Eric Butler e Ian Gallagher. Ellos han sido los encargados de desarrollar Firesheep, un plugin para Firefox capaz de exponer nuestros datos de usuario de diferentes redes sociales a quien ejecute el complemento, siempre y cuando estemos conectados a una misma red. Da miedo ¿no?

Datos

Desde la aparición de esta herramienta el temor es palpable entre los usuarios de servicios como Facebook o Twitter. Firesheep es capaz de convertir el hackeo de cuentas en un juego de niños, así­ que más vale ponérselo algo más complicado a los ladrones. Aquí­ tienes algunos consejos preventivos.

  • 1. Existen webs que utilizan el protocolo HTTP de forma no cifrada o que vuelven al HTTP tras el logueo SSL. Nuestro objetivo debiera ser tratar de evitar estos sitios, aunque es entendible la complejidad que esto supone, especialmente cuando algunas de las páginas que utilizan estos métodos son Facebook, Amazon, byt.ly, Flickr, Twitter, Foursquare o Google. Si las más grandes están aquí­, imagina que podría hacer Firesheep con otros servicios.
  • Datos
  • 2. Una de las claves para protegernos es evitar la fuga de cookies mediante HTTP. Para ello es necesario que los servidores a los que nos conectamos establezcan indicadores seguros a nuestro navegador para el enví­o de cookies sólo a través de SSL. Dropbox, por ejemplo, es un servicio que no utiliza estos indicadores y que por tanto, podrí­a permitir la fuga de cookies a través de HTTP.
  • 3. Algo tan bésico como cerrar nuestra sesión de usuario cada vez que dejamos de utilizar un servicio web nos puede ahorra muchos disgustos. Algunas webs, cuando nos desconectamos, son capaces de invalidar las cookies de sesión captadas por Firesheep.
  • 4. Tener una conexión a Internet sin cifrar, o utilizar algún punto de acceso abierto es otro factor de riesgo. La encriptación de la red Wi-Fi es fundamental, y el mejor tipo de encriptación con el que puedes contar es WPA-2 Enterprise, aunque es un buen comienzo utilizar WPA2-Personal si no tienes otra opción. WPA-2 Enterprise es capaz de comprobar el certificado 802.1X del servidor, una medida más de seguridad.
  • 5. Utilizar redes Wi-Fi de confianza es la mejor forma de protegernos. En los puntos de acceso públicos, resulta imposible determinar el grado de confianza. Verifica el certificado SSL de los portales a los que accedes y presta atención a las indicaciones de tu navegador.
  • 6. La capacidades de Firesheep no se reducen a redes Wi-Fi. Cualquier red LAN Ethernet también es susceptible de ser atacada. Cualquier conexión que permita a los hackers capturar información no cifrada puede ser un peligro. En raras ocasiones los operadores del servicio ponen las medidas necesarias para evitarlo.
  • Datos
  • 7. Una solución, al menos temporal, es FireShepherd. Esta consola de comandos es capaz de enviar paquetes de datos a la red a la que estamos conectados inhabilitando FireSheep. Lo hace cada medio segundo, lo que al menos disuadirá a un atacante ocasional de seguir con sus juegos.
  • 8. Otra opción es enviar tu tráfico a través de un túnel VPN encriptado. De esta forma podrás encriptar todos tus datos entrantes y salientes mientras utilizas una red pública.

Fuente: eSecurity Planet

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?