Internet es maravilloso, y cada día millones de personas pasan el tiempo navegando, utilizando Google, Gmail, Youtube, Twitter, Facebook, etc. Hay quien compra en eBay o Amazon. Incluso algunos lo utilizan para trabajar, aunque quizás estos casos no sean tan comunes 😉
Como lector de este blog, estás interesado en seguridad y por lo tanto sabes que conectarse a través de una Wi-Fi pública es un deporte de riesgo. Pero también es algo muy útil. ¿Cuántos de vosotros lo habéis hecho en McDonalds, Starbucks, etc.? Sí, yo también 🙂
Como siempre decimos, cualquiera puede estar rastreando el tráfico web y capturar nuestros datos. ¡Incluso hay algunos sitios web que envían la contraseña en texto plano! Sí, increíble pero cierto. En cualquier caso, esta no es la manera habitual de actuar de la mayoría de los sitios web, como los que he mencionado antes. A medida que pasamos más tiempo en estas webs (¿cuántas horas pasas al día en Facebook?), con el fin de mantenernos conectados, una vez validados se crea una cookie con la información de nuestra sesión, así no tenemos que introducir nuestras credenciales una y otra vez.
¿Imaginas qué pasaría si estas cookies fueran enviadas en texto plano, de manera que cualquiera pudiera capturarlas? Sí, podría ser una pesadilla, cualquiera podría capturarlas y reproducirlas en su ordenador para robar nuestra sesión. Bien, esto es algo que pasa TODO EL TIEMPO. Y no es nuevo. Pero sin embargo, para realizar esta operación, el intruso debe ser lo suficientemente inteligente como para rastrear el tráfico, y trabajar con él para robar las cookies. No es difícil, pero no todo el mundo puede hacerlo.
Ahora las malas noticias; hay disponible un complemento para Firefox que puedes instalar para que haga todo esto por ti: rastrear el tráfico, reunir todas las cookies y mostrártelas, con lo que tú sólo tienes que hacer click en ellas para robar la sesión. Fácil, ¿no? Incluso Netkairo, el “chico Mariposa”, sería capaz de hacerlo.
Esto lo mostraron en Toorcon Ian Gallager y Eric Butler, en una charla llamada “Hey Web 2.0: Start protecting user privacy instead of pretending to“ (Hey Web 2.0: Comienza a proteger la privacidad del usuario en lugar de fingirlo). La presentación la puedes ver aquí.
Una captura de pantalla con la aplicación en funcionamiento, con sesiones robadas de Google, Facebook, Twitter y Flickr:
Que no cunda el pánico. Sí, esto es malo, pero se pueden tomar algunas medidas. La mejor solución es usar encriptación SLL en todas las comunicaciones, pero esto tiene que ser apoyado por el lado del servidor, por lo que es algo que no va a suceder (al menos de forma general) en poco tiempo. Mientras tanto, debes utilizar HTTPS Everywere, lo que te obligará a utilizar https para conectarte a la mayoría de sitios web, como Facebook o Twitter.
Lo instalé desde que salió y siempre lo tengo conectado.
Pero la mejor solución en este momento si te conectas a través de una WiFi pública es usar una VPN. Si no puedes, al menos utiliza el HTTPS en todas partes.