La oveja de fuego: el nuevo monstruo de las galletas

Posiblemente ya conozcáis cuál es el trend topic de las últimas 48 horas en Internet. Firesheep, una pequeña extensión para Firefox que permite capturar las cookies que vuelan libremente por las redes inalámbricas no-seguras.

Las cookies se emplean en los servicios de internet para no tener que estar introduciendo el password continuamente, es una forma automática de identificarse sin necesidad de almacenar el password en ningún lugar del ordenador (ya que entonces podría leerse de alguna forma). Una cookie en sí misma es inofensiva, no contiene ninguna información vital, es un trozo de texto más o menos aleatorio. Pero la cookie nos da acceso a partes privadas de ciertos servicios en internet.

Haciendo un símil podemos comparar una cookie con la llave de nuestra casa. El introducir la contraseña de Facebook sería equivalente a mostrar las escrituras de tu casa para poder entrar en ella; sólo se hace una vez, y a partir de ahí una cookie sería a tu cuenta en Facebook lo que una llave es a tu casa: un sistema rápido para poder entrar siempre que quieras sin tener que estar pidiendo permiso siempre. Además puedes darle la llave a quien creas que es de confianza, como vecinos o aplicaciones externas. Lo que ocurre con las redes WiFi desprotegidas es que revelan esta llave (cookie) cada vez que la usamos, y terceras personas pueden extraerla y usarla sin tu permiso, como si tú le hicieras una foto a tu vecino abriendo la puerta de su casa y luego recrearas una llave a partir de la imagen capturada.

Las consecuencias es que haciendo uso de estas cookies capturadas al vuelo un tercer usuario puede introducirse en nuestra cuenta. Las formas de evitarlo es protegiendo o bien la llave o bien el medio. Podemos proteger la llave poniéndole una cobertura (Secure Sockets Layer se llama) que aparte de no dejar que se vean los detalles, permite verificar que la llave sea la original. También podemos proteger el medio, usando una WiFi segura (WPA2) que actúa como si echásemos una granada de humo en el descansillo de nuestro piso. Así no sólo podemos usar la llave sin que nos la copien, sino que también podemos hacer cualquier cosa sin que los vecinos cotilleen.

Así que tenemos dos problemas, WiFis abiertas y llaves desprotegidas. El primero es complicado de resolver ya que se necesitan WiFis abiertas en muchas partes (bibliotecas, cafeterías, etc). El segundo es un problema que lo tiene que resolver los proveedores de estos servicios en internet. Google ya lo hace con Gmail.

Mientras tanto, un desarrollador sacó el fin de semana pasado una sencilla herramienta para hacer que cualquier persona pueda capturar las llaves desprotegidas que circulan a través de su red inalámbrica. Aquí está el enlace: Firesheep. La repercusión de esta acción ha sido tremenda. Me parece una forma curiosa de llamar la atención frente a una vulnerabilidad: facilitando el acceso a dicha vulnerabilidad por prácticamente cualquier usuario. La caja de Pandora ha sido abierta. Estoy deseando ver cómo reaccionan por una parte los grandes proveedores de servicios (Facebook, Flickr, entre otros muchos), y por otra los propios usuarios.

Con este artículo aporto mi granito de arena ayudando a la difusión y el entendimiento de este hecho.


6 comentarios ↓

#1 Miguel comentó el 27 de octubre de 2010 a las 01:58

Me gustan mucho los artículos técnicos, y aunque ya me había enterado de la cosa, me hizo placer leer tu descripcion, y el paralelo que haces con la llave de la casa !
Pero no entiendo por qué la mayoría de las redes están poco protegidas (wep) … aunque a veces resulta útil para los vecinos ;-)

#2 Israel comentó el 27 de octubre de 2010 a las 03:40

Me encanta la metáfora usada, creo que le quedará muy claro a las personas que no tengan el suficiente background técnico ;)
Enhorabuena!!

#3 tanisdlj comentó el 27 de octubre de 2010 a las 04:50

Las cajas de pandora se abren, pero no contienen H. Muy interesante el artículo y muy ingenioso el título xD

#4 Alberto comentó el 27 de octubre de 2010 a las 11:59

Muy interesante el artículo. Ya conocía el problema pero lo explicas muy bien. :-)

#5 Luis comentó el 28 de octubre de 2010 a las 02:18

Gracias :), como suelo decir, escribiendo me aclaro las ideas. Y para mí empleo esquemas mentales de las cosas que a menudo me cuesta explicar, aunque de vez en cuando salen cosas coherentes como ésta.

@tanisdlj… ;)

#6 Master’s Thesis presentation (ayer) | Luis@Keio comentó el 9 de febrero de 2011 a las 19:48

[...] De hecho después de responder emails, ponerme un poco al día con los feeds, trastaer con la oveja de fuego y crearle un par de handlers, al final he decidido escribir este artículo. El resto de [...]

Escribe tu comentario

XHTML: Puedes usar las etiquetas <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>