Nuevo complemento de Firefox “Firesheep” – secuestros Facebook, Twitter sesiones

Un nuevo complemento de Firefox permite a “casi cualquier persona” escanear una red Wi-Fi y secuestrar el acceso de otros a Facebook, Twitter y una gran cantidad de otros servicios, advirti√≥ hoy un investigador de seguridad.

El complemento, denominado “Firesheep”, fue lanzado el domingo por Eric Butler, un desarrollador de aplicaciones web independiente con sede en Seattle, en la conferencia de seguridad ToorCon, que tuvo lugar del 22 al 24 de octubre en San Diego.
Butler dijo que cre√≥ Firesheep para mostrar el peligro de acceder a sitios web sin cifrar desde puntos p√ļblicos de Wi-Fi.
https://7te.org/x1183110402_443_1280_1024/Firefox-wallpaper_1280x1024.jpg
Aunque es com√ļn que los sitios cifren los inicios de sesi√≥n de los usuarios con HTTPS o SSL, pocos cifran el tr√°fico real. “Esto deja a la cookie y al usuario vulnerables”, dijo Butler en una publicaci√≥n en su blog personal. “En una red inal√°mbrica abierta, las cookies se gritan b√°sicamente por el aire, lo que hace que estos ataques sean extremadamente f√°ciles”.
Con la cookie de un usuario en la mano, un criminal puede hacer cualquier cosa que el usuario pueda hacer en un sitio, anotó Butler. Entre los sitios que Firesheep puede secuestrar están Facebook, Twitter, Flickr, bit.ly, Google y Amazon.
Butler no respondió a una solicitud de entrevista el lunes.
“Nada de esto es nuevo, la falla ciertamente no lo es”, dijo Richard Wang, gerente estadounidense de SophosLabs, el brazo de investigaci√≥n de la compa√Ī√≠a de seguridad Sophos con sede en Abingdon, Inglaterra. “Pero Firesheep hace que sea tan f√°cil de descubrir [unencrypted traffic and cookies] que casi cualquiera puede usarlo para escuchar lo que otros est√°n haciendo en los puntos p√ļblicos “.
Firesheep agrega una barra lateral al navegador Firefox de Mozilla que muestra cu√°ndo alguien en una red abierta, como la red Wi-Fi de una cafeter√≠a, visita un sitio inseguro. “Haga doble clic en alguien [in the sidebar] e instant√°neamente inicias sesi√≥n como ellos “, dijo Butler en su breve descripci√≥n de su complemento.
El complemento parece ser irresistible: desde que Butler publicó Firesheep el domingo, se ha descargado casi 50,000 veces.
Butler cre√≥ Firesheep para ilustrar el amplio problema de los sitios no encriptados y las redes p√ļblicas. “Los sitios web tienen la responsabilidad de proteger a las personas que dependen de sus servicios”, dijo. “Han estado ignorando esta responsabilidad durante demasiado tiempo, y es hora de que todos exijan una Web m√°s segura. Espero que Firesheep ayude a los usuarios a ganar”.
Wang dijo que ten√≠a esperanzas de que el complemento har√≠a solicitar a m√°s sitios que encripten sus sesiones. “La esperanza aqu√≠ es un mayor uso de HTTPS”, dijo. Pero tambi√©n inst√≥ a m√°s redes p√ļblicas a proteger a los usuarios, aunque reconoci√≥ que la log√≠stica, entregando las contrase√Īas que los usuarios necesitar√≠an para conectarse, ser√≠a desalentadora. “Es el viejo argumento de ‘seguridad versus conveniencia'”, se√Īal√≥.
Los usuarios pueden protegerse, dijo Wang, al negarse a acceder a sitios inseguros mientras est√°n en redes abiertas.
Agreg√≥ que las personas que tienen una mayor inclinaci√≥n t√©cnica podr√≠an confiar en un servidor proxy seguro, tal vez uno que se ejecute en su m√°quina de trabajo, al que acceder√≠an sus computadoras port√°tiles. “Pero esa no es una soluci√≥n para el usuario promedio”, admiti√≥ Wang.
Firesheep, que funciona con el Windows y las versiones de Mac OS X de Firefox,
se puede descargar de forma gratuita en el sitio de GitHub.
Butler está trabajando en Firesheep para la edición Linux de Firefox.