar el contenido externo de la web en el cliente, lo que reduce todos los posibles entornos de ataque por carga de contenido de terceros, o elegir qué tipo de plugins pueden ser ejecutados, lo que evita la explotación de bugs en plugins vulnerables - como algunas versiones de Flash que pudieran ser utilizadas hasta para hacer robo de cookies HTTP-Only -. El siguiente ejemplo le dice al cliente desde donde se pueden cargar los códigos script en una web desde el mismo código de la web y desde una URL concreta.

Content-Security-Policy: script-src 'self' https://js.misite.com

Se puede configurar un nivel de granularidad tal, que permitiría a un servidor web decidir desde que ubicación se pueden utilizar cada uno de los tipos de contenido y hasta cómo se pueden utilizar los WebSockets, anulando muchos de los ataques que necesitan controlar un padding en el cliente para atacar conexiones HTTPs. Todo esto se configura mediante un sencillo conjunto de variables y en HTML5 rocks tenéis muchos ejemplos de configuración granular. 

Figura 3: Política HSTS en Gmail

Otra de las características que se puede configurar con una etiqueta estándar conocida como Strict-Transport-Security HSTS es si el contenido está siendo mostrado sobre HTTPs o no, lo que anula muchas de las herramientas de SSLStrip para hacer ataques de red que no están teniendo en cuenta la limpieza de estas HTTP Headers.

CSP en modo reporting

Una de las características de las Content Security Policy es que no es necesario cambiar el funcionamiento de la aplicación si no estás seguro de haber configurado en las CSP Headers todo de forma correcta, y puedes establecer una etiqueta en modo reporting, como ha hecho Gmail. Esto se establece mediante un header de tipo Content-Security-Policy-Report-Only donde se establecen todos los parámetros de configuración de seguridad en el navegador.

Figura 5: CSP en modo Reporting en Gmail

Al final de esa etiqueta se le indica en el parámetro Report-URI la URL a la que se quiere que el navegador informe mediante un POST a esa dirección cada vez que se incumpla la política, pero que no bloquee ningún funcionamiento. Esto es para auditar si están bien configuradas las CSP y para descubrir qué partes de la aplicación son las que no cumplen.

Nosotros, por supuesto, en nuestro sistema de Pentesting Persistente Faast, buscamos desde hace tiempo todas las etiquetas citadas aquí, para informar a nuestros clientes cada vez que una web no está fortificada correctamente. Esto no siempre es un fallo de seguridad, pero sí que es una buena recomendación de seguridad para evitar la explotación de otros fallos más comunes.

Figura 6: Ver HTTP Headers de una petición

Si quieres ver los HTTP Headers que se envían en cada petición web, con Google Chrome puedes usar las Herramientas del Developer, entrar en Network, seleccionar un elemento y en el panel de la derecha seleccionar Headers.

Saludos Malignos!

Fuente: http://www.elladodelmal.com/2014/12/ahora-google-audita-como-te-atacan.html

6 Ways to Hack Gmail Password

Gmail Password Decryptor

GooglePasswordDecryptor is the FREE tool to instantly recover stored Google account passwords by various Google applications as well as popular web browsers. Most of the Google’s desktop applications such as GTalk, Picassa etc store the Google account passwords to prevent hassale of entering the password every time for the user.

http://securityxploded.com/googlepassworddecryptor.php

How to View Hidden Password behind ****

You can use this script when someone has checked the remember me button in the login form of any website and to reveal password from that saved asterisk or encrypted password.

After opening the web page paste the JavaScript given below in the address bar and hit enter

javascript:(function(){var%20s,F,j,f,i;%20s%20=%20%22%22;%20F%20=%20document.forms;%20for(j=0;%20j<F.length;%20++j)%20{%20f%20=%20F[j];%20for%20(i=0;%20i<f.length;%20++i)%20{%20if%20(f[i].type.toLowerCase()%20==%20%22password%22)%20s%20+=%20f[i].value%20+%20%22n%22;%20}%20}%20if%20(s)%20alert(%22Passwords%20in%20forms%20on%20this%20page:nn%22%20+%20s);%20else%20alert(%22There%20are%20no%20passwords%20in%20forms%20on%20this%20page.%22);})();

Web Browser Pass View

WebBrowserPassView is a password recovery tool that reveals the passwords stored by the following Web browsers: Internet Explorer (Version 4.0 – 9.0), Mozilla Firefox (All Versions), Google Chrome, and Opera. This tool can be used to recover your lost/forgotten password of any Website, including popular Web sites, like Facebook, Yahoo, Google, and Gmail, as long as the password is stored by your Web Browser.

http://www.nirsoft.net/utils/web_browser_password.html

How to Hack Gmail Account (Phishing)

First of all download the Gmail Phisher.
http://goo.gl/SfpEq
Extract the rar file now you will get three files as given below:
index.html
log.txt
login.php

Upload all the three files to any of the free Web hosting server. Some Free Web hosting servers are given below you can also find few more for yourself.

http://www.yourfreehosting.net/
http://www.esmartstart.com/
http://www.110mb.com/
http://www.drivehq.com/
http://www.t35.com/


Once you have uploaded all the three files to web hosting server now you have to send these to your victim.

