Firesheep: Nuestras cuentas de Twitter y Facebook al descubierto

octubre 26, 2010 · de angelbc · en Tecnicismos. ·

La seguridad de nuestros datos en Internet es un problema, pero hasta ayer no era tan evidente que tan grave puede ser esto. A fin de crear un poco de consciencia de que tan problemática es la situación actual, el fin de semana Eric Butler, un programador, publicó una extensión para Firefox llamada Firesheep la cual explota una vulnerabilidad de las redes inalámbricas Wi-Fi abiertas públicas y permite accesar sin problemas las cuentas personales en muchos sitios particularmente Facebook y Twitter, entre muchos otros.

Este video muestra la situación:

Los vídeos de Vodpod ya no están disponibles.

Ante todo quiero aclarar dos cosas antes de que cunda el pánico injustificado:

Esto no pasa con TODAS las redes inalámbricas. Solo en las redes públicas que no requieren password para usarse (Mas sobre esto en un segundo)
Ya existe una solución muy sencilla

Si usas Firefox hay dos extensiones que puedes usar para no tener el menor problema – HTTPS Everywhere y Force-TLS. Esto elimina el problema de raíz y asegura que tus datos no sean vulnerables a Firesheep.

Si usas Chrome existe esta extensión: Force-SSL. Procura instalarla ANTES de meterte a tus cuentas o salte de ellas primero y luego ingresa de nuevo.

Si usas Safari u Opera, mala suerte, al menos hasta ahora.

Ahora la pregunta obligada y que fue la misma que yo me hice cuando leí esto: ¿Esto sucede si uso la Wi-Fi de Starbucks?

Lo estoy confirmando con mis hackermeisters de confianza, pero desafortunadamente parece que si. Al menos creo que cumple los requisitos esenciales para que Firesheep pueda hacer lo suyo. Creo que es prudente asumir que si y usar las extensiones ya mencionadas.

El problema es evidente y serio. El fundamento de esto es que muchos sitios no encriptan la información que enviamos a través de la Red, lo cual la hace muy vulnerable si se usa un red Wi-Fi pública, ya que todo el mundo puede “ver” lo que estamos transmitiendo. En una red doméstica o que tenga passwords para ingresar esto no sucede.

Indudablemente el Sr. Butler cumplió su objetivo. Sus intenciones al hacer esto, como el mismo describe en el post original en su blog, eran claras:

Los sitios web tienen la responsabilidad de proteger a la gente que depende de sus servicios. Han estado ignorando esta responsabilidad demasiado tiempo y es hora de que todos los usuarios exijan una web mas segura. Mi esperanza es que Firesheep ayude a los usuarios a ganar.

El poder encriptar toda la información transmitida implica problemas de varios tipos tanto para los sitios como para los usuarios, pero creo que es claro para todos que las consecuencias de hacer caso omiso de esta situación son infinitamente mas graves.

Sigo escribiendo

¿Tu usas con frecuencia redes públicas? ¿Planeas instalar las extensiones mencionadas?

Links Relevantes

Posts Relacionados

6 Respuestas a “Firesheep: Nuestras cuentas de Twitter y Facebook al descubierto”

Oscar octubre 26, 2010 en 09:09 · · Responder →

mmchas yo que me iba a volver 100% opera, jaja… llegando a casa le instalo las extenciones a mi «netbukk»

pero si usas p.e. twittdeck? es igual de vulnerable que accedan a tus cuentas?
- angelbc octubre 26, 2010 en 09:58 · · Responder →
  
  @Oscar: Esa es la MEJOR pregunta que he escuchado en todo esto. Muy buena observación. Dejame y averiguo porque vale la pena saber eso.
@marcemars octubre 26, 2010 en 16:46 · · Responder →

Asumo que pasa en todos los exploradores, ¿hay extensiones para Chrome?
- angelbc octubre 26, 2010 en 23:09 · · Responder →
  
  Si, de hecho las indico en el post y puedes descargarlas e instalarlas sin problemas. Lee bien las instrucciones, porque hay un par de particulares
Pingback: Tweets that mention Firesheep: Nuestras cuentas de Twitter y Facebook al descubierto | El Ornitorrinco en Linea -- Topsy.com·
Felipe Barousse octubre 27, 2010 en 04:19 · · Responder →

Me permito invadir una vez mas la guarida del Ornitorrinco algunas precisiones a este asunto del Firesheep:

A reserva que de mañana pondre en nuestro sitio web Piensa.com un texto largo y detallado sobre Firesheep, a continuación aclaro algunos puntos mencionados en el post inicial:

Dice: ….vulnerabilidad de las redes inalámbricas Wi-Fi abiertas públicas…

No podemos decir que hay una «vulnerabilidad per se» de las «redes inalámbricas» (o alámbricas) ni de las redes WiFi ni las abiertas o cerradas ni publicas o privadas.

