Una ovejita de fuego asecha en Facebook
Que es el SECUESTRO DE SESIÓN ?
Toda vez que iniciamos sesión en Facebook o cualquier otro sitio que requiere autenticación nuestra computadora envía el nombre de usuario y la contraseña que hemos escrito al sistema de destino. Facebook en este caso.
Los datos viajan encriptados, claro. Malo sería que no. Facebook coteja entonces que el nombre de usuario y la contraseña sean los correctos y, si es así, nos deja pasar. Envía, en ese momento, una cookie (un pequeño archivo de texto que se graba en el disco de nuestra PC) con la que nos identificará durante el tiempo que dure la sesión. Esa cookie también viaja encriptada. Así que parece estar todo bien. Pero no.
Los datos viajan encriptados, claro. Malo sería que no. Facebook coteja entonces que el nombre de usuario y la contraseña sean los correctos y, si es así, nos deja pasar. Envía, en ese momento, una cookie (un pequeño archivo de texto que se graba en el disco de nuestra PC) con la que nos identificará durante el tiempo que dure la sesión. Esa cookie también viaja encriptada. Así que parece estar todo bien. Pero no.
En el caso de los bancos, usted va a notar que la dirección empieza con https durante toda la sesión. Eso significa que los siguientes intercambios de cookies y otros datos también están siendo encriptados entre nuestra computadora y la del banco. ¿Pero qué ocurriría si un sitio sólo cifrara el inicio de sesión y no después? ¿Esa cookie que nos representa ante el servicio viajaría sin protección? Exactamente.
¿Y se intercambia esa cookie más allá del momento de la autenticación? Sí, unas cuantas veces; el sitio necesita ver cada tanto si usted sigue siendo usted. Ups.
¿Representa algún peligro que una cookie de este tipo viaje sin cifrar entre nuestra PC y el sitio Web?
En las conexiones cableadas no compartidas que eran norma hace diez años, no. Pero hoy, con routers inalámbricos y Wi-Fi públicos por doquier, es posible capturar esa cookie en el aire (literalmente) y, con esto, un pirata puede presentarse ante el servidor como si fuera usted, algo que se conoce como secuestro de sesión . Una vez impostada nuestra identidad, si quiere robarnos la cuenta sólo tiene que entrar en la configuración, cambiar la contraseña, y adiós.
Está bien, no es fácil secuestrar sesiones, se necesita bastante conocimiento técnico, pero es perfectamente posible. La mala noticia es que la mayoría de los sitios que requieren inicio de sesión funciona de esta manera. Pero espere. Hay una noticia todavía peor.
A fines de octubre último se conoció la existencia de una extensión para el navegador Firefox que permite robar cuentas de Facebook, Twitter y otros populares sitios Web con un doble clic. Sin saber nada. Sin más necesidad que instalar un par de programas. Se llama Firesheep y al cierre de esta edición había sido descargado más de 1.200.000 veces. Su creador, Eric Butler, asegura haber lanzado este programa para advertir sobre el riesgo de seguridad que significa no usar el protocolo seguro https durante toda la sesión o, al menos, encriptar el intercambio de cookies.
Mis tests habituales de Wi-Fi públicos y el hecho de que la mayoría de los sitios sensibles sigan sin aplicar encriptación completa (o, al menos, de sus cookies ) me indican que tal vez es hora de insistir con el asunto. Es decir, muy a pesar de la intención de Butler, el estado de inseguridad de las conexiones inalámbricas públicas (lo que llamamos hotspots ) y los Wi-Fi caseros, así como la política de muchos sitios de ignorar esta bien conocida vulnerabilidad continúan sin cambios. Firesheep no logró su cometido, pero sigue ahí.El debate y después
"Cuando los hombres eran hombres y escribían sus propios drivers", dijo alguna vez Linus Torvalds, el creador del núcleo de Linux. Luego de la salida del controvertido Firesheep , aquello podría parafrasearse así: "Cuando los hackers eran hackers y secuestraban sesiones a mano". Ahora ya no hace falta. Es tan fácil como hacer doble clic. Es cierto, en muchos países usar Firesheep viola la ley. Pero le garantizo que en la inmensa mayoría de los casos no podrá capturar al aprendiz de pirata ni en once vidas y media.
