Entradas ‘Facebook’

Lobos con piel de cordero

02/ 12/ 10
http://www.flickr.com/photos/powerbooktrance/289992273/sizes/l/

Imagínate la siguiente situación:

Sales del Hospital después de dar el cambio de guardia y tienes el día libre. Decides coger tu pequeño portátil (pesa tan poco que lo llevas a cualquier sitio) y te diriges a tu cafetería favorita a tomar un desayuno imperial. Mientras te colocan tu café mediano rebosante de espuma, tu zumo de naranja recién exprimido y un croissant (de Camilo de Blas a ser posible) a la plancha, enciendes el ordenador y te conectas a la red Wifi local. Te fijas en las mesas de alrededor y hay un par de chicas con aspecto nórdico usando sus portátiles. Una tiene un Macbook Air de los nuevos de 11 pulgadas. Estos escandinavos si que entienden de calidad de vida. Abres tu correo de Hotmail, lees los últimos mensajes en el Facebook, comentas un par de fotos (tienes que empezar a posar para las fotos, sales siempre con cara de haber bebido) y actualizas tu Twitter: “Comiendo un cruasán, ligando con un par de Erasmus”.

Hasta aquí la situación no parece muy descabellada, ¿verdad?. Ahora imagínate lo siguiente:

Una de tus nuevas amigas nórdicas utiliza Firefox para navegar por internet, y también está usando la red Wifi abierta de la cafetería. No es un experta en informática, pero ha instalado un extensión de Firefox que le recomendó un amigo ingeniero. Este plugin se llama Firesheep, y le permite ver a la izquierda de su pantalla cualquier cuenta de cualquier página a la que se conecte cualquier persona a través de la red Wifi de la cafetería. Cuando tú te conectaste a tu Facebook le apareció tu nombre, y lo mismo sucedió cuando te registraste en Twiter o en Hotmail. Además no sólo le aparece tu nombre y el servicio al que te conectaste, sino que puede aprovechar el rastro que dejaste (cookies) y al pinchar dos veces en tu nombre entrará en cualquiera de estos servicio con tu cuenta personal. Puede leer tu correo, ver tu perfil de Facebook completo e incluso suplantar tu personalidad en Twitter. De hecho mientras le dedicabas miraditas ella leía tu mensaje sobre las Erasmus. Estás triunfando, chaval.
Pensarás que hace falta ser un hacker para hacerte con estos programas, pero la realidad es que sólo necesitas tres clics de ratón para usar Firesheep, el plugin de Firefox que te convierte en el Jack Sparrow de las Wifis públicas.

firesheep por codebutler

¿Y esto lo sabe Facebook? Acabo de ver la peli de la red Social y el chaval parecía muy espabilado.
La vulnerabilidad de tu conexión a través de una red pública no es algo nuevo, pero sí lo es la disponibilidad de un herramienta como Firesheep. Ahora puedes encontrarte un Hacker en cada cafetería, y hay que estar preparado para ello. La clave está en la forma en al que te conectas a un servidor como los de Facebook o Hotmail. En la página de inicio Facebook te solicita tu nombre de usuario y contraseña a través de un protocolo HHTPS, que crea un canal seguro con un cifrado SSL/TLS, lo que lo hace invisible a Firesheep. El problema está en que el resto de conexiones al servidor de Facebook, es decir, cada vez que pinches en un enlace, será a través del protocolo HTTP (sin la s), que es más rápido pero hace que tus datos queden visibles a cualquiera con acceso a la red local. Lo mismo más o menos sucede en Hotmail, Twitter, WordPress, Tuenti… Fireheep puede aprovechar estos datos para suplantar tu acceso en cualquiera de estos servicios.

¿Hay alguna solución? Por lo que hemos leído parece que la clave esta en usar permanentemente SSL. Si usas Gmail (creo que en Google fueron los primeros en tomarse en serio la vulnerabilidad y desde hace meses Gmail lo hace por defecto) puedes activar la opción “Conectarse siempre a través de HTTPS” en la ventana de preferencias. Si quieres extender este tipo de protección a todas tus cuentas de servicios web puedes usar la extensión de Firefox HTTPS-Everywhere. Por supuesto, siempre tienes la opción de no conectarte a servicios sensibles en redes no seguras, o la opción más avanzada de conectarte a través de un túnel VPN.

¿Cómo te ha quedado el cuerpo?