jueves, 28 de octubre de 2010

Firesheep, plugin para firefox posibilita el “hacking de un clic”

Buenas a todos, en la Toorcon celebrada los pasados días 20, 21 y 22 de Octubre en San Diego, se presentó un nuevo juguete en forma de extensión para Firefox llamado Firesheep. Esta nueva extensión permite hacer Session Sidejacking de manera automática, abriéndonos en las pestañas de firefox todas las sesiones abiertas de los usuarios que haya conectados en nuestra red. Es decir, imaginaros por ejemplo que estamos conectados a la Wifi de un vecino y tenemos instalado tanto Firesheep como Winpcap (en el caso de Windows, al igual que haríamos con Caín, Wireshark, etc. para poner nuestra tarjeta de red en modo promiscuo y recibir paquetes de red) y nuestro vecino tiene el Facebook, Twitter, Tuenti, Gmail, Hotmail y un largo etc. abiertos, con un solo clic estaremos viendo casi toda su vida a través de nuestro navegador sin necesidad de tener ningún conocimiento de seguridad.

Para los que no conozcan en que consiste el Sidejacking, se puede resumir como una técnica que permite esnifar cookies y reemplazarlas en los sitios web suplantando la identidad de la victima.

Una solución podría ser conectarse a los sitios web por https, por ejemplo usando otra extensión de Firefox, Force-TLS, que fuerza la conexión de manera segura.

A continuación os dejo algunas capturas de Firesheep:


Saludos!

No hay comentarios: