Hola que tal, aquí poniendo un post de emergencia para que no se vea descuidado el blog. Hoy vamos a hablar de Firesheep para entrar en el tema de Hacking, el cual es el tema principal de este blog, la (in)seguridad en la red. Para entrar en tema, explicaré lo básico para entender el funcionamiento de Firesheep.

Cuando intentamos acceder a nuestro correo, ya sea en yahoo, hotmail, gmail o etc etc etc, vemos que la dirección cambia ¿o sea cómo?. Normalmente cuando uno checa el correo en hotmail, va al navegador y pone http://www.hotmail.com acto seguido se nos redirige a una página que empieza así https://login.live.com ¿qué cambió?, bueno si nos fijamos bien, la primer dirección empieza por http y la segunda empieza por https. Este segundo protocolo indica en pocas palabras que estas visitando un sitio con HTTP Seguro ¿y el primer protocolo no es seguro? Bueno, si vamos a ir hablando de seguridad, conforme avancemos en la enseñanza, veremos que ya no hay nada seguro… me explico mejor.

Ejemplo: El usuario a se conecta en la red de la oficina para checar su Facebook, y para poder entrar pone en el navegador http://www.facebook.com ahí pone su login y contraseña, accede a su cuenta y feliz :). Por otro lado en una oficia alejada de los demás compañeros hay alguien a quien le gusta ser un poco curioso, el usuario b, instala Firesheep en su navegador, lo configura y listo, empieza a “cachar” contraseñas de Facebook, MySpace, y demás sitios parecidos.  Ahora el usuario b es capaz de acceder a la cuenta de el usuario a.

¿Tan fácil pueden robar las contraseñas de esos sitios? La respuesta es si, ya que no usan HTTPS, cuando se usa el protocolo HTTP para enviar contraseñas, éstas son enviadas en forma de texto plano que cualquier persona con un sniffer (ya hablaremos de éstos más adelante) puede ver, en este caso no quiero llamar a Firesheep un sniffer ya que se queda corto en cuando a utilidades se refiere, pero para un efecto práctico sirve para robar las contraseñas de sitios como Facebook y MySpace ya que éstos sitios no usan HTTPS.

Ahora, una vez explicado un poco más el tema, vamos, qué es Firesheep. Según su autor Eric Butler es una utilidad para demostrarle a las compañías como Facebook y demás redes sociales, la poca atención que ponen al tema de la seguridad de sus usuarios, y de ésta manera, viendo lo fácil que es robar una contraseña, se pongan las pilas y mejoren la seguridad (jojojojo, esperemos que así sea).

Sin más, aquí dejo el enlace para poder descargarlo, actualmente sólo se encuentra para plataformas Windows y Mac, los que usamos Linux tendremos que esperar un poco más.

http://codebutler.github.com/firesheep/

Anuncios