Cuando me enteré de todo esto hice dos cosas. Publiqué un post con medidas de seguridad en mi blog de lanacion.com ( http://blogs.lanacion.com.ar/freeware/otros/ahora-cualquiera-puede-robar-tu-cuenta-de-facebook-y-twitter-como-protegerse/ ), que actualizo a continuación, y se lo comenté a un amigo que administra sistemas. Si hubiera sido una película, el auricular del teléfono habría quedado colgando del cable mientras mi amigo salía apresuradamente rumbo al cibercafé más cercano. Veinte minutos después me llamó para decirme, horrorizado: "¡Esto funciona! Es un desastre. ¡Funciona, Ariel!"
Por cierto, la movida de Butler es debatible, y cada cual puede opinar al respecto. Pero Firesheep no es el problema. El problema es la forma en que redes sociales y otros sitios donde guardamos información personal operan, y la ligereza con que el tema de la seguridad online suele plantearse. El mensaje es que podemos estar conectados de forma móvil y sin restricciones todo el tiempo. No es así. Ni siquiera cerca.Por qué es riesgoso
Por supuesto, la única forma de entender por qué el sin complicaciones puede ser pasaporte a muchas complicaciones futuras es saber cómo funcionan estas tecnologías.
Las conexiones inalámbricas son cómodas, claro que sí. Lo que nunca nos planteamos es cómo hacen los datos para llegar hasta nuestra notebook en el cibercafé (o en casa, si tenemos un router Wi-Fi). Cables no hay. Así que quedan dos posibilidades: magia o microondas. No hay mucho que pensar.
Se usan microondas, por supuesto, así que los datos viajan por el aire (en realidad, ni siquiera necesitan el aire, pero usted me entiende).
En una red cableada los datos van por un cable. Para robar esa información hay que pinchar el cable o meterse en la red e instalar un programa especial llamado capturador de paquetes o sniffer ; se los llama así porque los datos en la Red viajan en forma de paquetes discretos, eso es todo.
Pero cuando la conexión es inalámbrica hacemos con nuestros datos lo mismo que la radio hace con un concierto de Vivaldi o con el partido de fútbol. Los ponemos en el aire, hacemos broadcasting , de tal forma que la antena del router Wi-Fi las sintonice y las envíe por Internet adonde deben ir. Y viceversa. Cuando solicitamos una página Web, mandamos un mail o hacemos una búsqueda de amigos en Facebook, el router transmite por aire esos datos y la antena de la tarjeta de red de nuestra computadora los capta.
Pero, ¿sólo la antena de nuestra computadora? Oh, no, claro que no. Las microondas son útiles, pero tontas. No eligen adónde ir. Como ocurre con la radio o la TV, todas las antenas alrededor captarán nuestros paquetes. Como no son para ellos, los programas de las computadoras vecinas los descartarán. Pero alcanza con que alguien instale un software para captura de paquetes (un sniffer aéreo) en su notebook para quedarse con una copia de la información que estamos enviando y recibiendo en nuestra compu. Si está encriptada, no la podrá ver. Si no, la idílica imagen de conectarse sin problemas, sin complicaciones, todo fácil, todo cool , se esfuma. Por eso, y no porque les guste gastar dinero, las corporaciones ordenan a sus empleados conectarse siempre, absolutamente siempre, mediante una red privada virtual o VPN (más sobre esto enseguida).
Ahora, encima, está el Firesheep , que pone la captura de paquetes y el secuestro de sesiones al alcance de todo el mundo.Contramedidas
La única forma de protegerse contra este robo de datos aéreo es encriptar nuestra conexión Wi-Fi hogareña, forzar el uso de https durante toda la sesión en los sitios que requieren autenticación o conectarse por medio de una red privada virtual (VPN) cuando estamos en hotspots públicos. Los detalles, a continuación.Encriptar la red Wi-Fi
En casa, y como ya hemos publicado un número de veces , la red debe encriptarse usando WPA o, mejor, WPA2, y colocar una contraseña de al menos (al menos, insisto) 32 caracteres que combine números, mayúsculas, minúsculas y símbolos. De otro modo, también es posible quebrantar esos protocolos de encriptación por medio de fuerza bruta. Nunca use WEP.
Todos los routers modernos ofrecen WPA2 y la configuración es muy sencilla. No le llevará más de media hora leer la documentación y elegir opciones en una bonita interfaz gráfica, generalmente del tipo Web. Algunos tienen un botón que configura la seguridad de forma automática.
¿Y se intercambia esa cookie más allá del momento de la autenticación? Sí, unas cuantas veces; el sitio necesita ver cada tanto si usted sigue siendo usted. Ups.
¿Representa algún peligro que una cookie de este tipo viaje sin cifrar entre nuestra PC y el sitio Web?
