Firesheep es una extensión para Firefox (Windows, Mac OS X) que nos pone extremadamente fácil algo que ya era posible antes, pero que seguramente no hayas intentado. Estoy hablando de capturar paquetes en una red pública para robar sesiones de terceros. Al instalarla, se pondrá ella sola en la barra lateral a escuchar datos interesantes que le lleguen, y cuando encuentre uno con datos de una sesión nos mostrará su nombre y foto.
Lo escalofriante es que a partir de ahí solo se necesita un doble click para robarnos nuestra cuenta de Google, Facebook, Twitter, Flickr o Windows Live. Este proceso totalmente automatizado es la mejor manera de concienciarnos para solicitar a los servicios importantes que usen siempre conexiones cifradas. Si antes estaba al alcance de alguien con mínimos conocimientos técnicos sobre el tema, ahora cualquiera puede hacerlo.
Para funcionar, esta extensión necesita que estés conectado a una red Wifi pública y abierta, como las que se disfrutan en algunos aeropuertos, cafeterías, hospitales, universidades y otros edificios públicos. Obviamente si no has protegido la red privada de tu casa no sé a qué estás esperando. Esta extensión incluye soporte para casi 30 sitios sociales e incluso permite escribir plugins para añadir los sitios que queramos. Tras probarlo en la red insegura de mi universidad, tengo que decir que funciona espeluznantemente bien.
¿Y qué podemos hacer para evitar que seamos espiados en redes públicas? La mejor solución es no usarlas, pero si estamos en un apuro deberíamos siempre que sea posible las versiones https de las páginas que visitamos. Para facilitarnos un poco más la vida, tenemos otra extensión para Firefox llamada HTTPS Everywhere. Básicamente cuando visitemos un servicio en modo no seguro y sepa que podemos usarlo en modo seguro, nos redirigirá a la versión cifrada. Funciona solo en algunos sitios clave, como Google, Facebook o Twitter.
Actualización: Como comento al inicio del post, la extensión no es compatible por ahora con Linux, solo Windows y Mac. Además, si usamos Windows debemos instalar winpcap.
Vía | TechCrunch
Más información | Codebutler
Descarga | Firesheep
Descarga | HTTPS Everywhere
Ver 60 comentarios
60 comentarios
populus
En un principio iba a quejarme por la publicación de esta noticia, y por ponerlo en conocimiento de todos.
He pensado unos segundos, y me he dado cuenta de que habéis hecho bien en publicarlo. De esta forma cada vez la gente será más consciente de los problemas de privacidad que podemos tener al conectarnos al messenger, Facebook o cualquier otro servicio en una red WiFi, no ya pública, simplemente compartida con otra persona.
Hace tiempo me rompí la cabeza para dar con un método seguro para conectarme al messenger en una red WiFi compartida sin que pudieran vulnerar mi privacidad. Y la verdad es que lo tuve difícil, porque prácticamente todos los clientes, desde diferentes OS (Ahora uso Mac OS X pero también lo probé desde Windows), son fácilmente interceptables. La solución fue simple, pero radical: No usar un cliente de escritorio, y entrar a través de un servicio web -como meebo- SIEMPRE a través de HTTPS. No es infalible, pero al menos creo que es más complicado.
Y ahí viene mi preocupación, relacionada con el tema de hoy, Facebook. Siempre procuro conectarme a través de HTTPS pero extrañamente, cuando entras a otras secciones de FB la URL cambia de HTTPS a HTTP. Y me mosquea de mala manera.
Gracias por la noticia, ahora mismo voy a bajarlo y a autojuanquearme la cuenta, a ver si desde el otro ordenador la puedo pillar, usando HTTP o HTTPS. En función del resultado de la prueba, me conectaré más tranquilamente, o evitaré entrar a Facebook cuando me encuentre fuera.
Víctor, siempre te lo he querido decir, pero nunca se ha dado la ocasión xD: Me encanta tu avatar!
