08 noviembre 2010

F.A.Q.: ¿Cómo me protejo de Firesheep?

Mucho se está hablando sobre Firesheep, el último hype que ha saltado a la primera fila informativa poniendo de manifiesto algo de lo que se llevaba hablando en foros mas específicos desde hace tiempo (la inseguridad de muchos servicios web por no implementar SSL correctamente).

Como mucha gente se ha interesado en el tema y en concreto por como protegerse, vamos a responder de una forma lo mas concisa posible a la pregunta de como defenderse contra Firesheep y en general contra ataques que impliquen 'sniffing' de red:

Protección parcial

Soluciones que mitigan parcialmente ataques como el de Firesheep:

Herramientas generadoras de 'ruido';
  • Beneficios: Es una aplicación que inyecta tráfico falso en la red para confundir a Firesheep y entorpecer su labor.
  • Desventajas: Si usamos como analogía el cuento del lobo y los tres cerditos, esta sería la casa de paja, fácilmente anulable, solo útil como parte de la estrategia defensiva, no como solución definitiva
 
Extensiones para navegadores que 'fuerzan' el uso de SSL:
  • Beneficios: Permite forzar las conexiones contra los servidores empleando SSL
  • Desventajas: No todos los servicios están soportados, se puede conseguir sesiones SSL para Facebook o Twitter pero no para servicios como Tuenti y otros.
[*]HTTPS Everywhere (Firefox)
[*]Force-TLS (Firefox)
[*]KB SSL Enforcer (Chrome)

Extensiones para navegadores que cifran toda la navegación:
  • Beneficios: Permite cifrar todo el tráfico de la navegación, protege el tráfico entre tu --> servidor TOR
  • Desventajas: Poca fiabilidad en la gestión del extremo final (el servicio TOR), dependes de la buena voluntad de quien ejecuta el servidor TOR
[*]Torbutton (Firefox)
 Protección total

Soluciones que ofrecen protección integral:

VPN basada en SSH:
  • Beneficios: Protección total de la navegación, permite hacer 'bypass' de proxys
  • Desventajas: Engorroso de implementar, requiere 'meter las manos en harina'
    VPN con soporte técnico:
    • Beneficios: Protección total de la navegación, servicio de VPN con servicio garantizado
    • Desventajas: tiene un coste asociado
      VPN Gratuita:
      • Beneficios: Protección total de la navegación
      • Desventajas: El servicio se ofrece sin garantías y con limitaciones en cuanto a uso, ideal para uso particular, no para perfiles profesionales
      [*]ProXPN

        19 comments :

        Niroz dijo...

        El servicio de proXPN no está mal, pero, ¿alguien sabe si se puede configurar y usarse en linux?

        Probé hace un tiempo y aunque conseguí conectar no se podía navegar.

        Saludos.

        Anónimo dijo...

        yo estoy utilizando un simple tunnel ssh creado con putty y configurando el navegador para que navegue a traves de el, esto es seguro?

        Yago Jesus dijo...

        @Niroz, Parece que solo dan soporte a Linux y Mac, si conseguiste establecer el tunel, igual el problema está en conseguir una IP de la red.

        @Anónimo Todo lo que vaya por el tunel SSH, no es interceptable, y si configuras tu navegador para que las consultas DNS, también se hagan por el túnel, además tendrás una dosis extra de privacidad

        Anónimo dijo...

        Otra herramienta disponible, o más bien un plugin para Firefox, se llama BlackSheep. Éste no te protege directamente de Firesheep, pero si te avisa si alguien está usando Firesheep en la red a la que estás conectado. ¿Protección por prevención?
        http://www.zscaler.com/blacksheep.html

        Un saludo
        Tuxotron

        angelbotto dijo...

        lograron conectar proxvpn a linu? :O yo lo eh intentado de una y mil formas y no lo logro...alguien podria facilitar una guia o algo similar =/

        uǝzɐɟos dijo...

        Excelente información, gracias tío

        ZioneR dijo...

        BlackSheep – Firefox Add-on está muy bueno también ;)

        http://www.zscaler.com/blacksheep.html

        Anónimo dijo...

        Y para los iPhone/Android, ¿que hay que hacer?

        Saludos

        José A. Guasch dijo...

        @Anónimo, para dispositivos móviles, tienes la solución estrella de utilizar 3G/GPRS/EDGE, además de poder realizar conexiones a través de VPNs

        Anónimo dijo...

        Como 'snifea' el firesheep?.

        VPS FREES

        ultravpn.fr
        thefreevpn.com
        cyberghost.natado.de
        ultrareach.com

        Saludos,
        AnonimoK

        José A. Guasch dijo...

        @AnonimoK, siempre puedes revisar el código de la propia extensión, pero si quieres hacer tu propio sniffer en javascript, puedes recurrir a este post sobre como capturar paquetes en Javascript.

        xurxo dijo...

        hola. Muchas gracias por la info.

        Queria preguntar que pueden decirme sobre la eficacia de ForceTLS?

        Yago Jesus dijo...

        @xurxo: Es efectiva SOLO con algunas webs, no es la panacea, si puedes siempre apuesta por una VPN completa

        Anónimo dijo...

        Gracias José.

        AnonimoK

        Yago Jesus dijo...

        @xurxo: Es efectiva SOLO con algunas webs, no es la panacea, si puedes siempre apuesta por una VPN completa

        José A. Guasch dijo...

        @AnonimoK, siempre puedes revisar el código de la propia extensión, pero si quieres hacer tu propio sniffer en javascript, puedes recurrir a este post sobre como capturar paquetes en Javascript.

        ZioneR dijo...

        BlackSheep – Firefox Add-on está muy bueno también ;)

        http://www.zscaler.com/blacksheep.html

        José A. Guasch dijo...

        @Anónimo, para dispositivos móviles, tienes la solución estrella de utilizar 3G/GPRS/EDGE, además de poder realizar conexiones a través de VPNs

        Yago Jesus dijo...

        @Niroz, Parece que solo dan soporte a Linux y Mac, si conseguiste establecer el tunel, igual el problema está en conseguir una IP de la red.

        @Anónimo Todo lo que vaya por el tunel SSH, no es interceptable, y si configuras tu navegador para que las consultas DNS, también se hagan por el túnel, además tendrás una dosis extra de privacidad