3 ene 2011

Robos de sesión con Firesheep: probando Windows Live

Hola a todos.En el presente post se explicará que es Firesheep y que se puede llegar a hacer con esta pequeña herramienta.Firesheep es una extensión o plugin que permite al usuario de Firefox realizar hijacking, es decir, recolectar cookies y poder realizar una suplantación de identidad en la sesión de otro usuario. Esta pequeña extensión permite realizar este tipo de ataques de manera intuitiva y sencilla, a la vez que proporciona una pequeña lista de sitios y formatos de cookies para facilitar el acceso al atacante.InstalaciónLa instalación de esta extensión sobre Firefox es muy sencilla. Se debe descargar la extensión desde el sitio web de Firesheep. Se descargará un fichero de extensión XPI, actualmente en la versión 0.1-1. Una vez descargado, simplemente se debe arrastrar el fichero XPI dentro del navegador Firefox. Hay que especificar, que Firesheep no es compatible con versiones de Firefox inferiores a la 3.6.12, ni tampoco a la versiones beta 4.x.Nota: En el caso de usar Firesheep en una red Wifi, requiere tener instalado Winpcap (Windows) para poner la tarjeta Wifi en modo monitor.Propiedades FiresheepA continuación, se especifican las propiedades que presenta esta extensión de Firefox. En la ventana de propiedades aparecen 3 botones distintos: Capture, Websites y Advanced. La primera opción permite elegir la interfaz por la que se realizará la recolección de cookies. La segunda opción, que se ve presente en la imagen, especifica la lista de cookies que reconoce Firesheep. Es importante notar que se pueden añadir otros sitios web que no estén en la presente lista. En el siguiente sitio web (https://github.com/codebutler/firesheep/wiki/Handlers) se puede ver la lista completa que Firesheep reconoce y cuales reconocerá en un futuro. La tercera opción, especifica el protocolo del nivel de transporte (tcp, udp) y el puerto, por defecto tcp port 80.Prueba de concepto, POCPara la prueba de concepto se va a realizar la captura de una cookie de una sesión de Windows Live. Una vez seleccionada la interfaz por la que capturaremos las cookies, por la que se tiene Internet, se debe pulsar el gran botón de Start Capturing. Firesheep queda recolectando cookies, cuando la víctima inicie sesión, en uno de los sitios que están en la lista que se pudo observar anteriormente, Firesheep capturará esa cookie. En la imagen se puede observar como bajo el título "Alice, or perhaps Bob" se obtiene la cookie de sesión de Windows Live. Ahora el atacante ya tiene acceso a la sesión de la víctima, simplemente doble click sobre la imagen de Windows Live y se abrirá una pestaña en Firefox con la sesión de la víctima. Pero esto no es todo, cuando hablamos de Windows Live hay sorpresas. La teoría nos dice que cuando la víctima cierre sesión, es decir, pulse sobre cerrar sesión, nada de darle a la X y cerrar la ventana que así no se cierra la sesión, la cookie quedará inhabilitada. Esto con una configuración por defecto del navegador no ocurre con Windows Live, ¡Sorpresa!¿Gran vulnerabilidad e interesante su reparación rápida por parte de Microsoft? En efecto, no se entiende bien como cerrando la sesión, realmente la víctima no cierra la sesión. Probarlo es muy interesante. Mientras el atacante no cierre Firesheep, el atacante podrá meterse en la sesión de Windows Live de la víctima, aunque la víctima haya apagado el equipo y se esté tomando un café. Es algo que no ocurre con otros sitios web, y que no debería ocurrir.Red SwitcheadaCuando estamos en una red switcheada, hay que tener en cuenta el funcionamiento del switch. Este dispositivo aprende los caminos, por ejemplo, entre el router y una máquina X. De este modo no se 'molesta' a los demás equipos. Si el atacante se encuentra en este escenario, o por ejemlo en una red WEP, se debe realizar un ataque MITM (Man In The Middle) para hacer que el tráfico pase por el equipo del atacante.En general, Firesheep es una herramienta pequeña y de manejo sencillo para realizar obras interesantes. Ahora imaginaos, la red de una Universidad, de un centro comercial, de un Starbucks, etc. Todo el potencial de esta herramienta está en vuestra imaginación.El límite es tu imaginación.

Flu Project Team

14 comentarios:

  1. La verdad que es una herramienta de hacking "de un botón" interesante, aunque muy peligrosa ya que no requiere conocimientos de seguridad y puede ser usada casi por cualquiera. Redes de hoteles, aeropuertos, hay muchos sitios interesantes donde recolectar información con ellasaludos!

    ResponderEliminar
  2. Yo creo que este tipo de herramientas son muy peligrosas, el autor no la creo para que la gente haga haciendo el "hacker" con ella, la hizo como modo de protesta para que las grandes empresas se tomaran un poco mas en serio la seguridad de los usuarios.Una que cosa que no entiendo es porque hay que hacer man in the middle en una red WEP?Te falto de decir que para que la herramienta funcione en una red wifi es necesario, al menos en windows, tener las winpcap instaladas para poder poner la tarjeta wifi en modo monitor.

