banner

Firesheep: HTTP session hijacking attacks


Firesheep es una extensión disponible para Mozilla Firefox, de fácil instalación, que permite demostrar la técnica de Hijacking sobre el protocolo HTTP, es decir, es una funcionalidad que se añade al navegador, en forma de extensión, que permite demostrar la técnica mediante el robo de la sesión de un usuario autenticado en un servicio web, por ejemplo: facebook, twitter, etc.

A raíz, de la publicación de la extensión firesheep, los populares servicios web, facebook y twitter, se apresuraron a proteger sus servicios frente al Hijacking.

A continuación, explico como funciona esta extensión y como podemos protegernos.

¿Qué es Hijacking?

La técnica de Hijacking, consiste en robar el identificador único de sesión que un servidor web asigna a cada usuario cuando accede a la página web, en concreto cuando introduce el binomio usuario/contraseña. Una vez el usuario realiza el inicio de sesión, el servidor envia una respuesta al navegador, en forma de cookie, con el identificador de sesión y los datos necesarios para que el servidor lleve el control del usuario autorizado. Esta cookie será utilizado por el navegador en sucesivas visitas y peticiones de páginas web, mientras éste se encuentre conectado al servicio.

Una cookie es un fragmento de información que se almacena en el disco duro del visitante de una página web a través de su modo a petición del servidor de la página. Esto permite al servidor llevar el control de los usuarios que visitan la página web. Algunos agentes maliciosos utilizan estan cookies para recoger información sobre los hábitos del usuarios, pero eso es otro tema a tratar en otro artículo.

Un atacante, mediante esta técnica podría acceder a la cuenta del usuario victima sin necesidad de introducir el nombre de usuario y contraseña; Pues habría capturado la cookie de sesión, suplantando la identidad del mismo en el navegador; Es decir, a todos los efectos, para el servidor web el atacante será un usuario autorizado, dejandole acceder por completo a la información de la cuenta del usuario que ha sido "Hijackeado".

¿Cómo funciona firesheep?

Se instala la extensión en el navegador, con la posibilidad de realizar el robo de sesiones (hikacking) a tan solo un click del ratón. La herramienta viene configurada por defecto para robar las sesiones de multiples redes sociales entre las que se encuentran facebook y twitter.

Es especialmente "peligrosa" en redes wifi públicas y abiertas, como por ejemplo: aeropuertos, cafeterías, hospitales, universidades y otros edificios públicos.

El funcionamiento es el siguiente:



Un posible atacante (hombre de negro) con firesheep instalado se conecta a una red wifi pública y abierta, la aplicación firesheep comienza a capturar todo el tráfico de red que circula por la red wifi extrayendo las "cookies" de los servicios facebook y twitter (tal y como se muestra en la imagen). Todos los usuarios son capturados salvo uno de ellos, que en el siguiente apartado explicamos ¿porque no?.

Detalle técnico:
Firesheep es una extensión que necesita instalar las librerías Winpcap para que funcione sobre Windows, además de necesitar permisos de Administrador en Windows Vista o superior. Ya que utiliza la característica de monitoring (modo promiscuo) de la tarjeta de red para escuchar todo el tráfico que circula por el medio al cuál se encuentra conectado. En nuestro caso, una red inalámbrica.

El proyecto firesheep fue abandonado por sus creadores, y solo es posible instalarlo en la versión 3.x de Firefox. No obstante, recientemente el laboratorio Acatel-Lucent Bell, ha publicado un paper titulado Show Me Your Cookie And I Will Tell You Who You Are   (Muestrame tus cookies y te diré quien eres) explica toda la información que puede ser extraída de nuestras cookies de session en google. Este laboratorio ha retomado el proyecto de firesheep incluyen la capacidad de capturas las Cookies de sesión de Google.


¿Cómo protegernos?

Esta técnica, hijacking, así como la extensión firesheep es inútil cuando se cifra la conexión de extremo a extremo, es decir utillizando HTTPS. 
Recomendación: Activar la navegación segura (HTTPS) en el servicio para la utilice siempre y por defecto.

De hecho, si disponéis de una cuenta en facebook, en el menu de configuración puede configurarse para que por defecto se utilice HTTPS para todas las comunicaciones con el servicio.
Para proteger facebook de esta herramienta debeís de ir a configuración de la cuenta, en el menú de Seguridad, activar la "Navegación Segura".
Activar Navegación Segura en Facebook.
Para proteger vuestra cuenta de twitter, ir a configuracion de cuenta, y hacia el final, Activar el HTTPS.

Activar Navegación Segura en Twitter.

Utilizar la navegación segura (HTTPS), nos permite protegernos frente a las técnicas de hijacking, y la captura de información sensible cuando se utilicen redes wifi públicas y desprotegidas. Siendo recomendable, utilizarlo siempre independientemente de la seguridad de la red a la que estés conectado.

¿Se puede detectar Firesheep?

Ahora que estas protegido, configurando los servicios web para la navegación segura (HTTPS), surge una pregunta ¿Podemos saber si alguién esta utilizando Firesheep en una red wifi pública y abierta? La respuesta es SI.

Existe una extensión de Firefox, Blacksheep basada en el código fuente de Firesheep. Esta extensión (add-ons) es capaz de detectar si alguién esta utilizando Firesheep, para ello cada X minutos configurables (5 min por defecto) simulará conexiones HTTP con datos falsos a los sitios que Firesheep es capaz de manejar. De esta forma  blacksheep rastreará la red a la que nos encontramos conectados en busca de indicios y trazas de intentos de conexión de firesheep utilizando los valores falsos simulados por blacksheep.

En el caso de que sea detectado, la extensión nos alertará de que efectivamente existe alguién ejecutando Firesheep.

Conclusiones

Siempre que sea posible se debe de utilizar y/o configurar el servicio web que utlizamos para que se posible el acceso con navegación segura (HTTPS). 

Descargas:

Extensión Firesheep
Extensión Blacksheep

Referencias:
Firesheep
Extensión firesheep, hackear cuentas de facebook a un click en GenBeta.es
Novedades en Firesheep en Dragonjar.org

NOTA:
El contenido de este artículo es meramente informativo, no me hago responsable del uso que de él se pueda hacer.

No hay comentarios :

Publicar un comentario en la entrada