Firesheep: Extensión que expone Vulnerabilidades en las Conexiones

Uy que miedo.. mira como estoy temblando! así decía una canción.. medio en broma pero esta noticia no es ninguna broma y si es para temblar. En serio!  Yo no había escuchado hablar de  Firesheep, y saber que existe esta extensión creada por Eric Butler, que aunque la realizó con un buen propósito, como suele suceder para mostrar las vulnerabilidades de la red… aparece gente que la puede mal emplear, debido a que es una forma fácil de robar identidades  de forma fácil. ha dejado en entredicho la seguridad de muchos sitios web.

Esta extensión aprovecha la falta de cifrados al conectarte en una red abierta para hacer uso de la cookie asignada y poder entrar a la cuenta de Facebook de la persona que se encuentre en tu red en el momento en que tu estás conectado y lo mismo te pueden hacer . En una red cifrada también se puede hacer pero es un poco más complicado. Y es que por lo general sólo se cifra el nombre de usuario pero no de la contraseña a pesar de que tienen que coincidir ambos datos. La cookie que se envía para  entrar en este caso al sitio de Facebook  se queda en tu equipo y se usará cada vez que accedas a él. El peligro radica en que esta cookie queda a disposición de cualquier persona que puede acceder a ésta porque no se cifra.

Firesheep hace uso de esa cookie y asi cualquier persona puede entrar a la cuenta que detecte.  Sino vean lops siguientes videos donde se demuestra lo fácil y vulnerable que queda Facebook ( y de hecho yo he visto a algunos usuarios que desde su teléfono saben que  una forma de entrar a Facebook sin problemas es simplemente quitar  la s del código  https de su cuenta.. lo podrían hacer con cuenta de otros!  Vean el siguiente video de la presentación realizada en el ToorCon de San Diego, titulada “Hey, Web 2.0: start protecting user privacy instead of pretending to“ para que les quede claro.

[youtube]http://www.youtube.com/watch?v=eUyrMVkRTlI[/youtube]

Gracias a la creación de esta herramienta también hay  mejoras de parte de algunos servicios como el Hotmail/Live Mail de Microsoft que próximamente va adoptar el cifrado completo para proteger a sus usuarios; los  de Gmail noi se preocupen porque ellos desde enero ofrecen este nivel de seguridad.

¿ Y cómo nos protegemos? A continuación me tomo la libertad de extraer íntegramente el artículo que escribieron en   y securitybydefault donde comentan  que hay dos tipos de protección: parcial y total de acuerdo con tu economía o nivelde conocimientos y hasta el nivel de protección que te interese tener.

Protección parcial

Soluciones que mitigan parcialmente ataques como el de Firesheep:

Herramientas generadoras de ‘ruido’;

• Beneficios: Es una aplicación que inyecta tráfico falso en la red para confundir a Firesheep y entorpecer su labor.
• Desventajas: Si usamos como analogía el cuento del lobo y los tres cerditos, esta sería la casa de paja, fácilmente anulable, solo útil como parte de la estrategia defensiva, no como solución definitiva

[*]FireShepherd

Extensiones para navegadores que ‘fuerzan’ el uso de SSL:

• Beneficios: Permite forzar las conexiones contra los servidores empleando SSL
• Desventajas: No todos los servicios están soportados, se puede conseguir sesiones SSL para Facebook o Twitter pero no para servicios como Tuenti y otros.

[*]HTTPS Everywhere (Firefox)

[*]Force-TLS (Firefox)

[*]KB SSL Enforcer (Chrome)

Extensiones para navegadores que cifran toda la navegación:

• Beneficios: Permite cifrar todo el tráfico de la navegación, protege el tráfico entre tu –> servidor TOR
• Desventajas: Poca fiabilidad en la gestión del extremo final (el servicio TOR), dependes de la buena voluntad de quien ejecuta el servidor TOR

[*]Torbutton (Firefox)

Protección total

Soluciones que ofrecen protección integral:

VPN basada en SSH:

• Beneficios: Protección total de la navegación, permite hacer ‘bypass’ de proxys
• Desventajas: Engorroso de implementar, requiere ‘meter las manos en harina’

[*]How to para configurarlo

VPN con soporte técnico:

• Beneficios: Protección total de la navegación, servicio de VPN con servicio garantizado
• Desventajas: tiene un coste asociado

[*]Witopia

[*]TuVPN

VPN Gratuita:

• Beneficios: Protección total de la navegación
• Desventajas: El servicio se ofrece sin garantías y con limitaciones en cuanto a uso, ideal para uso particular, no para perfiles profesionales

[*]ProXPN

[*]ItsHidden

Como ven, es mejor  prevenir que lamentar! no queremos sufrir robos de identidad o de información, y en el mejor  de los casos, gente troleándomos desde nuestras propias cuentas, sobre todo en lugares con wifi públicas! Yo por si acasi ya descargué la primera opción!

Con información del Blog de EnriqueDans