Ya no es novedad la noticia de que si nuestra sesión de GMail no está completamente cifrada de principio a fin, se encuentra susceptible de ser comprometida, debido a que pueden capturarse las cookies de sesión que viajan en texto plano. Pero qué hay de los demás sitios web que utilizamos diariamente? Para contestar esa pregunta y darnos aún más miedo está Jay Beale y su última creación, The Middler. Demostrado su funcionamiento en la SecTor Security Education Conference llevada a cabo en Toronto en los dos días pasados, esta herramienta de hacking open source escrita en Python, y además extensible mediante plugins, esta diseñada para hacer fácil la tarea del robo de cuentas mediante la vieja técnica del ataque man-in-the-middle. Preparada desde el vamos para "trabajar" con Gmail, Facebook, LiveJournal y LinkedIn, permite que un atacante cualquiera, aún sin poseer los conocimientos y habilidades necesarias para el hacking de aplicaciones web, pueda capturar cuentas de estos cuatro servicios sin mayores molestias, aprovechando la vulnerabilidad antes mencionada. Esto es posible gracias a que Gmail por defecto no encripta toda la sesión, y peor es en el caso de los otros tres, ya que sólo cifran el inicio de sesión y luego todo el tráfico se realiza en plano. Beale planea liberar su herramienta en poco tiempo, lo cual supone un peligro aún mayor para todo usuario de aplicaciones web. Y es que lamentablemente, llegados a estas alturas la única defensa posible es hacer lo que ofrece Gmail pero por defecto; que toda la sesión completa sea totalmente cifrada, algo que nadie quiere y muchos no pueden de momento hacer debido a la gran sobrecarga de recursos que eso conllevaría en sus servidores. Pero ya no queda mucha inocencia para seguir confiando en la web, y es inaceptable usar servicios donde se esté permanentemente en riesgo de ser comprometido, por lo que en algún momento cada servicio deberá tomar una decisión.
Por el momento, la decisión que queda tomar es personal y es nuestra. Debemos decidir si vale la pena utilizar servicios web tan vulnerables por la experiencia o comunicación que proveen, y en caso de seguir utilizándolos, deberíamos maximizar precauciones, como nunca utilizarlos dentro de una red local que no sea propia o administrada por alguien de altísima confianza, y por supuesto, jamás hacerlo a través de una conexión Wi-Fi, a menos que sea la de nuestro propio router y esté debidamente protegida.
Vía DarkReading.
Entradas Relacionadas
Hackeo por Bluetooth, también desde un celular
Nuevo troyano que altera routers
No hay comentarios aún
Comments feed for this article
Enlace al trackback
http://geekotic.com/2008/10/09/kit-de-hackeo-para-la-web-20/trackback/