    ResponderEliminar
  3. Sí, eso es lo que comentaba si mal no recuerdo, que la realizó como protesta. Aunque si no quería que se usase maliciosamente la podría haber dejado como una POC publicada en un vídeo, en vez de repartir la herramienta a quien quiera descargarla, porque ya sabemos lo que pasa poniendo armas tan potentes y sencillas en manos sin conciencias maduras..., luego ves a niños chantajeando a compañeros de colegio con información robada de sus redes sociales, por poner un ejemplo. Pero bueno, eso es otro cantar.Si, hace falta instalar Winpcap para poner la tarjeta en modo promiscuo. Ahora le comento a Pablo que actualice.Saludos, gracias @Ambrosio

    ResponderEliminar
  4. Pienso que el que tome que esto es una herramienta de hacking o que hacer uso de ella convierte a uno en un hacker esta increíblemente equivocado. La herramienta a los realmente interesados en el tema les brindará una lección sobre la in/seguridad de las redes. Pero el problema añadido de esto es que cualquier imbécil que no sepa ni lo que es un sniffer puede llegar a hacer mucho daño con algo así. ¿No creeis? Un saludo.

    ResponderEliminar
  5. Buenas, lógicamente usarla no te convierte en un hacker, ser hacker es un concepto un poco relativo, pero digamos que suponiendo que entendamos por hacker a alguien que tiene muchos conocimientos en seguridad. Instalarse un plugin para firefox y pulsar un botón no te convierte en hacker jeje. Ahora, que podemos camuflarlo con otro nombre, pero es una herramienta que permite hacer hijacking, y eso es hacking (como dice la wikipedia: http://es.wikipedia.org/wiki/Hackear#Hijacking_y_Suplantaci.C3.B3n_.28Impersonation.29), podemos camuflarlo con otro nombre, pero herramienta de hacking es, aunque no sea el objetivo con el que se hizo.El problema como comentáis y comentaba yo en el otro mensaje, es que es tan sencilla de utilizar, que en malas manos puede hacer mucho daño.saludos

    ResponderEliminar
  6. Os han traído algo los reyes? ;)Yo estoy con Juan Antonio, respecto a lo de que herramienta hacking es... pero lo que denuncia este post no es: ¡oh! que fácil es suplantar la identidad (que lo es). El post quiere ir un poco más allá y enseñaros que es importante la implementación que las compañías hacen de sus cookies, porque tenemos el ejemplo de que Windows Live... le das a cerrar sesión y no la cierra! quien ha hecho eso? se supone que son ingenieros! jejeEn definitiva es un post protesta más que un post de... q facil es irme a la Universidad y robarle la sesión a mi compañero que me cae mal ;)Esto es lo bueno de esta comunidad podemos intercambiar opiniones libremente y ver como cada uno tenemos una interpretación...Saludos!

    ResponderEliminar
  7. Me parece perfecto el fin didáctico que posee para determinados usuarios una herramienta como esta. Pero simplemente quise hacer el inciso porque hay mucha gente que usa el término hacker muy a la ligera. Me gusta aclarar estas cosas porque por desgracia en internet hay mucho lammer que entra a un blog serio como este, consigue un programa así, hace la tontería de turno sin saber ni lo que esta haciendo y después se jacta de su hazaña ensuciando bastante el término y provocando una muy mala imagen para este mundillo. Las cosas claras y el chocolate espeso ¿No? jajajajUn saludo a todos.

    ResponderEliminar
  8. @Ambrosio:En una red WIFI no es necesario el ataque MitM puesto que el medio aéreo no está limitado a un cable sino a un SSID y un canal, con lo que, si nos situamos en esos parámetros seremos capaces de recibir el tráfico. Si sería necesario el modo promiscuo para no descartar los paquetes que no vayan dirigidos a nuestra MAC. El modo monitor permite capturar todo el tráfico eliminando los filtros SSID y canal pero no permite la navegación puesto que no te puedes asociar a un AP.Si me equivoco, que alguien me corrija pero creo que esto funciona así.

    ResponderEliminar
  9. Según unas pruebas... 8 horas tarda Microsoft en cerrarte la sesión... espero pronto, poder daros un video... Saludos!

    ResponderEliminar
  10. [...] tarde, se os preguntó acerca de Firesheep aquel post sobre Windows Live, el cual mostraba debilidades del sistema de cookies de Microsoft. Un 58% se pronunciaron sobre que [...]

    ResponderEliminar
  11. [...] habrá 3 pestañas: Capture, Websites y Advanced. De estos apartados ya se habló en el artículo Firesheep: probando windows live. Websites contiene todos los scripts de los sitios con lo que Firesheep trabaja por defecto, pero [...]

    ResponderEliminar
  12. [...] el pasado en Flu Project se ha hablado del robo de sesiones de Windows Live y la tardanza de 8 horas en caducar esas cookies, wtf? y sobre la programación para que otras [...]

    ResponderEliminar
  13. [...] LIVE Robos de sesión http://www.flu-project.com/robos-de-sesion-con-firesheep-probando-windows-live.html Intercepción de sesiones de Live en redes locales o [...]

    ResponderEliminar
  14. [...] http://www.flu-project.com/robos-de-sesion-con-firesheep-probando-windows-live.html [...]

    ResponderEliminar