Programa facilita roubo de contas de sites em redes sem fio públicas
'Firesheep' foi criado por pesquisador de segurança.
Sites devem fornecer conexões seguras, mas usuários podem agir.
Altieres Rohr
Especial para o G1*
"Ei, web 2.0: comece a proteger os dados dos usuários em vez de fingir". Esse era o título da apresentação dos especialistas Eric Butler e Ian Gallagher na conferência Toorcon, que ocorreu em San Diego, Califórnia, entre os dias 20 e 22 de outubro. Eles mostraram uma extensão para o Firefox chamada "Firesheep" capaz de sequestrar as sessões – efetivamente roubar contas – de sites como Facebook, Twitter, entre outros, quando estes forem acessados em uma rede sem fio aberta. Entenda como e por que isso funciona e o que é preciso fazer para se proteger na coluna Segurança para o PC de hoje.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Páginas de login são protegidas, mas informações
que identificam a sessão logada são transmitidas
de forma insegura. (Foto: Reprodução)O problema e a solução com SSL
Quando você entra em um site de internet, é preciso informar um login – que é um nome de usuário o um endereço de e-mail – e uma senha. Esses dados são normalmente enviados por meio de uma conexão segura, caracterizada pela presença do cadeado de segurança no navegador e pelo “HTTPS” no início do endereço no lugar do “HTTP”.
Embora a senha jamais seja transmitida pela internet de forma insegura, os sites normalmente voltam a usar uma conexão simples para o acesso às demais páginas. Aí existe um problema: como o site sabe que você é você para mantê-lo logado e dar o acesso ao seu perfil e demais opções?
Para isso, o navegador precisa guardar um identificador único que é fornecido pelo site e depois reenviado a cada conexão do navegador com a página. O site, ao ler aquele identificador único, saberá a qual sessão de login ele pertence, e enviará a página correta.
Se esse identificador é tudo o que é preciso para “sequestrar” aquela sessão que o usuário está usando, isso significa que, se ele puder ser capturado, um invasor pode roubar a conta. Como ele é enviado em todos os acessos, e os acessos a páginas comuns não passam por uma conexão segura, ele pode ser capturado se o usuário estiver em uma rede insegura ou compartilhada, como é o caso das redes sem fio abertas.
Esse é um cenário inaceitável para os pesquisadores que criaram o Firesheep. O problema sempre existiu: pessoas com as ferramentas certas eram capazes de capturar todas as sessões em uso em redes públicas e compartilhadas, como as redes sem fio abertas. Eric Butler decidiu criar um programa capaz de fazer isso de forma fácil para escancarar o problema e tentar convencer todos os sites da web 2.0 a usarem uma conexão segura permanente.
Contas capturadas pela rede aparecem em painel
no Firefox. Basta clicar duas vezes e você estará na
página do usuário, logado como ele.
(Foto: Divulgação)Já existem serviços que rodam 100% em SSL. O caso mais notório é o Gmail que, desde janeiro deste ano, é acessado apenas por meio de páginas seguras. Eric Butler, que desenvolveu o Firesheep, quer que isso aconteça em todos os sites da web.
Nas redes sem fio abertas, todo o tráfego está “no ar”. O computador faz uma filtragem para saber o que é dele. No entanto, um software de captura pode facilmente capturar todo o tráfego que passa, lendo os dados que pertencem a outros PCs que estão na rede. É exatamente isso que o Firesheep faz. Mas ele ainda, além de capturar, já examina o que foi capturado para detectar os identificadores de sessão dos sites e, como extensão do Firefox, automaticamente instrui o navegador a usar o que foi roubado, permitindo sequestrar a sessão logada.
Hacking para as massas: vídeos ensinam passo a
passo como usar o Firesheep. (Foto: Reprodução)Só para Mac – e isso não quer dizer nada
O Firesheep foi desenvolvido para funcionar primeiro em MacOS X. A versão para Linux deve chegar em breve – o suporte já foi anunciado, mas ainda está em testes.
No Windows, o comportamento do programa é incerto. Usuários relatam experiências diversas. A coluna testou o software e conseguiu fazê-lo funcionar no Windows 7 64 bits, mas precisou usar outros programas em conjunto para isso. No mínimo, o Firesheep precisa do pacote Winpcap, que viabiliza a realização de capturas de tráfego no Windows.
