A raíz, de la publicación de la extensión firesheep, los populares
servicios web, facebook y twitter, se apresuraron a proteger sus
servicios frente al Hijacking.
A continuación, explico como funciona esta extensión y como podemos protegernos.
¿Qué es Hijacking?
A continuación, explico como funciona esta extensión y como podemos protegernos.
¿Qué es Hijacking?
La técnica de Hijacking, consiste en robar el identificador único
de sesión que un servidor web asigna a cada usuario cuando accede a la
página web, en concreto cuando introduce el binomio usuario/contraseña.
Una vez el usuario realiza el inicio de sesión, el servidor envia una
respuesta al navegador, en forma de cookie, con el identificador
de sesión y los datos necesarios para que el servidor lleve el control
del usuario autorizado. Esta cookie será utilizado por el navegador en
sucesivas visitas y peticiones de páginas web, mientras éste se
encuentre conectado al servicio.
Una cookie es un fragmento de información que se almacena en el disco duro del visitante de una página web a través de su modo a petición del servidor de la página. Esto permite al servidor llevar el control de los usuarios que visitan la página web. Algunos agentes maliciosos utilizan estan cookies para recoger información sobre los hábitos del usuarios, pero eso es otro tema a tratar en otro artículo.
Un atacante, mediante esta técnica podría acceder a la cuenta del
usuario victima sin necesidad de introducir el nombre de usuario y
contraseña; Pues habría capturado la cookie de sesión, suplantando la
identidad del mismo en el navegador; Es decir, a todos los efectos, para
el servidor web el atacante será un usuario autorizado, dejandole
acceder por completo a la información de la cuenta del usuario que ha
sido "Hijackeado".
¿Cómo funciona firesheep?
Se instala la extensión en el navegador, con la posibilidad de realizar
el robo de sesiones (hikacking) a tan solo un click del ratón. La
herramienta viene configurada por defecto para robar las sesiones de
multiples redes sociales entre las que se encuentran facebook y twitter.
Es especialmente "peligrosa" en redes wifi públicas y abiertas, como por ejemplo: aeropuertos, cafeterías, hospitales, universidades y otros edificios públicos.
El funcionamiento es el siguiente:
Un posible atacante (hombre de negro) con firesheep instalado se conecta a una red wifi pública y abierta, la aplicación firesheep comienza a capturar todo el tráfico de red que circula por la red wifi extrayendo las "cookies" de los servicios facebook y twitter (tal y como se muestra en la imagen). Todos los usuarios son capturados salvo uno de ellos, que en el siguiente apartado explicamos ¿porque no?.
Detalle técnico:
Firesheep es una extensión que necesita instalar las librerías Winpcap para que funcione sobre Windows, además de necesitar permisos de Administrador en Windows Vista o superior. Ya que utiliza la característica de monitoring (modo promiscuo) de la tarjeta de red para escuchar todo el tráfico que circula por el medio al cuál se encuentra conectado. En nuestro caso, una red inalámbrica.
El proyecto firesheep fue abandonado por sus creadores, y solo es
posible instalarlo en la versión 3.x de Firefox. No obstante,
recientemente el laboratorio Acatel-Lucent Bell, ha publicado un paper
titulado Show Me Your Cookie And I Will Tell You Who You Are (Muestrame tus cookies y te diré quien eres)
explica toda la información que puede ser extraída de nuestras cookies
de session en google. Este laboratorio ha retomado el proyecto de
firesheep incluyen la capacidad de capturas las Cookies de sesión de
Google.
¿Cómo protegernos?
Esta técnica, hijacking, así como la extensión firesheep es inútil
cuando se cifra la conexión de extremo a extremo, es decir utillizando
HTTPS.
Recomendación: Activar la navegación segura (HTTPS) en el servicio para la utilice siempre y por defecto.
De hecho, si disponéis de una cuenta en facebook, en el menu de configuración puede configurarse para que por defecto se utilice HTTPS para todas las comunicaciones con el servicio.
Para proteger facebook de esta herramienta debeís de ir a configuración de la cuenta, en el menú de Seguridad, activar la "Navegación Segura".
 |
| Activar Navegación Segura en Facebook. |
Para proteger vuestra cuenta de twitter, ir a configuracion de cuenta, y hacia el final, Activar el HTTPS.
 |
| Activar Navegación Segura en Twitter. |
Utilizar la navegación segura (HTTPS), nos permite protegernos frente a
las técnicas de hijacking, y la captura de información sensible cuando
se utilicen redes wifi públicas y desprotegidas. Siendo recomendable, utilizarlo siempre independientemente de la seguridad de la red a la que estés conectado.
¿Se puede detectar Firesheep?
Ahora que estas protegido, configurando los servicios web para la
navegación segura (HTTPS), surge una pregunta ¿Podemos saber si alguién
esta utilizando Firesheep en una red wifi pública y abierta? La respuesta es SI.
Existe una extensión de Firefox, Blacksheep
basada en el código fuente de Firesheep. Esta extensión (add-ons) es
capaz de detectar si alguién esta utilizando Firesheep, para ello cada X
minutos configurables (5 min por defecto) simulará conexiones HTTP con
datos falsos a los sitios que Firesheep es capaz de manejar. De esta
forma blacksheep rastreará la red a la que nos encontramos conectados
en busca de indicios y trazas de intentos de conexión de firesheep
utilizando los valores falsos simulados por blacksheep.
En el caso de que sea detectado, la extensión nos alertará de que efectivamente existe alguién ejecutando Firesheep.
Conclusiones
Siempre que sea posible se debe de utilizar y/o configurar el servicio
web que utlizamos para que se posible el acceso con navegación segura
(HTTPS).
Descargas:
Extensión Firesheep
Extensión Blacksheep
Referencias:
Firesheep
Extensión firesheep, hackear cuentas de facebook a un click en GenBeta.es
Novedades en Firesheep en Dragonjar.org
NOTA:
El contenido de este artículo es meramente informativo, no me hago responsable del uso que de él se pueda hacer.
Fuente:
http://www.seguridadparatodos.es/2011/09/firesheep-http-session-hijacking.html
Links de interés:
http://www.el-palomo.com/2012/05/session-hijacking-secuestro-de-sesiones-va-droidsheep/ --> Tutorial
http://www.technosavvypr.net/tag/http-session-hijacking-attacks/
https://github.com/codebutler/firesheep/downloads --Descarga
https://support.microsoft.com/kb/2647902/es --Contramedida
http://www.oni.escuelas.edu.ar/2009/ENTRE_RIOS/1457/hijacking.htm --Conceptos básicos
No hay comentarios:
Publicar un comentario