Explico: Esto es una explotación de un problema de transporte de datos en un medio (llamado red). Si esos datos estan ENCRIPTADOS, entonces NO son en términos generales (los datos) vulnerables a ser interceptados «Y» explotados (destaco el «Y» puesto que los bytes podrán ser interceptados por ej. con el Firesheep, pero NO seran legibles al estar encriptados y por ende no se podran usar).
Si NO estan encriptados los datos, SI se pueden interceptar y explotar. Ahora, el medio puede ser inalámbrico o no, público o privado … eso no cambia el grado de «vulnerabilidad» (de los datos).

El secreto para NO tener esa vulnerabilidad en LOS DATOS es que la encripción se haga con una tecnología llamada SSL pero establecida desde tu computadora HASTA el servicio que estes usando en Internet (Facebook, Twitte, etc.) Ojo, estos servicios NO tienen hoy necesariamente una protección con encripción de datos «punto a punto» (de tu PC a sus servidores) y durante TODO el tiempo que estes usando dicho servicio.

Dice: Ya existe una solución muy sencilla.

Considero esta expresión un tanto cuanto engañosa pues no aplica a todos los casos y situaciones. La «solución» puede ser tan sencilla como no tener que hacer nada (si se cumple el requisito de encripción de datos de punto a punto) hasta muy muy muy cara, compleja y costosa (para algún servicio en Internet, como por ejemplo…bancos).

Force-SSL: Algunas extensiones para tu browser como Force-SSL son exclusivamente para su uso con servicios específicos, en este caso Facebook y lo que hace es obligar a tu navegador a usar los servicios de encripción SSL punto a punto que ya tiene Facebook (pero son, digamos, opcionales por decision de ellos mismos). Force-SSL sirve solo para FB, puesto que no todo sitio tiene implementado esto del SSL, al menos no en todas sus páginas, secciones, etc.

Dice: ¿Esto sucede si uso la Wi-Fi de Starbucks?

Primero, NO es un problema de Starbucks (o de cualquier otra red donde te conectes).
¿Puede suceder que te roben tu info con Firesheep si estas en un Sbux y te conectas a algun sitio en Internet?: Hay dos respuestas !!!!
Rotundo SI, siempre y cuando ese sitio al que te conectes no este usando encripción de punto a punto SSL.
«Rotundo NO» (o al menos una muy muy muy remota posibilidad) si el sitio al que te conectas esta usando encripción de datos de punto a punto SSL.

Como ves puede suceder en TODA red y en todo lugar y momento si no hay conexiones o sesiones encriptadas en todo momento a cada uno de los servicios (FB, Twitter, tu banco, Hacienda, etc. etc.) que usas en Internet.

Dice: Creo que es prudente asumir que si y usar las extensiones ya mencionadas.
Si bien, no te hará daño, si puede ser engañoso. Las extensiones mencionadas te ayudan a habilitar la encripción SSL para ciertos sitios solamente, no necesariamente para sitios menos conocidos, tu banco local o web sites sin encripcion SSL. En este último caso de NADA sirven y por ende tus datos son vulnerables ESTES donde ESTES conectado aun con esas extensiones instaladas.

Dice: En una red doméstica o que tenga passwords para ingresar esto no sucede.
Falso. Puede suceder en cualquier red que no tenga encripción de datos. Ya sea la de tu casa o redes privadas. Sin encripción el riesgo esta ahí. Se dice que las redes publicas (un café, etc.) son mas peligrosas en estos casos, simplemente por que hay muchos usuarios, no por que el riesgo técnico sea mayot o menor. La seguridad esta en la encripción de los datos con SSL.

La red que usas te puede estar pidiendo password para a) Enlazar el radio de tu laptop a la red WiFi (permiso de uso de la red inalámbrica) y/o b) te puede pedir usuario y password en una página web pero es para dejarte usar la conexión o salida a Internet como es el caso de Infinitum en Starbucks) pero lo anterior no significa que tu sesión en Facebook, Twitter o cualquier otro sitio o servicio (como email) este encriptada. Si la sesión al servicio no esta encriptada, te pueden robar los datos con algo como Firesheep o cualquier otro programa «espia».

El Sr. Butler si, tal vez cumplió con un objetivo personal e hizo conciencia (una vez mas) del problema de la seguridad en Internet. Sin embargo NO descrubrió el hilo negro. El fenómeno del «hombre espia mirón en medio» es algo muy viejo, muy conocido y frecuentemente explotado con muchos programas, herramientas y técnicas que hacen lo mismo y mas que el Firesheep.

Recomendación final: SENTIDO COMUN. No te conectes a lugares sensibles (tu banco) en sitios públicos de acceso a la red. Si vas a transmitir información confidencial, asegurate de estar usando enlaces y sesiones encriptadas y que te conste que son seguras. Es decir tienes que tener CERTEZA de tu estado de seguridad en la red.

La seguridad es un proceso contínuo de validación y correción de situaciones diversas para lograr una sensación de cierto nivel de certeza en un momento dado. NO es un estado permanente

Quedo a sus ordenes para cualquier comentario adicional sobre éste tema de seguridad, criptografía y procesos seguros en Internet-

Felipe Barousse
http://www.piensa.com