En las conexiones cableadas no compartidas que eran norma hace diez años, no. Pero hoy, con routers inalámbricos y Wi-Fi públicos por doquier, es posible capturar esa cookie en el aire (literalmente) y, con esto, un pirata puede presentarse ante el servidor como si fuera usted, algo que se conoce como secuestro de sesión . Una vez impostada nuestra identidad, si quiere robarnos la cuenta sólo tiene que entrar en la configuración, cambiar la contraseña, y adiós.
Está bien, no es fácil secuestrar sesiones, se necesita bastante conocimiento técnico, pero es perfectamente posible. La mala noticia es que la mayoría de los sitios que requieren inicio de sesión funciona de esta manera. Pero espere. Hay una noticia todavía peor.
A fines de octubre último se conoció la existencia de una extensión para el navegador Firefox que permite robar cuentas de Facebook, Twitter y otros populares sitios Web con un doble clic. Sin saber nada. Sin más necesidad que instalar un par de programas. Se llama Firesheep y al cierre de esta edición había sido descargado más de 1.200.000 veces. Su creador, Eric Butler, asegura haber lanzado este programa para advertir sobre el riesgo de seguridad que significa no usar el protocolo seguro https durante toda la sesión o, al menos, encriptar el intercambio de cookies.
Mis tests habituales de Wi-Fi públicos y el hecho de que la mayoría de los sitios sensibles sigan sin aplicar encriptación completa (o, al menos, de sus cookies ) me indican que tal vez es hora de insistir con el asunto. Es decir, muy a pesar de la intención de Butler, el estado de inseguridad de las conexiones inalámbricas públicas (lo que llamamos hotspots ) y los Wi-Fi caseros, así como la política de muchos sitios de ignorar esta bien conocida vulnerabilidad continúan sin cambios. Firesheep no logró su cometido, pero sigue ahí.El debate y después
"Cuando los hombres eran hombres y escribían sus propios drivers", dijo alguna vez Linus Torvalds, el creador del núcleo de Linux. Luego de la salida del controvertido Firesheep , aquello podría parafrasearse así: "Cuando los hackers eran hackers y secuestraban sesiones a mano". Ahora ya no hace falta. Es tan fácil como hacer doble clic. Es cierto, en muchos países usar Firesheep viola la ley. Pero le garantizo que en la inmensa mayoría de los casos no podrá capturar al aprendiz de pirata ni en once vidas y media.
Cuando me enteré de todo esto hice dos cosas. Publiqué un post con medidas de seguridad en mi blog de lanacion.com ( http://blogs.lanacion.com.ar/freeware/otros/ahora-cualquiera-puede-robar-tu-cuenta-de-facebook-y-twitter-como-protegerse/ ), que actualizo a continuación, y se lo comenté a un amigo que administra sistemas. Si hubiera sido una película, el auricular del teléfono habría quedado colgando del cable mientras mi amigo salía apresuradamente rumbo al cibercafé más cercano. Veinte minutos después me llamó para decirme, horrorizado: "¡Esto funciona! Es un desastre. ¡Funciona, Ariel!"
Por cierto, la movida de Butler es debatible, y cada cual puede opinar al respecto. Pero Firesheep no es el problema. El problema es la forma en que redes sociales y otros sitios donde guardamos información personal operan, y la ligereza con que el tema de la seguridad online suele plantearse. El mensaje es que podemos estar conectados de forma móvil y sin restricciones todo el tiempo. No es así. Ni siquiera cerca.Por qué es riesgoso
Por supuesto, la única forma de entender por qué el sin complicaciones puede ser pasaporte a muchas complicaciones futuras es saber cómo funcionan estas tecnologías.
Las conexiones inalámbricas son cómodas, claro que sí. Lo que nunca nos planteamos es cómo hacen los datos para llegar hasta nuestra notebook en el cibercafé (o en casa, si tenemos un router Wi-Fi). Cables no hay. Así que quedan dos posibilidades: magia o microondas. No hay mucho que pensar.
Se usan microondas, por supuesto, así que los datos viajan por el aire (en realidad, ni siquiera necesitan el aire, pero usted me entiende).
En una red cableada los datos van por un cable. Para robar esa información hay que pinchar el cable o meterse en la red e instalar un programa especial llamado capturador de paquetes o sniffer ; se los llama así porque los datos en la Red viajan en forma de paquetes discretos, eso es todo.
Pero cuando la conexión es inalámbrica hacemos con nuestros datos lo mismo que la radio hace con un concierto de Vivaldi o con el partido de fútbol. Los ponemos en el aire, hacemos broadcasting , de tal forma que la antena del router Wi-Fi las sintonice y las envíe por Internet adonde deben ir. Y viceversa. Cuando solicitamos una página Web, mandamos un mail o hacemos una búsqueda de amigos en Facebook, el router transmite por aire esos datos y la antena de la tarjeta de red de nuestra computadora los capta.
