Un nuevo complemento de Firefox permite a “casi cualquier persona” escanear una red Wi-Fi y secuestrar el acceso de otros a Facebook, Twitter y una gran cantidad de otros servicios, advirtió hoy un investigador de seguridad.
El complemento, denominado “Firesheep”, fue lanzado el domingo por Eric Butler, un desarrollador de aplicaciones web independiente con sede en Seattle, en la conferencia de seguridad ToorCon, que tuvo lugar del 22 al 24 de octubre en San Diego.
Butler dijo que creó Firesheep para mostrar el peligro de acceder a sitios web sin cifrar desde puntos públicos de Wi-Fi.
Aunque es común que los sitios cifren los inicios de sesión de los usuarios con HTTPS o SSL, pocos cifran el tráfico real. “Esto deja a la cookie y al usuario vulnerables”, dijo Butler en una publicación en su blog personal. “En una red inalámbrica abierta, las cookies se gritan básicamente por el aire, lo que hace que estos ataques sean extremadamente fáciles”.
Con la cookie de un usuario en la mano, un criminal puede hacer cualquier cosa que el usuario pueda hacer en un sitio, anotó Butler. Entre los sitios que Firesheep puede secuestrar están Facebook, Twitter, Flickr, bit.ly, Google y Amazon.
Butler no respondió a una solicitud de entrevista el lunes.
“Nada de esto es nuevo, la falla ciertamente no lo es”, dijo Richard Wang, gerente estadounidense de SophosLabs, el brazo de investigación de la compañía de seguridad Sophos con sede en Abingdon, Inglaterra. “Pero Firesheep hace que sea tan fácil de descubrir [unencrypted traffic and cookies] que casi cualquiera puede usarlo para escuchar lo que otros están haciendo en los puntos públicos “.
Firesheep agrega una barra lateral al navegador Firefox de Mozilla que muestra cuándo alguien en una red abierta, como la red Wi-Fi de una cafetería, visita un sitio inseguro. “Haga doble clic en alguien [in the sidebar] e instantáneamente inicias sesión como ellos “, dijo Butler en su breve descripción de su complemento.
El complemento parece ser irresistible: desde que Butler publicó Firesheep el domingo, se ha descargado casi 50,000 veces.
Butler creó Firesheep para ilustrar el amplio problema de los sitios no encriptados y las redes públicas. “Los sitios web tienen la responsabilidad de proteger a las personas que dependen de sus servicios”, dijo. “Han estado ignorando esta responsabilidad durante demasiado tiempo, y es hora de que todos exijan una Web más segura. Espero que Firesheep ayude a los usuarios a ganar”.
Wang dijo que tenía esperanzas de que el complemento haría solicitar a más sitios que encripten sus sesiones. “La esperanza aquí es un mayor uso de HTTPS”, dijo. Pero también instó a más redes públicas a proteger a los usuarios, aunque reconoció que la logística, entregando las contraseñas que los usuarios necesitarían para conectarse, sería desalentadora. “Es el viejo argumento de ‘seguridad versus conveniencia'”, señaló.
Los usuarios pueden protegerse, dijo Wang, al negarse a acceder a sitios inseguros mientras están en redes abiertas.
Agregó que las personas que tienen una mayor inclinación técnica podrían confiar en un servidor proxy seguro, tal vez uno que se ejecute en su máquina de trabajo, al que accederían sus computadoras portátiles. “Pero esa no es una solución para el usuario promedio”, admitió Wang.
Firesheep, que funciona con el Windows y las versiones de Mac OS X de Firefox,
se puede descargar de forma gratuita en el sitio de GitHub.
Butler está trabajando en Firesheep para la edición Linux de Firefox.