Un saludo, y aunque en este blog comente poco, que sepáis que os sigo de manera bastante asídua.
Refresco Fanta
Lo de usar HTTPS funciona, pero a medias, ya que el Firesheep te puede capturar tambien si entras a otras páginas que usan tu loggin de facebook y twitter para usar sistemas de comentarios y otras cosas, y estas otras páginas no suelen tener ninguna opción de HTTPS.
black_ice
Lo he estado probando desde hace unos días. Y he pillado a un montón de gente en redes públicas muy grandes. Simplemente me he paseado con el portatil y los datos han empezado a fluir. Y por si alguien lo duda FUNCIONA. Es un fallo enorme, pero el problema no son los navegadores sino empresas como Facebook que deben tener una conexión segura el 100% del tiempo que estás mirando la página, y no solo al inicio de sesión. He pillado muchos de Facebook y hotmail. Pero nadie de GMail. Se ve que la conexión es segura por defecto.
Tener en cuenta que la red WiFi debe ser abierta(sin clave, aunque luego te tengas que autenticar clave navegador).
makiaji
Lo acabo de probar en Firefox de Mac, la última versión y funciona perfectamente en el wifi de mi casa. Mientras estaba en el iPad mirando el facebook, en Mozilla me ha aparecido mi cuenta, doble clic y me ha entrado sin ningún tipo de problema.
La verdad, a partir de ahora me lo pensaré 2 veces antes de utilizar redes públicas y meter mis contraseñas sin que sean en sitios con SSL. Como esto caiga en malas manos, que dios nos coja confesados.
planasjoan
La única manera de evitar este plugin es conectándote usando un servicio VPN, he probado varios plugins que se comentan en la noticia original y nada, siempre hay algún momento que te pilla conectado ya que facebook y twitter no son 100% ssl.
Hasta ahora sólo usaba VPN para Netflix y Hulu pero veo que le voy a dar más utilidad de la que creía, el que yo uso es este http://strongvpn.com/ pero hay otros como https://www.blackvpn.com/ o http://www.witopia.net/welcome.php
Escapology
Ahora os toca poner un especial para navegar siempre seguro :P
Gilberth
pues yo lo he probado y solo detecta mis sesiones en la laptop, no el de los demas. no tengo idea de porque ocurre esto,
Santi
¿¿No existe por ahí ningún script para tuenti??
Santi
Perdón por el doble post
61789
Cada vez que veo esto me alejo más de Facebook. :S
Por cierto, no me funciona en Linux, tengo la versión 3.6.11
Adri
pues debo de ser muy torpe, por que no se como hacerlo funcionar
afsoons
Lo voy a probar en mi insti y a ver hasta donde llega esto, que pena que no esta en Linux (que es lo que uso yo solo en mi instituto estoy como decirlo mas familirializado) y sigo sin entender porque no hay para Linux y si Windows y Mac OS
robago
No pude instalarlo en Firefox 3.6.12 Mac OS. Ejecuto el install.rdf pero me abre una ventana de Firefox donde dice: "Este fichero XML no parece tener ninguna información de estilo asociada. Se muestra debajo el árbol del documento"
Alguien me pude ayudar?
DonkeyG5
Para protegernos de esto podemos utilizar el plugin para Firefox de la EFF: HTTPS Everywhere.
Jónatan Núñez
Hola,
Sabéis alguno si hay vulnerabilidad también en thunderbird? Es que desde que vi esta noticia no me conecto a casi nada desde el wifi 'público' de la universidad (firefox siempre en modo privado), pero quiero ver mis mensajes. Así que... si las conexiones en thunderbird son siempre con tls o ssl 'no hay problema', verdad?
Gracias!
pasteles
Y para que version de firefox en mac es compatible? porque tengo la 3.6.9 y me dice que no es compatible...
guiddens
Efectivamente, en Linux, en firefox 3.6.11 no se puede instalar, imagino que en la versión 3.6.12 tampoco. http://github.com/codebutler/firesheep/issues#issue/26
anyelo.sw
como lo instalo? descargue el archivo....
