Martes, 31 de agosto de 1999
EL
MUNDO
DIARIO
DEL NAVEGANTE
NAVEGANTE
ARIADNA
|
Hotmail, su "seguro" servidor
Las cuentas de correo gratuito de Microsoft estuvieron
totalmente desprotegidas
JUAN
GONZALO
La carta de Hotmail el servicio de correo gratuito de Microsoft
a sus usuarios no podía ser más tranquilizadora:
«Querido cliente: puede que hayan llegado a sus oídos
informaciones publicadas que indican que MSN Hotmail experimentó
en el día de hoy [por el lunes] cuestiones relacionadas
con el servicio y que han generado dudas sobre la seguridad.
El asunto ya ha sido resuelto».
Lo que MSN llama «cuestiones de servicio» es la posibilidad
que hubo, durante al menos 10 horas, de acceder a las más
de 40 millones de cuentas de correo de Hotmail. Ello fue posible
gracias a que un grupo de informáticos denominado Hackers
United decidió aprovechar una vulnerabilidad de los servidores
de Hotmail para permitir el acceso a sus cuentas con tan sólo
teclear el nombre de usuario.
Un portavoz anónimo del grupo, según informó
la agencia Efe, contactó con el diario sueco Aftonbladet
para reivindicar la autoría del programa y avisar de que
ayer volvería a «penetrar Hotmail». Su intención,
según el portavoz, «no es dañar a nadie,
sino demostrar lo catastrófica que es la seguridad de
Microsoft».
Acceso sin clave
El fallo utilizado por este grupo de hackers hacía que
un usuario, al teclear una determinada dirección
web o al introducir el nombre de una cuenta X en un formulario,
accediera directamente, en los servidores de Hotmail, a la página
correspondiente a ese usuario. Desde ahí se podía
leer el correo, enviar mensajes con la identidad suplantada o
borrar mensajes antiguos.
Algunos sitios web especularon con la posibilidad de que el código
en sí fuera una versión modificada del programa
Hotmail Login ID Storage Program, escrito por Michael Nobilio
en 1998. Según declaró a EL MUNDO Elías
Levy, moderador de la lista Bugtraq y ejecutivo de Security Focus,
la táctica empleada «no tiene que ver» con
el código de Nobilio, sino que se trata de «un programa
sin documentar residente en los servidores de Hotmail que parece
haber sido algún tipo de puerta trasera o algún
programa de prueba abandonado por Hotmail». Al parecer,
los autores del programa (reproducido en un web británico
y en otro sueco, según News.com) lograron que el servidor
de Hotmail que debía recibir la petición del navegador
no les pidiera la clave.
En la dirección IP, la que identifica a un ordenador de
cara a una red, parece estar una de las claves del fallo de seguridad,
según la informaciones recogidas por el Aftonbladet.
El portavoz de Hackers United declaró a dicho periódico
que «Hotmail opera dirigido por ocho servidores, y tan
sólo uno de esos servidores exige un código para
alcanzar los buzones electrónicos de sus abonados».
De este modo, según el portavoz, «si uno logra identificar
el número IP de los otros servidores, entonces se puede
entrar y tener acceso a toda la correspondencia electrónica
sin teclear un solo código».
De acuerdo con los testimonios recogidos por el diario nórdico,
la mitad de los miembros del grupo de intrusos son suecos, y
el resto proviene de Estados Unidos, Filipinas, Israel y Noruega.
Hotmail ya fue objeto de controversia en ocasiones anteriores
por los fallos de seguridad descubiertos en febrero de 1998 y
en agosto del mismo año. En esta ocasión, un grupo
de programadores de Canadá descubrió que se podía
captar el nombre del usuario y la contraseña cuando éste
volvía a intentar conectarse con Hotmail tras un error
de conexión.
Para avisar sobre este tipo de fallos, el programador Tom Cervenka
mantiene el sitio Because-We-Can,
que alberga la página titulada Cómo protegerse
de los fallos de seguridad de Hotmail. EL MUNDO le pidió
a Cervenka que confirmara la teoría, esbozada en la Red,
de que la vulnerabilidad de Hotmail podría estar afectada
por su programa denominado Passport, que unifica el acceso a
varios servicios de Microsoft. «Aunque no tengo información
en ese sentido», dijo, «es cierto que «si está
comprometido cualquier servicio (como Hotmail), ello podría
permitirle a una persona acceder a cualquier otro servicio que
use Passport».
Al final, hay que preguntarse, según Elias Levy: «¿Cómo
apareció esta puerta trasera?, ¿se la dejaron olvidada
los ingenieros de Hotmail, o se trata de un punto de acceso dejado
por hackers?». Levy advierte: «Si pasó una
vez, puede volver a ocurrir».
Más información
|