Pero, ¿sólo la antena de nuestra computadora? Oh, no, claro que no. Las microondas son útiles, pero tontas. No eligen adónde ir. Como ocurre con la radio o la TV, todas las antenas alrededor captarán nuestros paquetes. Como no son para ellos, los programas de las computadoras vecinas los descartarán. Pero alcanza con que alguien instale un software para captura de paquetes (un sniffer aéreo) en su notebook para quedarse con una copia de la información que estamos enviando y recibiendo en nuestra compu. Si está encriptada, no la podrá ver. Si no, la idílica imagen de conectarse sin problemas, sin complicaciones, todo fácil, todo cool , se esfuma. Por eso, y no porque les guste gastar dinero, las corporaciones ordenan a sus empleados conectarse siempre, absolutamente siempre, mediante una red privada virtual o VPN (más sobre esto enseguida).
Ahora, encima, está el Firesheep , que pone la captura de paquetes y el secuestro de sesiones al alcance de todo el mundo.Contramedidas
La única forma de protegerse contra este robo de datos aéreo es encriptar nuestra conexión Wi-Fi hogareña, forzar el uso de https durante toda la sesión en los sitios que requieren autenticación o conectarse por medio de una red privada virtual (VPN) cuando estamos en hotspots públicos. Los detalles, a continuación.Encriptar la red Wi-Fi
En casa, y como ya hemos publicado un número de veces , la red debe encriptarse usando WPA o, mejor, WPA2, y colocar una contraseña de al menos (al menos, insisto) 32 caracteres que combine números, mayúsculas, minúsculas y símbolos. De otro modo, también es posible quebrantar esos protocolos de encriptación por medio de fuerza bruta. Nunca use WEP.
Todos los routers modernos ofrecen WPA2 y la configuración es muy sencilla. No le llevará más de media hora leer la documentación y elegir opciones en una bonita interfaz gráfica, generalmente del tipo Web. Algunos tienen un botón que configura la seguridad de forma automática.
Ahora bien, como la mayoría de los hotspots públicos están abiertos o la protección con contraseña no es la adecuada, hay que pasar a la siguiente medida de seguridad.Forzar https
Lo más tragicómico de todo el asunto es que muchos de los casi 30 sitios que pueden atacarse con Firesheep ofrecen la posibilidad de usar https todo el tiempo. Facebook y Twitter, por citar dos de los más populares, disponen de esta función. Recuerde, normalmente reservan https para el inicio de sesión y luego vuelven a http . Lo extravagante es que muchos permiten usar https todo el tiempo. No se entiende por qué no implementan el cifrado constante y terminamos con estos riesgos de seguridad.
En fin. Para forzar el uso de https durante toda la sesión hay varias opciones. Una es la extensión Force-TLS para Firefox ( http://forcetls.sidstamm.com y https://addons.mozilla.org/en-US/firefox/addon/force-tls/ ). Force-TLS hace que los sitios que configuremos no vuelvan a usar http . TLS viene de Transport Layer Security y es el sucesor de Secure Sockets Layer (SSL), otra de las tecnologías que se usan para cifrar conexiones por Internet.
La Electronic Frontier Foundation tiene su propia extensión para Firefox para forzar la conexión segura, llamada Https-Everywhere . Se baja de https://www.eff.org/https-everywhere
Los que ya están usando la versión 4.0 de Firefox (que todavía está en Beta) no necesitan agregar nada. El nuevo browser de Mozilla verifica si el sitio provee la función de usar siempre https y la activa. Más fácil, imposible.
Los usuarios de Google Chrome pueden instalar KB SSL Enforcer ( https://chrome.google.com/extensions/detail/flcpelgcagfhfoegekianiofphddckof ), aunque tenía el problema de pasar primero por http antes de moverse al protocolo seguro. Una mejor opción parece ser Use HTTPS , que se baja de aquí: https://chrome.google.com/extensions/detail/kbkgnojednemejclpggpnhlhlhkmfidi
Para Internet Explorer hay un guión para forzar https (sólo en Facebook), pero no estaba disponible para instalarlo al cierre de esta edición, así que no lo pude probar; ni tampoco cambiaría demasiado las cosas, ya que hay otras redes sociales y servicios de correo electrónico vulnerables.Usar una VPN
La única solución completa es la VPN, que crea un túnel encriptado por Internet y, por lo tanto, prima facie, está a salvo de fisgones.