Usuario desactivado
Te roban la contraseña o sólo la sessión? No me ha quedado muy claro.
oliver.diazaleman
Bah, con las idioteces que dice la peña por facebook ab que van a hacer con ese programa. Al menos que se animen a mejorar las webs con conexiones cifradas...
66228
la verdad es q está gracioso tanta discusión por nada
David Carrero Fernandez-Baillo
He intentado probarla en firefox y no hay forma de instalar el xpi :O
66595
Una pregunta, una red insegura es aquella que no tiene contraseña, o es aquella que es compartida. Ej: La red de mi universidad tiene contraseña (wep) pero todos utilizamos esa, ese truco funcionaria en esa red?
p4nch0
Reference error: scriptname is not defined
quien me ayuda con el problema , gracias.
ma.bernabe
A ver, por puntos: - Funciona para los usuarios conectados al mismo ESSID, lo de que funciona sólo en redes inseguras quiere decir que no hay cifrado a nivel de trama y por tanto no necesitas conocer contraseña WEP o la PSK por ejemplo, resumiendo quiere decir que es trivial capturar la cookie de los usuarios de cualquier red abierta pero si tú conoces la clave WEP, puedes averiguar la cookie de sesión haciendo sniffing.
- Para capturar la cookie en una red wifi y utilizarla tu tarjeta deberá estar puesta en modo monitor, no es tan simple como se escucha en los medios habituales (correr la extensión y ponerse a sacar cookies). En redes ethernet bastaría con poner la tarjeta en modo promiscuo (teniendo en cuenta cómo de conmutada está la red claro si hay conmutación a nivel 2 se podría usar junto con Caín y Abel por ejemplo haciendo Arp spoofing para capturar cookies de otro segmento de red).
- Desde hace tiempo existen herramientas para mostrar las cookies capturadas por una interfaz de red y setearlas en el navegador, esto no es nuevo, yo lo llevo haciendo varios años (buscar un vídeo en youtube llamado Sniffing Wlan), simplemente que esta herramienta es específica para aprovechar las cookies capturadas de las redes sociales.
- El problema viene de utilizar cookies de sesión inseguras, que se transmiten por http, el problema no es sólo no utilizar https sino también no establecer las cookies para que se transmitan sólo por https. Éste problema es culpa del servidor web, en este caso de facebook, o tuenti o el que toque.
67808
Muy buenas! tenia una duda. A ver si lo he entendido bien: si quieres hacer la prueba en tu casa quitandole el pass a tu wifi,tienes que tener la tarjeta en modo monitor; y si quieres hacer la prueba en la calle con un portatil tiene que estar en promiscuo???? OTra cosa, en que modo vienen por defecto ? como saber si soporta modo promiscuo o monitor, y como activarlo? Creo q el winpcap es el que se encarga de hacerlo no?
un saludo y mil gracias =)
Vash La Estampida
A ver, si no quereis que os pillen datos en las wifis ¿pq no usais VPN? Por algo han sacado programas justo para ello como el hotspot shield. http://hotspot-shield.softonic.com/
olmo.prietosanchez
hola! ya se que hace bastante que no comentais por aqui, lo siento por reabrir el hilo :S
bueno, pues yo he instalado VirtualBox y tengo XP en la maquina virtual. he descargado el mozilla e instalado el firesheep. ahora bien, parece que no funciona! en interfaz (creo que ahi esta el problema) pone: AMD PCNET Family Ethernet Adapter (Microsoft's Packet Scheduler). ¿alguien sabria decirme cual es el problema?
otra cosa, los de facebook han debido de cambiar las cookies, porque ya no las pilla :S
un saludo y gracias!
nitrovish
En la universidad se tiene mucho problema con facebook y hasta los rectores se advierten de no conectarte a las redes sociales por el robo de contraseñas e informacion pero jamas pense que fuera tan facil.