Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo protegerse de los ataques Firesheep

[02/11/2010] Los expertos en seguridad sugieren en la actualidad formas en la que los usuarios de Firefox pueden protegerse contra el Firesheep, el nuevo complemento o add-on que permite el acceso de los piratas aficionados a Facebook, Twitter y otros servicios populares.

Firesheep añade una barra lateral en el navegador Mozilla Firefox que muestra cuando alguien en una red abierta -como la red WiFi de un café- visita un sitio inseguro.
Un simple doble clic le permite al hacker un acceso instantáneo a sitios como Twitter y Facebook o bit.ly y Flickr.
Desde que el investigador Eric Butler publicó Firesheep, el complemento ha sido descargado cerca de 220 mil veces.
"Yo estaba en un Petes Coffee hoy, y alguien estaba usando Firesheep", señaló Andrew Storms, director de operaciones de seguridad en nCircle Segurity con sede en San Francisco. "¡Solo había 10 personas allí, y uno la estaba usando!"
Pero los usuarios no están indefensos, Sostienen Storm y otros expertos.
Una de las formas en que pueden protegerse contra los canallas que usan Firesheep es evitar las redes públicas de WiFi que no estén cifradas y disponibles solo con contraseña.
Sin embargo, Ian Gallagher, un ingeniero senior de seguridad en Security Innovation, argumentó que eso arroja al bebé con el agua del baño. Gallagher es uno de los dos investigadores que estrenó Firesheep en una conferencia en San Diego la semana pasada.
"Mientras que el WiFi abierto es el primer terreno de prueba para Firesheep, no es el problema", señaló Gallagher en un post anterior. "No se trata de una vulnerabilidad en WiFi, sino de la falta de seguridad en los sitios que está utilizando".
El WiFi abierto gratuito, no solo está por sentado para muchos, pero ese no es el problema. Existen muchas actividades de bajo riesgo que se pueden hacer en Internet, en un punto de acceso público, incluyendo la lectura de noticias o buscar la dirección de un restaurante cercano.
Así que si se mantiene el WiFi, ¿Qué debe hacer el usuario?
La mejor defensa, indicó Chet Wisniewski, un asesor de seguridad senior para el proveedor de antivirus Sophos, es usar una VPN (red privada virtual) para conectarse en las redes públicas de WiFi en un aeropuerto o una cafetería, por ejemplo.
Mientras que muchos trabajadores de negocios utilizar una VPN para conectarse a la red de sus oficinas cuando están fuera de la empresa, los consumidores suelen carecer de ese tunel seguro hacia Internet.
"Pero hay algunos servicios VPN a los que se puede suscribir por cinco o diez dólares al mes, lo que evitará que alguien corriendo Firesheep secuestre sus sesiones", indicó Wisniewski.
Una VPN encripta todo el tráfico entre una computadora -una computadora portátil en la puerta del aeropuerto, por ejemplo- y la Internet en general, incluyendo los sitios vulnerables a un secuestro de Firesheep. "Es como una buena solución", señaló Wisniewski, "y no es muy diferente, en realidad, que estar usando WiFi cifrado.
Un proveedor, Strong VPN, ofrece sus servicios a precios que van de siete dólares por mes a 55 dólares por año.
Gallagher, sin embargo, advirtió que una VPN no es una solución total. "Es solo empujar el problema hacia ese extremo de VPN o SSH", indicó. "El tráfico será enviado a ese servidor como lo haría cuando salía de su computadora portátil, por lo que cualquier persona que ejecute Firesheep u otras herramientas puede acceder a sus datos de la misma manera."
"Una sugerencia a ciegas de 'utilizar una VPN' no soluciona realmente el problema y solo proporciona una falsa sensación de seguridad", añadió.
Strong VPN no estuvo de acuerdo. "Nuestros servidores están en un centro de datos seguro, así que nadie va a ser capaz de "oler el tráfico que entra o sale", respondió un portavoz de la compañía. "Todo el tráfico de, por ejemplo, su computadora portátil en San Francisco, se cifra cuando se va a uno de nuestros servidores de EE.UU.".
Storms hizo eco de la afirmación de Strong VPN. "Puedo ver [el punto de Gallagher], que una VPN no resuelve el problema de raíz, que está en el extremo del servicio", indicó. "Pero si bien es cierto que el tráfico sería un texto claro cuando sale al servidor VPN para el sitio, es poco probable que alguien fisgonee el tráfico".
Sean Sullivan, asesor de seguridad con F-Secure, recomendó Trust Connect de Comodo como "una VPN solo de nombre". Comodo, un rival de F-Secure, vende el servicio por siete dólares al mes o 50 dólares al año.
Si el objeto está libre, hay opciones también, señaló Wisniewski, Sullivan y Gallagher, quienes señalaron un par de complementos libres de Firefox que obligan al navegador a usar una conexión cifrada cuando tiene acceso a ciertos sitios.
Uno de los complementos de Firefox, HTTPS-Everywhere, ofrecido por la Electronic Frontier Foundation (EFF), solo funciona con una lista definida de sitios, incluyendo Twitter, Facebook, PayPal y el motor de búsqueda de Google.
La otra opción, Force-TLS, sirve para el mismo propósito que la extensión de la EFF, pero permite a los usuarios especificar los sitios en los que se debe reforzar el cifrado.
Sin embargo, otros navegadores, como Internet Explorer de Microsoft y Google Chrome, carecen de complementos similares, dejando a sus usuarios a la intemperie.
"Espero que [Firesheep] impulse a la EFF u otros, tal vez en la comunidad de código abierto, hacia cierto desarrollo adicional [de tales complementos], tal vez Chrome presentará dichas extensiones", indicó Sullivan.
Eso podría tomar meses. Mientras tanto, Sullivan tuvo otra idea. "Un dispositivo MiFi puede cifrar tráfico, así que con uno usted siempre llevará su propio punto de acceso WiFi", señaló.
MiFi no es barato, sin embargo. Verizon, por ejemplo, regala el hardware, pero con tarifas entre 40 y 60 dólares al mes por el acceso a su red 3G.
En última instancia, los movimientos que se hacen para tapar los agujeros que crea Firesheep, solo son tapaderas pasajeros. El elefante en la habitación, señalaron Butler y Gallagher, como defensa de la liberación del complemento, es la falta de cifrado completo. Y solo los sitios y servicios pueden arreglar eso.
"La verdadera historia aquí no es el éxito de Firesheep sino el hecho de que algo así es aún posible", escribió Butler en su blog el martes. "En el futuro, la métrica del éxito Firesheep cambiará pronto de la cantidad de atención que ha generado, hacia el número de sitios que adoptan medidas de seguridad adecuadas. El verdadero éxito será cuando Firesheep ya no funcione en absoluto".
Pero por el momento, incluso los profesionales de la seguridad están preocupados. "Estoy en el aeropuerto ahora mismo",  indicó Wisniewski a Computerworld. "Y me pregunto si alguien está usando Firesheep aquí. Tal vez debería navegar por encima del hombro para ver si alguien lo está corriendo".
Gregg Keizer, Computerworld (US)