Mas isso não é um impedimento. O Firesheep não é um ataque novo; ele apenas simplifica e exemplifica o que sempre foi possível. Ele precisa de aperfeiçoamento, mas sua fundamentação é sólida e possível. Ele serve como alerta, e essa era a intenção do autor.
Como se proteger
Para o criador do Firesheep, a principal responsabilidade é dos sites, que deveriam usar conexões seguras. Mas ficar aguardando uma solução não é uma ideia confortável.
A Electronic Frontier Foundation (EFF) oferece outro plugin para o Firefox chamado HTTPS Everywhere que ativa conexões seguras nos sites em que ela está disponível e que, por qualquer motivo, não a utilizam por padrão. É a melhor maneira de garantir a segurança dos dados em sites populares durante o uso de redes sem fio.
Um programador também criou um pequeno software chamado Fireshepherd que inunda a rede sem fio com lixo que, segundo o autor, é capaz de travar o Firesheep. No entanto, essa não é a questão, porque um invasor pode usar outros meios de captura que não o Firesheep, tornando o Fireshepherd inútil. É um caso em que uma ferramenta está sendo atacada e não o problema.
Evitar redes sem fio abertas e inseguras é uma boa ideia. É possível colocar senhas em redes abertas – alguns estabelecimentos optam por isso, e a senha é fornecida aos clientes, por exemplo. Redes que usam segurança do tipo WPA2 protegem os dados de cada usuário individualmente. Se você tem uma rede sem fio, configure-a para usar WPA2.
“Hacking para as massas” é certamente uma maneira eficaz de chamar atenção para um problema. O Firesheep causou polêmica – mais do que qualquer outra apresentação da Toorcon. Até o momento, no entanto, nada mudou na segurança dos sites que Butler gostaria de ver mudarem. Enquanto isso, resta ter conhecimento do problema e das soluções que, por ora, são paliativas.
A coluna Segurança para o PC de hoje fica por aqui. Volto na quarta-feira (3) com o pacote de respostas a dúvidas dos leitores. Por isso, não se esqueça de deixar sua dúvida na área de comentários. Até a próxima!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Sites devem fornecer conexões seguras, mas usuários podem agir.
Altieres Rohr
Especial para o G1*
"Ei, web 2.0: comece a proteger os dados dos usuários em vez de fingir". Esse era o título da apresentação dos especialistas Eric Butler e Ian Gallagher na conferência Toorcon, que ocorreu em San Diego, Califórnia, entre os dias 20 e 22 de outubro. Eles mostraram uma extensão para o Firefox chamada "Firesheep" capaz de sequestrar as sessões – efetivamente roubar contas – de sites como Facebook, Twitter, entre outros, quando estes forem acessados em uma rede sem fio aberta. Entenda como e por que isso funciona e o que é preciso fazer para se proteger na coluna Segurança para o PC de hoje.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Páginas de login são protegidas, mas informações
que identificam a sessão logada são transmitidas
de forma insegura. (Foto: Reprodução)O problema e a solução com SSL
Quando você entra em um site de internet, é preciso informar um login – que é um nome de usuário o um endereço de e-mail – e uma senha. Esses dados são normalmente enviados por meio de uma conexão segura, caracterizada pela presença do cadeado de segurança no navegador e pelo “HTTPS” no início do endereço no lugar do “HTTP”.
Embora a senha jamais seja transmitida pela internet de forma insegura, os sites normalmente voltam a usar uma conexão simples para o acesso às demais páginas. Aí existe um problema: como o site sabe que você é você para mantê-lo logado e dar o acesso ao seu perfil e demais opções?
Para isso, o navegador precisa guardar um identificador único que é fornecido pelo site e depois reenviado a cada conexão do navegador com a página. O site, ao ler aquele identificador único, saberá a qual sessão de login ele pertence, e enviará a página correta.
Se esse identificador é tudo o que é preciso para “sequestrar” aquela sessão que o usuário está usando, isso significa que, se ele puder ser capturado, um invasor pode roubar a conta. Como ele é enviado em todos os acessos, e os acessos a páginas comuns não passam por uma conexão segura, ele pode ser capturado se o usuário estiver em uma rede insegura ou compartilhada, como é o caso das redes sem fio abertas.