Hay un problema, sin embargo. Las VPN no son fáciles de implementar, excepto que tengamos suficiente conocimiento técnico; se requiere instalar un servidor en una computadora (en casa, en el estudio) o echar mano de un servicio de terceros, gratis o pagos.
Estoy probando clientes y servicios sin cargo (la mayoría basados en OpenVPN ; http://openvpn.net/index.php/open-source.html ) para armar una columna con los básicos de este tema. Uno de los inconvenientes reside en que los servicios de VPN gratis aparecen y desaparecen o andan lento o a veces no funcionan del todo bien. Etcétera. Prometo dedicarle tiempo para ver si existe algo más o menos sencillo de implementar y confiable.
El mensaje, de momento, es: si en la empresa le dan un servicio de VPN, úselo siempre en los Wi-Fi públicos no protegidos por contraseña. Si sabe cómo implementar una VPN personal gratis, hágalo.
De momento, la ovejita de fuego sigue libre y los blancos predilectos son los servicios donde almacenamos información personal. Ante la duda, espere un rato y visite su Facebook, su Live Mail o cualquier otro cuando llegue a su casa.
Lo más tragicómico de todo el asunto es que muchos de los casi 30 sitios que pueden atacarse con Firesheep ofrecen la posibilidad de usar https todo el tiempo. Facebook y Twitter, por citar dos de los más populares, disponen de esta función. Recuerde, normalmente reservan https para el inicio de sesión y luego vuelven a http . Lo extravagante es que muchos permiten usar https todo el tiempo. No se entiende por qué no implementan el cifrado constante y terminamos con estos riesgos de seguridad.
En fin. Para forzar el uso de https durante toda la sesión hay varias opciones. Una es la extensión Force-TLS para Firefox ( http://forcetls.sidstamm.com y https://addons.mozilla.org/en-US/firefox/addon/force-tls/ ). Force-TLS hace que los sitios que configuremos no vuelvan a usar http . TLS viene de Transport Layer Security y es el sucesor de Secure Sockets Layer (SSL), otra de las tecnologías que se usan para cifrar conexiones por Internet.
La Electronic Frontier Foundation tiene su propia extensión para Firefox para forzar la conexión segura, llamada Https-Everywhere . Se baja de https://www.eff.org/https-everywhere
Los que ya están usando la versión 4.0 de Firefox (que todavía está en Beta) no necesitan agregar nada. El nuevo browser de Mozilla verifica si el sitio provee la función de usar siempre https y la activa. Más fácil, imposible.
Los usuarios de Google Chrome pueden instalar KB SSL Enforcer ( https://chrome.google.com/extensions/detail/flcpelgcagfhfoegekianiofphddckof ), aunque tenía el problema de pasar primero por http antes de moverse al protocolo seguro. Una mejor opción parece ser Use HTTPS , que se baja de aquí: https://chrome.google.com/extensions/detail/kbkgnojednemejclpggpnhlhlhkmfidi
Para Internet Explorer hay un guión para forzar https (sólo en Facebook), pero no estaba disponible para instalarlo al cierre de esta edición, así que no lo pude probar; ni tampoco cambiaría demasiado las cosas, ya que hay otras redes sociales y servicios de correo electrónico vulnerables.Usar una VPN
La única solución completa es la VPN, que crea un túnel encriptado por Internet y, por lo tanto, prima facie, está a salvo de fisgones.
Hay un problema, sin embargo. Las VPN no son fáciles de implementar, excepto que tengamos suficiente conocimiento técnico; se requiere instalar un servidor en una computadora (en casa, en el estudio) o echar mano de un servicio de terceros, gratis o pagos.
Estoy probando clientes y servicios sin cargo (la mayoría basados en OpenVPN ; http://openvpn.net/index.php/open-source.html ) para armar una columna con los básicos de este tema. Uno de los inconvenientes reside en que los servicios de VPN gratis aparecen y desaparecen o andan lento o a veces no funcionan del todo bien. Etcétera. Prometo dedicarle tiempo para ver si existe algo más o menos sencillo de implementar y confiable.
El mensaje, de momento, es: si en la empresa le dan un servicio de VPN, úselo siempre en los Wi-Fi públicos no protegidos por contraseña. Si sabe cómo implementar una VPN personal gratis, hágalo.
De momento, la ovejita de fuego sigue libre y los blancos predilectos son los servicios donde almacenamos información personal. Ante la duda, espere un rato y visite su Facebook, su Live Mail o cualquier otro cuando llegue a su casa.
Autor: Ariel Torres
No hay comentarios:
Publicar un comentario