8 nov 2010

¿Cómo protegerme de Firesheep?

By Leo Romero 8 nov 2010 18:54 , , ,
Mucho se está hablando sobre Firesheep, el último hype que ha saltado a la primera fila informativa poniendo de manifiesto algo de lo que se llevaba hablando en foros mas específicos desde hace tiempo (la inseguridad de muchos servicios web por no implementar SSL correctamente).

Como mucha gente se ha interesado en el tema y en concreto por como protegerse, vamos a responder de una forma lo mas concisa posible a la pregunta de como defenderse contra Firesheep y en general contra ataques que impliquen 'sniffing' de red:

Protección parcial

Soluciones que mitigan parcialmente ataques como el de Firesheep:

Herramientas generadoras de 'ruido';
  • Beneficios: Es una aplicación que inyecta tráfico falso en la red para confundir a Firesheep y entorpecer su labor.
  • Desventajas: Si usamos como analogía el cuento del lobo y los tres cerditos, esta sería la casa de paja, fácilmente anulable, solo útil como parte de la estrategia defensiva, no como solución definitiva
 
Extensiones para navegadores que 'fuerzan' el uso de SSL:
  • Beneficios: Permite forzar las conexiones contra los servidores empleando SSL
  • Desventajas: No todos los servicios están soportados, se puede conseguir sesiones SSL para Facebook o Twitter pero no para servicios como Tuenti y otros.
[*]HTTPS Everywhere (Firefox)
[*]Force-TLS (Firefox)
[*]KB SSL Enforcer (Chrome)

Extensiones para navegadores que cifran toda la navegación:
  • Beneficios: Permite cifrar todo el tráfico de la navegación, protege el tráfico entre tu --> servidor TOR
  • Desventajas: Poca fiabilidad en la gestión del extremo final (el servicio TOR), dependes de la buena voluntad de quien ejecuta el servidor TOR
[*]Torbutton (Firefox)
 Protección total

Soluciones que ofrecen protección integral:

VPN basada en SSH:
  • Beneficios: Protección total de la navegación, permite hacer 'bypass' de proxys
  • Desventajas: Engorroso de implementar, requiere 'meter las manos en harina'

VPN con soporte técnico:
  • Beneficios: Protección total de la navegación, servicio de VPN con servicio garantizado
  • Desventajas: tiene un coste asociado

VPN Gratuita:
  • Beneficios: Protección total de la navegación
  • Desventajas: El servicio se ofrece sin garantías y con limitaciones en cuanto a uso, ideal para uso particular, no para perfiles profesionales
[*]ProXPN
[*]ItsHidden

BlackSheep – Firefox Add-on
  • Es un Add-on de Firefox hecho exclusivamente para informarte si alguien en tu red está usando Firesheep.
Más info: http://www.zscaler.com/blacksheep.html


Fuente: http://www.securitybydefault.com/

Author & Editor

Ingeniero, me gusta la cyberseguridad, la programación y el blockchain.

4 Notaciones:

  1. Anónimo9 de noviembre de 2010, 22:51

    ProXPN y BlackSheep la mejor solución 100%

    ResponderEliminar
  2. Anónimo10 de noviembre de 2010, 0:05

    ProXPN es seguro ?? es eficiente ?? sirve como proxy ??

    ResponderEliminar
  3. Leo Romero10 de noviembre de 2010, 7:11

    @Anónimo

    ProXPN es muy efectivo y rápido, también lo puedes usar para el anonimato (como proxy). Es una muy buena alternativa.

    [+] Salu2

    ResponderEliminar
  4. Anónimo9 de diciembre de 2010, 2:19

    que podria afectar a una VPN actualmente ? o pasar algun mal rato al administrador ?

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)

Labels

0-day (12) 1337day (1) 8.8 (2) Adobe Acrobat (1) Android (2) Anonimato (1) Anonymous (9) BackDoor (2) BackTrack (15) badUSB (1) Base64 (1) Black Hat (7) BlackHat (1) Blackploit (30) Brute Force (3) Bug (106) Bypass Password (1) Bypass Redirect (1) C99 Shell (1) Carding (1) CheatSheet (15) Chilean Way (2) Conference (10) Cryptsetup (1) CSRF (1) DDoS (11) DEF CON (3) DEFCON (7) Dev (1) Diapositivas (1) Diseño Web (1) Distro Linux (27) Documental (2) DoS (2) Drupal (1) DuckDuckGo (1) E-zine (18) Ekoparty (1) Escaneo (4) España (1) Exploit (64) Ezine (1) Facebook (1) Fast-Info (44) FBI (1) Ficheros Binarios (1) Firefox (4) Flash (2) Forense (9) Fuerza Bruta (11) Fuga de Datos (1) GhostShell (1) GNU/Linux (4) Google (2) Guía (1) Hack T00LZ (135) Hack Tips (63) Hacked (6) Hacking (19) Hacking Hardware (5) HashCat (1) Herramientas (125) HighSecCON (1) Humor Geek (13) Infografía (1) Ingeniería Social (5) Inj3ct0r (1) Internet Explorer (3) Java (7) JavaScript (2) Kali (3) KitPloit (6) Leaks (22) Linux OS (79) LulzSec (1) Mac OS (10) Magazine (1) Malaware (3) Malaware Tools (12) Malware (1) Man in the Middle (15) Manuales (3) MD5 CRACK (4) Metasploit (57) MSSQL (1) MySQL (6) MySQL CRACK (1) Nmap (6) Nmap NSE (2) Noticias (200) NTLM CRACK (1) Ofuscar (5) OpenSolaris OS (1) OpenSSL (1) ORACLE (1) OWASP (3) Paper (10) PDF (7) PenTest (14) Perl (2) Phearking (13) Phishing (3) PHP (13) phpMyAdmin (1) PoC (1) Premios Bitacoras (1) Presentaciones (11) PRISM (1) Privacidad (2) Programación (12) Programas Linux (41) Programas Windows (41) Pwned (1) Python (5) Ransomware (1) Reconocimiento (5) Ruby (2) s (1) Scripts (7) Seguridad (150) Seguridad Web (139) Seguridad Wireless (19) Sensitive Data Exposure (2) SHA1 CRACK (1) Shellshock (1) Slides (1) Spoofing (1) Spyware (1) SQLi (19) SQLi Tools (7) SQLMap (2) SSH (1) Textos (74) Tips (57) Troyanos y Virus (11) Trucos (7) Trucos Win (7) Turiales (56) Tutoriales (18) Twitter (1) Ubuntu (2) Underc0de (1) UnderDOCS (1) Unlock (1) URL Redirection (1) UXSS (1) vBulletin (1) Video (48) Virtualización (2) Web T00LZ (16) Wifislax (1) Wikileaks (1) WikiRebels (1) Windows OS (65) Wireless Tools (13) XSS (16) Youtube (1)

 
biz.