Servicios

Inicio Noticias Robo de sesión
Noticias

Robo de sesión

Lunes, 05 Diciembre 2011

Juan llegó al centro comercial y se dió cuenta que Marcelo aún no llegaba. Se sentó en un banco. No tenía nada que hacer, asi es que encendió su computador portátil, activó la red inalámbrica, abrió un gnome-terminal y comenzó a ejecutar algunos comandos.


Personas pasaban y otras se sentaban formando una especie de grupo especial en el que todos socializaban o exponían información por medio de sus sus portátiles, tablets y celulares.
Al cabo de un rato, Juan recibió una fuerte palmada en el hombro. Marcelo, su amigo, había llegado y al ver la pantalla por sobre el hombro de juan exclama:
- Ese es el Web 2.0, el web social -.
En la pantalla de juan habían fotos y páginas de Facebook y Twitter de muchos usuarios que no eran amigos de Juan. Incluso, era posible reconocer a algunos sentados a 10 metros. Ademas, juan pudo ver las redes de contacto de varias personas. Claro, había estado haciendo "hijack" de sesiones web.
- Ya, vamos que van a cerrar. - dice Marcelo, mientras Juan borra todo y se van.

Esta situación es mas común de lo que creemos. Hoy en día hay herramientas que permiten hacer esto de forma amistosa, sin gnome-terminal ni complicados comandos. El problema radica en la confianza y descuido tanto de las personas como de quienes están detras de los sitios web.

Qué es el hijack de sesión?

Secuestro o robo de una sesión. En términos prácticos consiste en acceder a la sesión que otra persona ha establecido con algun servicio.

Cuando nos conectamos a Facebook, establecemos una sesión, que comienza luego de que nos autentificamos con nuestro correo y contraseña. Si otra persona conectada a la red hace "hijack" de esa sesión, entonces ha logrado acceder a nuestro Facebook, ver nuestros contactos y postear como si fueramos nosotros.

La técnica.

Juan utilizó una técnica que no es para nada nueva, lo cual prueba que hoy se cometen (o asumen) los mismos errores conceptuales que hace varios años atras.

Esta técnica consiste en conectarse a una red inalambrica donde la información no está separada físicamente y ademas es de libre acceso. Esto permite que la información, que viaja por el aire pueda ser capturada por cualquier equipo conectado a la misma red.

Esa captura permitirá al espía ver el contenido que viaja por la red y que no ha sido encriptado, por ejemplo, fotos de facebook e identificadores de sesión.

Si el espía tiene acceso al identificador de sesión, entonces puede hacer hijack de nuestra conexión.

session hijack 02

Esto se puede hacer porque el identificador de sesión no viaja encriptado (pudiendo hacerlo). Esto es una desición que se toma en el lado de los servidores, y no del usuario.

Sitios afectados

Twitter y Facebook son algunos de los tantos sitios que si bien es cierto, poseen encriptación (SSL) no permiten su correcto uso facilitando que el identificador de sesión sea enviado encriptado y no encriptado, lo cual es equivalente a no encriptar nada.

Como protegerse?

Hay herramientas como HTTPS Everywhere que reescriben los enlaces cuando estan apuntando a un destino (del mismo servicio) sin encriptación. Esto permitirá que el identificador de sesión y el contenido siempre viaje encriptado.

Cabe señalar que para que este mecanismo funcione, el sitio web _debe_ contar con encriptación.

Adicionalmente, el 26 de Enero, Facebook anunció oficialmente la activación opcional de SSL para el tráfico de sus usuarios. No es que antes no existiera, sino que ahora es constante si el usuario lo activa. La recomendación es activarlo en las preferencias de tu cuenta.

Existe un plugin para firefox llamado Blacksheep que, si bien es cierto, no sirve para protegerse de estos ataques, si sirve para detectar el uso de una herramienta utilizada para facilitar el hijacking de sesiones.

Actualización 20110316 11:32

  • Existe una extensión disponible para usuarios de Chrome que permite hacer lo mismo que HTTP Everywhere. Se llama KB SSL Enforcer.
  • Twitter tambien ha agregado la característica de SSL en su sitio web. Se puede activar en las configuraciones de la cuenta

Que problemas pueden ocurrir?

Si el sitio web al que nos conectamos tenga enlaces externos a contenidos sin encriptar. Esto podría provocar que no veamos alguna imagen, por ejemplo.

En el caso de Facebook, hay aplicaciones que podrían fallar. Esto ocurre dado que muchas aplicaciones corren en servidores de terceros no relacionados a Facebook.

La solución de fondo

La encriptación se usa en el web para evitar que terceros puedan ver a información que viaja entra un computador y un servidor.

Si un sitio web encripta el proceso de autentificación, es decir, el paso de usuario y contraseña, está correcto. Sin embargo, si luego permite el tráfico de contenido sin encriptar, entonces no sirve de nada el primer paso.

Si un sitio web permite tanta interacción como Facebook o Twitter, entonces la encriptación del identificador de sesión es un _debe_ que no se está cumpliendo al 100%.

Las personas deben exigir estas medidas de protección cuando se den cuenta de que la información está en peligro.

Si tienes dudas o quieres aportar con información no dudes en contactarnos en el Esta dirección electrónica esta protegida contra spam bots. Necesita activar JavaScript para visualizarla o reportar incidentes a Esta dirección electrónica esta protegida contra spam bots. Necesita activar JavaScript para visualizarla .

 

Mapa del sitio
Campus San Joaquín - Edificio Centro Desarrollo Docente - Teléfono: (56 2) 2 354 5555 - Correo: 5555@uc.cl
2014 Pontificia Universidad Católica de Chile - Avda. Vicuña Mackenna 4860, Macul - Santiago, Chile