Como recoje El Reg Hardware, en este articulo se hizo una demostración pública de un método que permite a un atacante acceder a nuestras cuentas en Gmail, Hotmail, o practicamente cualquier otro servicio web 2.0 si accedemos a Internet a través de una red inalámbrica pública (por ejemplo las disponibles en los centros comerciales).El problema se presenta cuando nosotros entramos a una pagina, por ejemplo http://www.gmail.com, ponemos nuestro usuario y contraseña y nos logueamos. Si bien inmediatamente el servicio pasa a ser bajo https, lo que quiere decir que esta encriptado y nuestros datos a partir de ese punto son seguros, en el ínterin se produce un intercambio de cookies con nuestra identidad.
Esa cookie no encriptada es la que puede capturar alguien con un programa especial (sniffer) e instalarla en su pc para, a partir de ese momento acceder a nuestras cuentas de correo como si fuera nosotros por un tiempo indeterminado.
Por ahora la única defensa seria acceder directamente a paginas seguras, es decir desde el principio utilizar por ejemplo https://www.gmail.com, o incluso usar algún agregado para aquellos que usamos Firefox como por ejemplo CustomizeGoogle, que comentare en una próxima entrega, este tipo de agregado de forma automatica cambian nuestra url para forzar la utilización de protocolos seguros, en este caso para las paginas de Google.
1 comentario:
Gracias
Existen redes inalámbricas (WiFi) (de organismos públicos o empresas privadas) que se ofrecen a sus ciudadanos o clientes y que no tienen clave WPA, WEP, etc. Me he topado con 2 clases:
a) Acceso casi directo: sólo hay que pinchar antes en un botón "Acepto" sobre unas normas y/o condiciones de uso, privacidad, datos, etc.
b) Acceso indirecto: hay que tener cuenta ("gratis" -pagada con impuestos- o de pago) y poner un nombre de usuario y contraseña al comienzo de la sesión.
Respecto a la duración de la conexión me he topado con dos casos:
1) La sesión dura un tiempo limitado, tras el cual caduca y nos quedamos sin conexión a internet, posiblemente hasta dentro de unas horas o el día siguiente.
2) La sesión parece que no caduca. Aunque al día siguiente te toca volver a poner el usuario y clave (digo yo que tal vez dure unas horas la sesión o hasta la medianoche o alguna hora de la madrugada siguiente).
Me he topado el caso 1) en la clase a) y con el caso 2) en la clase b).
Pues bien, me he fijado que en las situaciones indicadas no se generan cookies. Y aunque vayas al menú Herramientas > "Limpiar el historial reciente..." y borres todo sigues teniendo conexión (hasta que caduque, claro).
¿Cómo lo hacen?
Parece que "se quedan" con la dirección MAC o HW de la tarjeta inalámbrica de tu ordenador.
Véanse RADIUS, wifi auth, wifidog, ...
Publicar un comentario