Firesheep, una extensión para el navegador de Mozilla Firefox, permite a sus usuarios acceder a cuentas de diversas páginas como Facebook, Twitter, Windows Live, Flickr, Google, WordPress, Yahoo o Amazon.
Cuando un usuario entra en una de estas páginas, introduce su nombre de usuario y contraseña. Una vez hecho esto, el servidor comprueba si hay una cuenta que concuerde con esos y datos y, de haberla, responde con una 'cookie' que el navegador utilizará en las próximas visitas.
Según explica Eric Butler, su creador, es muy común que los sitios web protejan la contraseña encriptando los datos de acceso iniciales, pero, sin embargo, es muy poco común que encripten lo demás. Esto hace que tanto la 'cookie' como el usuario sean vulnerables.
De este modo, esta extensión permite realizar un 'sidejacking', es decir, suplantar la identidad de un usuario mediante una 'cookie', de modo que puede realizar cualquier acción que el usuario pueda hacer.
"En una red inalámbrica abierta, es básicamente como si se gritasen estas 'cookies', lo que hace que estos ataques sean extremadamente sencillos", explica Butler.
Por ello, este desarrollador de Seattle explica que la única solución efectiva es el protocolo seguro de transferencia de hipertexto (HTTPS) o el protocolo de capa de onexión segura (SSL). "Facebook está constantemente lanzando nuevas características de 'privacidad' en un esfuerzo sin fin para tratar de acallar los gritos de los usuarios descontentos, pero ¿qué sentido tiene esto cuando alguien puede tomar el control de toda una cuenta?", se pregunta Butler.
Por ello, explica, ha lanzado Firesheep, "una extensión diseñada para demostrar como de serio es este problema". Una vez instalada la extensión, aparecerá una nueva barra en el navegador. Al conectarse a una red WiFi abierta y pulsar el botón 'Comenzar a capturar'. En cuanto alguien se conecte a través de esa red a una de las páginas inseguras que conoce Firesheep, su nombre y foto aparecerán en esta nueva barra. Entonces sólo habrá que hacer doble 'clic' en la misma para iniciar sesión como esa persona.
"Las páginas web tienen la responsabilidad de proteger a la gente que depende de sus servicios", asegura Butler. Sin embargo, "han estado ignorando esta responsabilidad demasiado tiempo, y es el momento de que todo el mundo reclame una Red más segura", añade Butler, cuya esperanza es que su extensión "ayude a los usuarios a ganar".
Esta extensión, de código abierto y gratuita, ya está disponible para Windows y Mac OS X y su versión para Linux "está en camino".
No hay comentarios:
Publicar un comentario