El término
hijacking es empleado para definir la acción de realizar un ataque contra uno o más usuarios con la intención de
recolectar cookies y así poder suplantar la identidad de dichos usuarios. En la gran mayoría de portales web, este ataque se puede llevar a cabo gracias a que no se hace un buen uso del protocolo
SSL, sea por sencillez, ahorro de recursos, etcétera. Ya que una vez el usuario ha sido autenticado mediante el protocolo
HTTPS, este pasa a continuar la conexión con el protocolo
HTTP, por lo que todos los datos que se estén enviando viajaran en claro por la red.
A través de
Cyberhades, pudimos leer como en la
ToorCon 12 (Conferencia de seguridad informática) se publicó la extensión para Firefox
Firesheep soportada en Windows y Mac OS X. La función de dicha extensión es básicamente la de
escuchar todo el tráfico de nuestra interfaz y detectar cuando se están enviando cookies que puedan ser de interés para el usuario, mostrándolas por pantalla y de este modo dando la posibilidad de realizar suplantaciones de identidad de una forma sencilla e intuitiva.
Seguidamente se va a realizar una prueba de concepto para visualizar la sencillez de la extensión y el peligro de la misma. Descargamos el fichero desde el portal web de
Firesheep. Podremos observar que se nos ha descargado un fichero en formato
XPI, si arrastramos este a nuestro navegador Firefox, automáticamente se nos informará si deseamos instalar la extensión. Una vez instalada y reiniciado el navegar podremos observar la extensión en nuestro panel de Complementos.
Figura 1: Instalando Firesheep
Por defecto la extensión aparece como oculta, si deseamos interactuar con ella, es necesario dirigirnos a
‘Ver / Panel lateral / Firesheep’ y automáticamente aparecerá un panel en la banda izquierda del navegador que nos permitirá interactuar con
Firesheep.
Figura 2: Plugin en Firefox
En la parte inferior del panel se podrá abrir la ventana de preferencias para configurar la extensión:
Figura 3: Configuración de Firesheep
- Capture: Permite indicar porque interfaz se va a escuchar el tráfico.
- Websites: Desde este módulo se podrá visualizar, añadir, editar, eliminar, importar y exportar las cookies que soporta la extensión. Desde el siguiente enlace (
http://github.com/codebutler/firesheep/wiki/Handlers) se puede visualizar cuales son soportadas y cuáles serán soportadas en un futuro.
- Advanced: Permite configurar el protocolo y puerto que va a filtrar en busca de las cookies.
Para hacer funcionar la extensión y que empiece a capturar cookies únicamente bastará con pulsar sobre el botón
Start Capturing, y esperar a que alguien realice alguna conexión a alguno de los portales web soportados.
Figura 4: Detección de cookie de Facebook
Una vez capturada una cookie de otro usuario, la propia extensión la añadirá al panel y ya podremos interactuar con el portal web que estaba visitando la víctima, haciéndonos pasar por él.
Figura 5: Acceso a cuenta de Facebook
Como ya se ha comentado anteriormente la extensión permite añadir portales que no estén soportados, Tuenti por ejemplo no se encuentra en la lista de soportados ni tampoco en los pendientes por añadir. Bastaría únicamente con dirigirte a la pestaña de añadir
Add en la pestaña de
Websites de
Preferencias e introducir el script necesario para que detecte el portal web que deseemos.
El siguiente código es el ejemplo del código necesario para que la extensión detecte cookies de tuenti.
// Author: SeguridadApple - http://www.seguridadapple.com
// v2.0
register({
name: "Tuenti",
url: 'http://www.tuenti.com/',
domains: [ 'tuenti.com' ],
sessionCookieNames: [ 'sid' ],
identifyUser: function () {
var resp = this.httpGet(this.siteUrl);
this.userName = 'Tuenti User';
this.userAvatar = 'http://alt1040.com/files/2009/03/tuenti.jpg';
}
});
Una vez detectado una cookie de tuenti, nuestra extensión tendrá una apariencia similar a la siguiente.
Figura 6: Detección de cookie de Tuenti y acceso a cuenta
Hay que tener en cuenta que es necesario estar escuchando el canal para poder capturar las cookies de los usuarios. Conexiones cifradas como se puede encontrar en la tecnología Wifi (WPA, WPA2) será necesario acompañar a la extensión con un ataque MITM para interceptar todo el tráfico de la víctima. En escenarios con concentradores de conexiones HUB o redes WiFi abiertas, como pueden ser universidades, no será necesario realizar el ataque MITM, ya que todo el tráfico llega a nuestra máquina en texto claro.
Una solución rápida y eficaz sería la de aplicar extensiones a nuestros navegadores para que forzaran la navegación siempre que sea permitido por el protocolo Https. Esperamos que esta prueba de concepto os haya concienciado de lo importante que es una buena implementación del protocolo SSL en portales web donde se maneja gran cantidad de información privada y de
no conectarte nunca a sitios privados desde redes inseguras.