miércoles, 27 de octubre de 2010

Robando sesiones (e identidades) con Firesheep

Firesheep, es una herramienta que podría ser utilizada para robar identidades según las propias palabras de su autor Codebutler. La herramienta, que fue presentada en la última Toorcon 12 en San Diego, permite capturar tráfico de una gran cantidad de sitios web que envían el datos sin cifrar.

Una vez instalada la extensión en Firefox (Mac OS y Windows), Firesheep permite el robo de credenciales de los siguientes sitios:


Como explica Codebutler en su presentación una vez capturadas las Cookies y las sesiones del usuario, sería posible hacerse pasar por el mismo (Session Hijacking).

Solución: olvidarse del Wifi gratuito, cifrar todo el tráfico end-to-end y exigir SSL en todas partes, o probar la siguiente alternativa.

Ante esto es importante protegerse y como Firesheep toma ventaja del hecho que la mayoría de redes sociales utilizan el protocolo HTTP por defecto (en vez del HTTPS que es más seguro), existe una extensión llamada Force-TLS que fuerza a usar HTTPS, haciendo que las cookies sean invisibles a Firesheep.

Descarguen Force-TLS desde aquí y verán en su barra de herramientas en Firefox, la opción para activar o desactivar la extensión. Lo que sí tienen qué hacer es agregar los sitios web donde quieran activar el protocolo HTTPS. No hay mayor complicación en su uso.



Saludos!

No hay comentarios: