quarta-feira, 27 de outubro de 2010

PROTEGENDO-SE DA FIRESHEEP

[1 comentário] por idicbr às 12:06:00

Quem me conhece sabe que já há alguns anos venho alertando as pessoas sobre os riscos das redes wi-fi abertas. Desde os tempos do warchalking (http://goo.gl/e7sk) que o wi-fi apresenta falhas e desafios interessantes de segurança.

Recentemente, uma dessas falhas ganhou destaque por causa de uma extensão (complemento) para o Firefox: a Firesheep. Note que não se trata de um vírus, cavalo de Tróia ou programa malicioso. Em princípio, os programas de segurança que você utiliza (antivírus, firewall, etc.) certamente não detectarão a ação de alguém que utilize essa extensão.

O BÁSICO
É de conhecimento geral que muitas redes wi-fi (especialmente aquelas que permitem a conexão gratuita) não fazem uso de passwords WEP ou WPA que, em tese, garantiriam uma conexão mais segura entre o dispositivo móvel (um notebook, por exemplo) e o hotspot. Em poucas palavras, cada mísero byte (pacote de dados) trafegando numa rede que não implementa WEP ou WAP é potencialmente visível por todos os dispositivos que a integram. Isso não é novidade, mas ocorre com bastante frequência nas redes de aeroportos, faculdades, "Starbucks" e até mesmo de empresas.

A Firesheep é uma controversa extensão para o Firefox que permite (de um modo bastante fácil e trivial) a qualquer pessoa conectada a uma rede wi-fi aberta (como dito acima) acessar os dados de login de um usuário de redes sociais (Facebook, Twitter, etc.) ou de outros sites. Já há mais de 100 mil downloads registrados dessa extensão (para a versão 0.1.1, que é a que estudei, mas, com certeza, novas versões serão lançadas, aperfeiçoando seu modus operandi).

Seu funcionamento básico está atrelado ao fato de que muitos sites e redes sociais utilizam o protocolo HTTP (ao invés do HTTPS) como padrão de conexão na maior parte do tempo, uma vez que ele (o HTTP) é mais rápido.

Em termos leigos:
  1. O login ocorre numa conexão segura (HTTPS)
  2. Após o login, você é redirecionado para uma página não segura (HTTP)
Os sites que operam desse modo geralmente salvam as informações de login num cookie que é passível de ser "snifado" (lido) num mesmo segmento da rede. É isso que a Firesheep faz de modo fácil e automático. Ela permite que qualquer um se aposse desse cookie, o apresente ao servidor remoto (o site ou rede social) e, desse modo, obtenha acesso à conta. Note que os dados de login (user name e senha) não necessariamente são expostos, mas, uma vez obtido acesso à sua conta... bom, coisas ruins podem acontecer.

Esse procedimento (denominado "HTTP session hijacking" ou, coloquialmente, "sidejacking") é conhecido há anos. Mas muitos sites insistem em não implementar as medidas adequadas para proteger seus usuários.

Note que esse problema de segurança ocorre em todos os navegadores (do Internet Explorer ao Safari), não é uma exclusividade do Firefox como muitos pensam. O que ocorre é que a Firesheep está disponível, por enquanto, apenas para o Firefox. O Google Chrome, provavelmente, será o próximo a ter essa "ferramenta" em seu rol de complementos, pois também é muito fácil criar extensões para esse navegador.

Como era de se esperar, a Firesheep não está disponível na página oficial de complementos para o Firefox o que limita um pouco sua adoção, contudo, uma breve pesquisa aponta diversos locais onde ela pode ser obtida.

O QUE FAZER
A dica mais segura (e inconveniente) é não utilizar hotspots de redes wi-fi abertas para logar-se em redes sociais e/ou sites. Outras medidas de proteção incluem a utilização de um proxy socks + tunelamento SSH (minha preferida) ou uma VPN (Virtual Private Network), que geralmente estão fora do alcance da compreensão do usuário comum, além de apresentarem algumas dificuldades na implementação.

Resta, então, utilizar o proprio Firefox para proteger sua informação de login, equipando-o com, pelo menos, uma extensão que force a comutação do protocolo HTTP pelo HTTPS sempre que possível. De comum acordo com o pessoal do LS (minha outra conta no Twitter) sugiro o ForceTLS.

Eis o que fazer:
  1. Acesse http://goo.gl/q1sW e permita a instalação da extensão
  2. Reinicie o Firefox e clique no menu Ferramentas > ForceTLS Configuration (abre-se a janela de configuração da extensão)
  3. Adicione os sites sensíveis (a figura mostra alguns exemplos, insira-os conforme indicado, incluindo o "*" de modo a forçar também os subdomínios, quando houverem)
  4. Ao concluir, clique no botão Fechar e reinicie novamente o Firefox para que as mudanças tenham efeito.
Por enquanto, apenas o Firefox oferece essa possibilidade, mas é possível que em breve surjam alternativas para outros navegadores.


Repetindo: o sidejacking não é uma exclusividade deste ou daquele navegador, deste ou daquele sistema operacional, deste ou daquele dispositivo. Do Internet Explorer ao Safari, do Windows ao Mac OS, do iPod ao notebook, todos são potencialmente suscetíveis. Proteja-se.

---

UPDATE: Desculpe, mas o excessivo número de pessoas solicitando link para a Firesheep e trollagem gratuita por eu não fornecer nem o link nem instruções de uso me obrigaram a bloquear os comentários neste post.

Fica o aviso: eu NÃO FORNEÇO nem links, nem instruções de uso para programas potencialmente danosos. Por favor, NÃO SOLICITE essa informação no espaço para comentários de outros posts. COMENTÁRIOS DESSA NATUREZA SERÃO EXCLUÍDOS SEM MAIORES CONSIDERAÇÕES.


 
Design: ©2009 The Dark Is Outside todos os direitos reservados | Ícones: Silk Icon Set 1.3 | Termos de Uso | Política de Privacidade
Topo