Grave Vulnerabilidad en las redes Wi-Fi públicas

Se ha hecho pública una aplicación que tiene la capacidad de “capturar” las sesiones de usuario iniciadas en una red Wi-Fi pública sin contraseña.
La aplicación denominada Firesheep permite, literalmente, entrar a cuentas de Facebook, Twitter y muchos otros sitios o redes sociales (ver la lista que se adjunta). Funciona analizando el tráfico de datos que cruza a través del punto de acceso Wi-Fi hacia el que el usuario está conectado.
Es muy común que los sitios web protejan los datos del usuario encriptando la identificación al conectarse, pero es muy poco frecuente que se encripte el resto del tráfico, esto causa que la transmisión del “cookie” (donde vienen incluídos tus datos de acceso) se haga “en abierto” sin ningún tipo de protección. Permitiendo que el “secuestro” de la sesión del usuario sea sumamente sencillo.
Esto tiene un potencial altamente peligroso, especialmente en eventos públicos donde cientos (o miles) de personas se conectan al mismo punto de acceso.
Eric Butler el autor de esta aplicación, creó la extensión para exponer el serio problema de seguridad que hay en miles de sitios, que, según él, han ignorado la responsabilidad por demasiado tiempo.

Algunos de las redes sociales y sitios web que Firesheep detecta automáticamente:

• Amazon.com
  Basecamp
  bit.ly
  Cisco
  CNET
  Dropbox
  Enom
  Evernote
  Facebook
  Flickr
  Github
  Google
  HackerNews
  Harvest
  Windows Live
  NY Times
  Pivotal Tracker
  Slicehost
  Tumblr
  Twitter
  WordPress
  Yahoo
  Yelp

Pero se se pueden agregar más sitios por medio de plugins para la extensión. La pequeña aplicación ha llamado la atención de miles, y ha sido usada por muchos para comprobar la efectividad, como se puede evidenciar por una simple búsqueda en Twitter.
Hoy más que nunca es importantísimo ponerle mucha más atención a la seguridad y sobre todo la protección del tráfico entre sus respectivos equipos y el internet.
Lo escalofriante del hecho es que cualquiera que haya instalado la extensión en su navegador Firefox, solo necesita hacer un doble click para capturar las sesiones de quienes se hayan conectado a Google, Facebook, Twitter, Flickr o Windows Live (entre otros) en una red wi-fi pública.
Para funcionar, el Firesheep necesita que la víctima se haya conectado a una red Wi-Fi pública y abierta, como las que se hallan disponibles en los bares, hoteles, aeropuertos, universidades y otros edificios públicos.
¿Cómo protegerse de Firesheep?
La mejor solución es no usar las redes wi-fi públicas para conectarse a los sitios de la lista adjunta, pero si no hay otra alternativa hay que usar (siempre que sea posible) las versiones https de las páginas a las que se desea acceder.

• Evitar a toda costa utilizar redes WiFi públicas.
  Si solo se dispone de conexiones WiFi, utilizar solo conexiones SSL/TLS o bien conectarse por VPN.
  Evitar utilizar WEP y WPA TKIP en los puntos de acceso. Preferir WPA2 con RADIUS.

Afortunadamente, el navegador Mozilla Firefox dispone de herramientas que permiten forzar las conexiones seguras y el cifrado de la transmisión de datos.

• Sugerencias:
  Usar el navegador Mozilla Firefox [1]
  Instalar los complementos Force-TLS [2] o HTTPS Everywhere [3]
  En Gmail: forzar el uso de HTTPS desde la opción “Configuración”

[1] Mozilla Firefox: http://www.mozilla.com/es-AR/
[2] Force-TLS: https://addons.mozilla.org/en-US/firefox/addon/12714/
[3] HTTPS Everywhere: https://www.eff.org/https-everywhere
Referencias:
http://planh.wordpress.com/2010/10/28/tutorial-como-proteger-tu-equipo-del-hackeo-de-firesheep/
http://techtastico.com/post/como-proteger-firesheep/
http://www.uberbin.net/archivos/seguridad/firefox-firesheep-hacker-en-15-segundos.php
http://techtastico.com/post/como-proteger-firesheep/

Google Gmail ofrece llamadas por VoIP y cabinas telefónicas físicas

Google lanza desde esta mañana su apuesta en el campo VoIP, al integrar su servicio independiente Google Voice dentro de  su popular servicio de correo electrónico Gmail para hacer llamadas IP hacia Internet  y teléfonos fijos.

Pero además de habilitar el servicio digital, Google también lo apoya implementando presencia física a través de cabinas telefónicas con Google Voice.
El anuncio se hizo hoy en su blog. Está llamando mucha atención debido a que ofrece llamadas gratuitas a Estados unidos y Canadá durante el 2010. y tarifas bajas para llamadas internacionales.

Cabinas físicas para Google Voice

Dentro de las próximas semanas Google estará instalando cabinas telefónicas en campus universitarios y aeropuertos para que la gente pueda probar y comparar su servicio. Los modelos mostrados tienen la forma de las típicas cabinas telefónicas rojas como la de la foto de este artículo.

¿Google Voice hará  la batalla a Skype?

Google había comprado a Global IP Solutions, un ex proveedor de Skype de servicios para video conferencia por $68 millones. El año pasado compró Gizmo5, un proveedor de VoIP, luego de que no se concretara su compra por parte de Skype. Google ha venido usando estos recursos en la preparación de la solución que hoy nos ofrece.
Skype tiene una base de 590 millones de usuarios. Mientras Gmail tiene 200 millones. No parece que Skype tenga que temer por su supremacía, ya que no todos los usuarios de Gmail van a usar el nuevo servicio.
Más bien parece que el objetivo de Google Voice es otro. Observando este gráfico vemos como Google compara las tarifas de su servicio con un anónimo “Proveedor líder de telefonía IP”.

 Este video realizado por Google nos presenta el nuevo servicio.

¿Cómo instalar Google Voice?

Para probar Google Voice debes instalar un software disponible en esta página. Una vez instalado el componente, se te pedirá que reinicies el navegador.