Secuestro de sesiones web



por Roberto Gómez Cárdenas

bSecure - Internet se inventó en los sesenta y en un principio se utilizaba para conectar dispositivos localizados en diferentes lugares. La aplicación que dio a conocer a internet a los usuarios no informáticos fue el correo electrónico, inventado por Tim Robinson a mediados de los 60s. En 1991, en el CERN (Laboratorio Europeo de Física Nuclear de Ginebra ), Tim Berners-Lee crea el protocolo HTTP y el lenguaje HTML, base de lo que es WWW. Fue durante los años 2002 y 2003 que aparecen las redes sociales, una de las aplicaciones que ha popularizado el uso del WWW entre las personas.

Las redes sociales han sido víctimas de diferentes ataques desde su creación. La suplantación de identidades es algo común, alguien puede darse de alta en una red social a nombre de otra persona. También es posible implementar un ataque de phishing, en el que el usuario entre a un sitio falso y proporcione sus datos de autenticación a otras personas. Los ataques de negación de servicio sobre este tipo de sitios también son factibles. Apenas hace un par de semanas, se presentó una herramienta que permite ver las sesiones de otros usuarios. El nombre de la herramienta es Firesheep y se basa en el concepto de secuestro de sesiones.

Un secuestro de sesiones se da cuando un atacante logra colocarse entre dos máquinas, y apoderarse de la sesión establecida entre ambas. Para poder llevar a cabo lo anterior el atacante captura los paquetes que van dirigidos de una máquina a la otra, con el objetivo de conocer el número de secuencia y el número de acknowledge que vienen dentro de esto. Estos datos son necesarios para que el atacante pueda modificar los paquetes sin despertar sospechas en la víctima. Una vez conocidos estos valores, el atacante envía un paquete de término de sesión a una de las máquinas y continua la sesión capturada con la otra. Existen varias herramientas para IP Watcher, Hunt y T-Sigth. En algunos protocolos sólo se protegen los paquetes usados para llevar a cabo la autenticación y el resto se envía en claro, lo que permite que el atacante se apodere de la sesión aun esta fuera autenticada de forma segura.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Coincidencias Desafortunadas: Ángel de Hielo

Imagen
Iniciamos esta nueva categoria: Coincidencias Desafortunadas, con el post de Filemón Alonso Miranda aka @urbanitas acerca de Goidsargi Estívalis Carranza, el Ángel de Hielo . La coincidencia desafortunada fué el AdSense de Google publicitando reparación de refrigeradores, siendo que la nota hablaba de que la asesina habia mantenido por varios días los cuerpos mutilados de su ex esposo y novio. #Toing
Leer más

Oldies Web

Imagen
Muchos de ustedes tendrán años navegando en Internet; pues bien para aquellos con melancolías por las primeras webs que alguna vez visitaron, es que les paso el siguiente tip: Vía el web Internet Archive Wayback Machine es posible visualizar versiones viejas de páginas web con teclear la dirección URL y seleccionar la fecha de interés. Ello puedes hacerlo siempre y cuando, en la cache del servidor host del sitio web de interés, se siga guardando la información de la versión añeja del web. Anexo una captura de pantalla de ejemplo donde observamos cómo se veía Google! Beta en Diciembre 2 de 1998.
Leer más