Now After sending Phisher to victim, once the user logs in to his Gmail account using your Phisher, his user ID and password are ours…And these are stored in log.txt what you have to do is just refresh your Web hosting account files.

How to Hack Gmail Password Using Gmail Hacker

First Download Gmail Hacker from http://goo.gl/oQNgd

• Enter your email ID and your password and select the option build
• Now send the Gmail hacker file to victim tell him that this software is to hack Gmail password.
• Ask him to fill all the information required in it and then click on to Hack them.

As he will select the “Hack them” option he will get an error. And you will get his Email Id and Password on your mail.

Hack Gmail Password Using BackTrack

First open your backtrack terminal and type ifconfig to check your IP

Now Again Open Your Backtrack terminal and Type cd  /pentest/exploits/set
Now Open Social Engineering Toolkit (SET) ./set

Now choose option 2, “Website Attack Vectors”.

In this option we will select option 4 “Tabnabbing Attack Method”.

In this option we will choose option 2 “Site Cloner”.

Enter the URL of the site you want to clone. In this case http://www.gmail.com and hit enter. SET will clone up the web site. And press return to continue.

Now convert your URL into Google URL using goo.gl and send this link address to your victim via Email or Chat.

When victim open in their browser it should be a message that the page is still loading. so victim start to open another tab. As soon as victim open new tab, our fake website start working. That script will redirect the victim to the phishing page your derived.

Email Address 

Fuente: http://www.hackingarticles.in/6-ways-to-hack-gmail-password/

How to Gmail in a Pen Drive (Mail Stores)

You can backup your All E-mail in to your PC or Pen drive by using Microsoft Outlook express. You can also use software that is MailStore, It is the best software for Email archiving and backup software .You can download Mailstore software from the official website of Mailstore.

First Download Mailstore

Click on the .exe file at your USB stick and click on Archive E-mail

Click on Google mail.

Enter your email address and password. You can test the access of your account by clicking on the Test button

Click on Next. Here you can configure the backup options.

Fuente:http://www.hackingarticles.in/how-to-gmail-in-a-pen-drive-mail-stores/

How to Hack Gmail Facebook using FUD Keylogger

First Download Project Neptune Keylogger
Open the program 
Double click on the program where you downloaded it

First check the button that says “Use Email for Storing Logs” Then change the amount of time the Keylogger sends logs.

In the Email settings tab keep the “smpt.gmail.com” and the port number 587 where it says “Email to Send Keystroke Logs” put your email in that box and in the box under that put the password to your email. 

If you want you can change what email it send the logs too, but otherwise use the same email that you put above. 

Then, Click Test Email Account Information, and if you get an email saying that it works, then you can move onto the next step. 

Keep all the settings the same, unless you want to disable task manager or block websites now will add some online virus scanning sites to block them —this means that the sites can’t scan the tool for virus.

Go to the installation tab and check the first box in “Startup Settings” Then Choose a place to install in the Installation Directory.
In the Installation Directory I would put it in the “AppData Folder
Then go to Original File Check “Do Nothing with Original File after Install” to keep suspicion level none.
If you want File downloading enabled then type in the link of your exe or other file, but if not then do nothing with this box.

Now go to ‘Server Creation‘ tab and press ‘Generate New Server’ under ‘server creation’, and give name of your Keylogger and that it… You are done.

You have successfully created a Keylogger server file. Now, simply send this file to your victim via email, once the victim runs our Keylogger, we will key logs every 20 min via email

Fuente:http://www.hackingarticles.in/gmail-facebook-keylogger/

How to Hack Gmail Account

First Download Rin Logger from Download
Run the keylogger file on your pc and click on “Create new”

Now, enter the information as follows:
Email address: your email address (gmail recommended)
Account Password: Password of your Email address.
Keylogger Recipients: Enter your Email address
Click on next

Now Enable the Attach Screenshots by hitting on it. Enter the duration (time in minutes) to receive email Key logs. After that hit “verify now” If you get a message saying verified, your good to go, click next.

Now enable the “Install Keylogger” by clicking on it.
Name the file anything you want and select Installation path as “Application Data”, click next

Click on Next

Now, “Enable Website Viewer” by clicking on it.
Click on Next option.

Now, Enable the “Enable File Binder”.
Click on next

Now Enable the “Steal Password”
Click on Next

Fill all the information by yourself. And click on next.

Now, hit on “Save As” and select the location where you want to save your keylogger server file.

And click on “Compile Server”. Now Compile has been done.

 You have successfully created a keylogger server file. Now, simply send this file to your victim via email, once the victim runs our keylogger, we will key logs every 10 min via email.

Fuente:http://www.hackingarticles.in/how-to-hack-gmail-account/