lunes, 1 de noviembre de 2010

Como protegerse del robo de sesiones en tu red WiFi


Firesheep0.jpg


Hace 3 días se publicó Firesheep, una extensión para Firefox que facilita el robo de sesiones en redes WiFi no cifradas, en realidad la herramienta no hace más que automatizar el proceso de explotar esa vulnerabilidad que es conocida desde hace mucho.


FireSheep sin duda nos muestra lo sencillo que es apoderarse de una sesión de cualquier página web que no utilice ningún tipo de cifrado para proteger a sus usuarios.


Por ejemplo, si compartimos una red local mediante un accesspoint, o en el aeropuerto donde ofrecen hotspots gratuitos, y se nos ocurre acceder a nuestras cuentas de... por ejemplo Facebook sin utilizar SSL, un atacante con Firesheep puede fácilmente apoderarse de nuestra sesión y estar observando todo lo que nosotros vemos como usuarios loggeados.


Es alarmante que sitios tan utilizados como Facebook, Twitter, y muchos otros no estén utilizando SSL por defecto, a pesar de que cuentan con esa tecnología. Muy por el contrario Google desde hace mucho que promueve el uso de SSL.


Si todavía no entiendes de lo que estoy hablando, aquí va un ejemplo:


Instalé Firesheep en Firefox (en Windows se nesecita de WinPCAP) y ejecuté el monitoreo de mi conexión.


Firesheep1.jpg


Luego inicié sesión en Facebook utilizando otro navegador, en mi caso utilicé Google Chrome.


Firesheep2.jpg


La captura fue instantánea, y con tan sólo hacer doble clic en ella pude acceder a mi cuenta de Facebook con la sesión iniciada en el otro navegador. Recuerden, Firesheep es una extensión de Firefox.


Lo mismo hice para mi cuenta en Twitter utilizando SSL (https://www.twitter.com/), el sniffer (Firesheep) no detectó mi sesión iniciada, pero una vez iniciada mi sesión en modo SSL, puse en la URL http:// sin "s" y como ya estaba iniciada mi sesión el navegador Chrome accedió normal, ya que en modo SSL o sin eso la sesión ya está iniciada, pero el problema es que cuando accedí de esa manera no protegida, inmediatamente este acceso sin SSL el sniffer detectó mi cuenta de Twitter. No era necesario iniciar sesión, con una existente y abierta Y SIN PROTECCIÓN fue suficiente.


Por otro lado, la conexión segura de Google (gmail) detectó pero no pudo apoderarse, mostrando un error como se ve en la imagen superior.


Lo recomendable para evitar que se apoderen de nuestras cuentas es utilizar en lo posible el cifrado, Facebook la ofrece, Twitter también, y hemos de darnos la tarea para averiguar si otras de nuestras páginas favoritas tengan esa desventaja.


Para poder aplacar el inconveniente, podemos optar por extensiones que realizan la detección automática de SSL en los sitios que visitamos.


Las extensiones que se recomiendan son:


CHROME:


Firesheep3.png


KB SSL Enforcer es una extensión para Google Chrome que detecta SSL en los sitios que vayamos visitando, demora un instante para hacerlo, por lo cual es necesario tener que esperar al menos unos cuantos segundos antes de utilizar el sitio, pasados esos segundos, si SSL es detectado, la extensión automáticamente nos re dirigirá al sitio protegido.


Firesheep4.jpg


Facebook Secure Connection es otra extensión exclusivamente para Facebook, aplica SSL en toda la página, entre ellas las notificaciones, enlaces. Ya que cualquiera de esas características del sitio que utilicen una conexión no segura, permitirá que se exponga la sesión y seamos víctimas de un sniffer.


Firesheep5.jpg


Facebook Disconnect es otra extensión que evita que se acceda a nuestros datos desde otros sitios, tales como sitios de eventos, fanpages, etc.


FIREFOX:


Firesheep6.jpg


HTTPS Everywhere: Es un plugin para Firefox y permite acceder a los siguientes sitios utilizando cifrado:




  • Google Search

  • Wikipedia

  • Twitter

  • Facebook

  • most of Amazon

  • GMX

  • Wordpress.com blogs

  • The New York Times

  • The Washington Post

  • Paypal

  • EFF

  • Tor

  • Ixquick


Todavía está en estado de prueba (beta) pero esperemos que progrese para dar soporte a más sitios. Aunque es posible agregar más mediante su guía de cómo hacerlo.


UTILIZAR VPN/SSH Tunnel: Otra alternativa es utilizar un VPN, ya que permite acceder mediante una conexión cifrada, existen varios servicios de pago y otros gratuitos, éstos últimos por lo mismo que son gratuitos generan desconfianza.


SSH Tunneling es utilizado para poder administrar redes mediante acceso remoto, la misma que también se puede utilizar para reenviar el tráfico cifrado a un host confiable y desde ahí poder enviar los datos.


Sin duda el lanzamiento de Firesheep sirve para poder en tapete este problema que no se soluciona hasta estos días, la privacidad y seguridad en redes inalámbricas, a pesar de contar con cifrados de comunicación tales como WPA2 PSK AES, etc... esperemos que tomen medidas para corregir este grave problema.


A pesar de ser un problema de redes de área local, la utilización de redes inalámbricas se está masificando y ello conlleva exponer a los usuarios a este tipo de ataques.