viernes, 29 de octubre de 2010

Mitos y Verdades sobre hackear Hotmail

Hace algunos dias, una buena amiga me hizo una de las preguntas mas escambrosas que cualquier tecnico venezolano se puede enfrentar "Como puedo recuperar la contraseña de Hotmail... ¿Sera que tu la puedes hackear?"

Empecemos por lo básico....

Bueno, en primer lugar, ya el servicio no se llama Hotmail, se llama Windows Live Hotmail (ya que pertenece a los servicios Windows Live). Hotmail como se le denonimo en el lejano 1996. No pertenecia orinalmente a Microsoft. Sino que fue desarrollado Sabeer Bhatia y Jack Smith, esto se la vendieron a Microsoft en 1997, que paso a llamarsse MSN Hotmail, y en el 2005 se pensaba llamarlo Windows Live Mail, a ultima hora por problemas de confusión en los beta-tester decidieron dejarlo como Windows Live Hotmail en el 2007.

Hotmail, fue durante mucho tiempo el cliente web de correo electrónico preferido por muchos países de habla hispana, actualmente se encuentra traducido en 36 idiomas y es utilizado por aproximadamente 270 millones de usuarios a nivel mundial.

¿Que tal ha sido la seguridad en su larga historia?

Los inicios de Hotmail, se pueden considerar como de hacking, ya que se diseño para evitar los filtros y proxy de las empresas. En sus inicios corria en servidores FreeBSD y Solaris, pero con la adquisición de la Microsoft, decidieron mudarlo a servidores Windows 2000.

Durante este proceso de migración, ocurrio unos de los problemas de seguridad mas comentando en la hitoria de la computación web. Debido a un fallo de programación, cualquiera podria entrar a cualquier cuenta de correo electrónico utilizando como  contraseña "eh".

En el 2001, el servicio se pone en peligro por los hackers del equipo que descubrieron que cualquier persona puede iniciar sesión en su cuenta de Hotmail y llamamos mensajes de cualquier otra cuenta de Hotmail por expresa visión del mundo en una dirección URL con usuario de la segunda cuenta y un número de mensaje válido. Fue un ataque tal increíblemente sencillo que en el momento que se ha hecho la revisión, docenas de periódicos y cientos de sitios web publican descripciones exactas permitiendo decenas-de-miles de hackers para ejecutar rampante a través de Hotmail. La vulnerabilidad explotable expuestos millones de cuentas para la manipulación entre 7 y el 31 de agosto de 2001.

Esto han sido una larga lista de exploit que han pasado, desde exploit para conversar en directo por el servicio de Windows Live Messenger, pasando por el de la dirección URL que nos llevaba a un sitio falso de Hotmail, hasta el mas reciente en el que nos invitaba a entrar al album de nuestras vacaciones por Brasil y nos instalaba un archivo que podía tomar nuestra contraseña.

Mito: ¿Puedo recuperar mi contraseña?

Sea por ataque o exploit que infecte una cuenta, en el 90% de los casos tienen el mismo final. El cambio de la contraseña de la victima, en casos mas complejo seria el cambio de de las preguntas de seguridad e inclusive el correo alternativo.

Existe muchas paginas web y programas que prometen que pueden recuperar su contraseña de Hotmail, pues es una gran mentira. La mayoria de estas páginas tratan de utilizar exploit antiguos, que ya se encuentran solventados y no funcionaran (en el mejor de los casos).

En los peores casos, dichos sitios tomaran la contraseña que diste, y la utilizaran para tratar de acceder a cuentas de otros servicios o redes sociales (Facebook, Gmail, Hi5, Twitter, etc) y venderlar al mejor postor (Sistemas de Marketing o Spam).

Mi recomendación, no utilices esos sitios, ya que pones en riesgo tus servicios Windows Live.

Verdades: ¿Puedo recuperar mi contraseña?

Recuperar una contraseña de Hotmail no es tan difícil, inclusive esta a la vista de todo el mundo, el famoso ¿Ha olvidado la contraseña?. Le pedirá su usuario y después le dará 2 opciones, recibir un enlace por un correo alternativo para recuperar la contraseña o, responder unas pregunta de seguridad.

Pero que pasa si por alguna razón no tenemos un correo alternativo o de la pregunta de seguridad olvidamos la repuesta... Existe un tercer método menos conocido...

Pero lo dejaremos con instrucciones precisas para otra oportunidad

No hay comentarios: