“Ei, web 2.0: comece a proteger os dados dos usuários em vez de fingir”. Esse era o título da apresentação dos especialistas Eric Butler e Ian Gallagher na conferência Toorcon, que ocorreu em San Diego, Califórnia, entre os dias 20 e 22 de outubro. Eles mostraram uma extensão para o Firefox chamada “Firesheep” capaz de sequestrar as sessões – efetivamente roubar contas – de sites como Facebook, Twitter, entre outros, quando estes forem acessados em uma rede sem fio aberta. Entenda como e por que isso funciona e o que é preciso fazer para se proteger na coluna Segurança para o PC de hoje.
O problema e a solução com SSL
Quando você entra em um site de internet, é preciso informar um login – que é um nome de usuário o um endereço de e-mail – e uma senha. Esses dados são normalmente enviados por meio de uma conexão segura, caracterizada pela presença do cadeado de segurança no navegador e pelo “HTTPS” no início do endereço no lugar do “HTTP”.
Embora a senha jamais seja transmitida pela internet de forma insegura, os sites normalmente voltam a usar uma conexão simples para o acesso às demais páginas. Aí existe um problema: como o site sabe que você é você para mantê-lo logado e dar o acesso ao seu perfil e demais opções?
Para isso, o navegador precisa guardar um identificador único que é fornecido pelo site e depois reenviado a cada conexão do navegador com a página. O site, ao ler aquele identificador único, saberá a qual sessão de login ele pertence, e enviará a página correta.
Se esse identificador é tudo o que é preciso para “sequestrar” aquela sessão que o usuário está usando, isso significa que, se ele puder ser capturado, um invasor pode roubar a conta. Como ele é enviado em todos os acessos, e os acessos a páginas comuns não passam por uma conexão segura, ele pode ser capturado se o usuário estiver em uma rede insegura ou compartilhada, como é o caso das redes sem fio abertas.
Esse é um cenário inaceitável para os pesquisadores que criaram o Firesheep. O problema sempre existiu: pessoas com as ferramentas certas eram capazes de capturar todas as sessões em uso em redes públicas e compartilhadas, como as redes sem fio abertas. Eric Butler decidiu criar um programa capaz de fazer isso de forma fácil para escancarar o problema e tentar convencer todos os sites da web 2.0 a usarem uma conexão segura permanente.
Já existem serviços que rodam 100% em SSL. O caso mais notório é o Gmail que, desde janeiro deste ano, é acessado apenas por meio de páginas seguras. Eric Butler, que desenvolveu o Firesheep, quer que isso aconteça em todos os sites da web.
Nas redes sem fio abertas, todo o tráfego está “no ar”. O computador faz uma filtragem para saber o que é dele. No entanto, um software de captura pode facilmente capturar todo o tráfego que passa, lendo os dados que pertencem a outros PCs que estão na rede. É exatamente isso que o Firesheep faz. Mas ele ainda, além de capturar, já examina o que foi capturado para detectar os identificadores de sessão dos sites e, como extensão do Firefox, automaticamente instrui o navegador a usar o que foi roubado, permitindo sequestrar a sessão logada.
Só para Mac – e isso não quer dizer nada
O Firesheep foi desenvolvido para funcionar primeiro em MacOS X. A versão para Linux deve chegar em breve – o suporte já foi anunciado, mas ainda está em testes.
No Windows, o comportamento do programa é incerto. Usuários relatam experiências diversas. A coluna testou o software e conseguiu fazê-lo funcionar no Windows 7 64 bits, mas precisou usar outros programas em conjunto para isso. No mínimo, o Firesheep precisa do pacote Winpcap, que viabiliza a realização de capturas de tráfego no Windows.
Mas isso não é um impedimento. O Firesheep não é um ataque novo; ele apenas simplifica e exemplifica o que sempre foi possível. Ele precisa de aperfeiçoamento, mas sua fundamentação é sólida e possível. Ele serve como alerta, e essa era a intenção do autor.
Como se proteger
Para o criador do Firesheep, a principal responsabilidade é dos sites, que deveriam usar conexões seguras. Mas ficar aguardando uma solução não é uma ideia confortável.
A Electronic Frontier Foundation (EFF) oferece outro plugin para o Firefox chamado HTTPS Everywhere que ativa conexões seguras nos sites em que ela está disponível e que, por qualquer motivo, não a utilizam por padrão. É a melhor maneira de garantir a segurança dos dados em sites populares durante o uso de redes sem fio.
Um programador também criou um pequeno software chamado Fireshepherd que inunda a rede sem fio com lixo que, segundo o autor, é capaz de travar o Firesheep. No entanto, essa não é a questão, porque um invasor pode usar outros meios de captura que não o Firesheep, tornando o Fireshepherd inútil. É um caso em que uma ferramenta está sendo atacada e não o problema.
Evitar redes sem fio abertas e inseguras é uma boa ideia. É possível colocar senhas em redes abertas – alguns estabelecimentos optam por isso, e a senha é fornecida aos clientes, por exemplo. Redes que usam segurança do tipo WPA2 protegem os dados de cada usuário individualmente. Se você tem uma rede sem fio, configure-a para usar WPA2.
“Hacking para as massas” é certamente uma maneira eficaz de chamar atenção para um problema. O Firesheep causou polêmica – mais do que qualquer outra apresentação da Toorcon. Até o momento, no entanto, nada mudou na segurança dos sites que Butler gostaria de ver mudarem. Enquanto isso, resta ter conhecimento do problema e das soluções que, por ora, são paliativas.
Fonte: G1
Publicado por Pastor Claybom, pai apaixonado, nerd como marca de nascimento, geek por paixão, adorador por excelência. Enfim, um servo de Deus que tenta entender tudo o que Ele nos oferece no dia a dia.