Esse é um cenário inaceitável para os pesquisadores que criaram o Firesheep. O problema sempre existiu: pessoas com as ferramentas certas eram capazes de capturar todas as sessões em uso em redes públicas e compartilhadas, como as redes sem fio abertas. Eric Butler decidiu criar um programa capaz de fazer isso de forma fácil para escancarar o problema e tentar convencer todos os sites da web 2.0 a usarem uma conexão segura permanente.
Contas capturadas pela rede aparecem em painel
no Firefox. Basta clicar duas vezes e você estará na
página do usuário, logado como ele.
(Foto: Divulgação)Já existem serviços que rodam 100% em SSL. O caso mais notório é o Gmail que, desde janeiro deste ano, é acessado apenas por meio de páginas seguras. Eric Butler, que desenvolveu o Firesheep, quer que isso aconteça em todos os sites da web.
Nas redes sem fio abertas, todo o tráfego está “no ar”. O computador faz uma filtragem para saber o que é dele. No entanto, um software de captura pode facilmente capturar todo o tráfego que passa, lendo os dados que pertencem a outros PCs que estão na rede. É exatamente isso que o Firesheep faz. Mas ele ainda, além de capturar, já examina o que foi capturado para detectar os identificadores de sessão dos sites e, como extensão do Firefox, automaticamente instrui o navegador a usar o que foi roubado, permitindo sequestrar a sessão logada.
Hacking para as massas: vídeos ensinam passo a
passo como usar o Firesheep. (Foto: Reprodução)Só para Mac – e isso não quer dizer nada
O Firesheep foi desenvolvido para funcionar primeiro em MacOS X. A versão para Linux deve chegar em breve – o suporte já foi anunciado, mas ainda está em testes.
No Windows, o comportamento do programa é incerto. Usuários relatam experiências diversas. A coluna testou o software e conseguiu fazê-lo funcionar no Windows 7 64 bits, mas precisou usar outros programas em conjunto para isso. No mínimo, o Firesheep precisa do pacote Winpcap, que viabiliza a realização de capturas de tráfego no Windows.
Mas isso não é um impedimento. O Firesheep não é um ataque novo; ele apenas simplifica e exemplifica o que sempre foi possível. Ele precisa de aperfeiçoamento, mas sua fundamentação é sólida e possível. Ele serve como alerta, e essa era a intenção do autor.
Como se proteger
Para o criador do Firesheep, a principal responsabilidade é dos sites, que deveriam usar conexões seguras. Mas ficar aguardando uma solução não é uma ideia confortável.
A Electronic Frontier Foundation (EFF) oferece outro plugin para o Firefox chamado HTTPS Everywhere que ativa conexões seguras nos sites em que ela está disponível e que, por qualquer motivo, não a utilizam por padrão. É a melhor maneira de garantir a segurança dos dados em sites populares durante o uso de redes sem fio.
Um programador também criou um pequeno software chamado Fireshepherd que inunda a rede sem fio com lixo que, segundo o autor, é capaz de travar o Firesheep. No entanto, essa não é a questão, porque um invasor pode usar outros meios de captura que não o Firesheep, tornando o Fireshepherd inútil. É um caso em que uma ferramenta está sendo atacada e não o problema.
Evitar redes sem fio abertas e inseguras é uma boa ideia. É possível colocar senhas em redes abertas – alguns estabelecimentos optam por isso, e a senha é fornecida aos clientes, por exemplo. Redes que usam segurança do tipo WPA2 protegem os dados de cada usuário individualmente. Se você tem uma rede sem fio, configure-a para usar WPA2.
“Hacking para as massas” é certamente uma maneira eficaz de chamar atenção para um problema. O Firesheep causou polêmica – mais do que qualquer outra apresentação da Toorcon. Até o momento, no entanto, nada mudou na segurança dos sites que Butler gostaria de ver mudarem. Enquanto isso, resta ter conhecimento do problema e das soluções que, por ora, são paliativas.
A coluna Segurança para o PC de hoje fica por aqui. Volto na quarta-feira (3) com o pacote de respostas a dúvidas dos leitores. Por isso, não se esqueça de deixar sua dúvida na área de comentários. Até a próxima!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Nenhum comentário:
Postar um comentário