Nueva extensión para Firefox: Firesheep

La llegada de Firesheep (una extensión de Firefox que automatiza algo que se podía hacer manualmente utilizando Wireshark desde hace años) revolucionó el mundo. Firesheep permite capturar cookies de otras personas esnifeando redes inseguras para luego loguearse en sus cuentas Web. Por ejemplo, me conecto a una red insegura (como una red inalámbrica abierta), luego "pepito" (que se encuentra conectado a la misma red) se loguea en facebook, utilizando Firesheep obtengo la cookie de "pepito" en facebook y a continuación entro a la cuenta de "pepito" en facebook. Así de simple.

El éxito de esta herramienta radica en que basta hacer un par de clics para robar una cuenta Web, algo al alcance de cualquiera, a diferencia de: abrir Wireshark; capturar tráfico de la red insegura; filtrar la captura; copiar el contenido de una cookie; insertar la cookie en el navegador; y finalmente ingresar al sitio.

Debido a esto, creo, va a provocar un caos en las redes inalámbricas abiertas ya que ahora cualquier afiliado al PAMI te hace un session hijacking con 2 clics, que bien :). Aunque por el momento sólo está disponible para Windows y Mac OS, que mal :(

Cabe destacar que esto no es sólo una vulnerabilidad de las redes inalámbricas abiertas, sino que aplica también para las redes cableadas no switcheadas (y switcheadas también, haciendo un previo ataque ARP poisoning).

Pueden ver un video sobre esta herramienta en acción aquí.

Lo más interesante de esta clase de vulnerabilidad es que pone en tela de juicio la seguridad de la llamada """Web 2.0""" y el nivel de adopción de SSL. Un estudio realizado por Digital Society clasificó el nivel de seguridad de los sitios más importantes como Facebook, Google, Twitter, Hotmail, etc. Les recomiendo leer este excelente artículo: Online services security report card. Como siempre, Google a la vanguardia:



Espero que sirva para concientizar, y la próxima vez que se conecten a una red inalámbrica abierta no envíen credenciales sin utilizar HTTPS!

Saludos!

5 comentarios:

Emiliano dijo...

Cabe destacar que Facebook soporta login mediante HTTPS, pero hay que hacerlo manualmente (ingresando https://www.facebook.com). Por defecto envía las credenciales por HTTP.

Es impresionante el impacto que tuvo esta extensión, Microsoft promete implementar SSL en Hotmail durante el curso de este mes:

http://siliconangle.com/blog/2010/11/04/microsoft-promises-fix-to-hotmail-security-this-month/

Lucas Cabral dijo...

Segun lei el desarrollador de tal extension lo hizo a fines didacticos... :-) con el unico objetivo de demostrar cuan vulnerables es la pseuda seguridad...

Creo que esta demas decir que este es un caso menor... pero no cuesta mucho adivinar pass ya que la mayoria instala sus redes con el pass mas debil posible... y ni hablar de los que no ponen restricciones....

En el caso de las empresas utilizan el mismo pass que el username... trae problemas tener una politica de pass fuertes o de caducidad de los mismos...

El acceso fisico a servidores por parte de cualquier persona es lo mas facil que existe... las carpetas compartidas (la unidad C)...

Utilizar las maquinas con permisos de Admin...

y podria ser larga la lista...


y como dice Emilio... si queres ingresar a facebook en el https tenes que hacerlo de forma manual...

No hace falta ser un experto en seguridad para ingresar a cualquier cuenta, unidad o servidor...

como siempre digo buen blog

d3m4s1@d0v1v0 dijo...

Desde que salió esta herramienta encontré todo tipo de publicaciones. Al parecer pegó fuerte porque ahora muchos se están preocupando por mejorar los sistemas de autenticación y el uso de cookies a través de https.
Es increíble que haya tenido q salir una herramienta usable por cualquier persona para que se empiecen a fijar más en la seguridad...
En fin, gracias Emi por comentar la herramienta en el blog!

Emiliano dijo...

Ahora salió una extensión llamada BlackSheep, la cual es una especie de Honeypot para Firesheep. Esta extensión envía session IDs falsos para "pescar" intentos de hijack con Firesheep.

http://www.net-security.org/secworld.php?id=10118

Emiliano dijo...

Recomendable la lectura del artículo de RSnake respecto a este tema: http://ha.ckers.org/blog/20101115/firesheep/

Publicar un comentario