Reconocimiento biométrico de voz. Análisis Forense
Por Diego Guerrero - Informática Forense, Seguridad - 6 junio, 2011
Introducción
La ciencia forense abarca muy distintos campos, todos ellos necesarios para lograr sus fines, uno de sus objetivos es la identificación de individuos, bien para diferenciarlos inequívocamente de otros en un procedimiento judicial o, en el caso de fallecidos en circunstancias que impidan su identificación por los medios habituales.
Dentro de este ámbito, quizá la parte más conocida se refiera a la identificación biométrica; huellas digitales, palmares e incluso de otras partes del cuerpo, orejas, pies…
Sin embargo, en este caso, vamos a referirnos a la voz como elemento diferenciador único, capaz de señalar sin ningún genero de dudas la identidad del emisor.
Situación legal
Los avances técnicos en el tratamiento de archivos de audio, permiten al investigador forense, emitir dictámenes periciales con un alto grado de fiabilidad y totalmente válidos en instancias judiciales como apoyo en el conjunto del material probatorio.
Y digo apoyo por que en ningún caso la acústica forense por si misma puede considerarse como prueba de cargo irrefutable en procedimiento judicial alguno, al menos no en el momento actual.
En todo caso, puede tenerse como un indicio de identidad que en unión con otros puede resultar definitorio, de cualquier modo, el ADN, la dactiloscopia y otras técnicas de antropometría forense se muestran concluyentes en la identificación de individuos.
Tal vez se pregunte el por qué de esta diferencia clave, las anteriores técnicas de identificación mencionadas se basan en un procedimiento científico perfectamente estandarizado, documentado y validado, este no es el caso, al menos actualmente de la acústica forense.
Bases de datos y sistemas de identificación fono acústica
Tanto el Cuerpo Nacional de Policía, como la Guardia Civil disponen de sendos bancos de voces; LOCUPOL y SAIVOX convenientemente regulados y dados de alta en la agencia de protección de datos, que contienen grabaciones (dubitados/indubitados) obtenidos en distintos casos y que suponen una base de datos de inestimable valor tanto para el análisis forense como para el esclarecimiento de distintos delitos.
LOCUPOL, nace como una base de datos, en la que referenciar una muestra poblacional representativa lo más amplia posible, en cuanto a sexo, edad, procedencia geográfica, características fonéticas…, que pueda servir de referencia para posteriores estudios.
SAIVOX ( Sistema Automático de Identificación por Voz) utiliza un método de trabajo y aplicación ligeramente diferente, tal vez más efectivo, se trata de una herramienta multipropósito, por un lado es una base de datos en similares condiciones que LOCUPOL, con el valor añadido de que esta preparada para que en el momento de la detención de un individuo, aparte de la toma de huellas y fotografías, se obtenga una muestra de voz que y se incorpore directamente al sistema.
Por otro, por si misma es capaz de efectuar comparaciones de muestras de voz contra su base de referencias, filtrando la búsqueda por distintos parámetros; edad, sexo o tipo delictivo entre otros.
Las ventajas son evidentes; al contrario del caso del perito forense, SAIVOX tiene un índice de aciertos muy superior, es capaz de analizar muchas más voces en el mismo tiempo y procesarlas independientemente de la lengua de origen, por citar algunas de las más destacables.
Medios Técnicos
Esta disciplina no habría alcanzado la importancia que tiene en este momento sin los avances técnicos de los últimos años y la mayor disponibilidad de equipos y software específico.
Los laboratorios forenses han pasado de la utilización de magnetófonos del tipo TASCAM 302 y estaciones de trabajo digitales KAY DSP 5500, aún en uso en muchos departamentos, a sistemas mucho más eficaces y eficientes, basados en computadores dotados de tarjetas de sonido profesionales y software adecuado.
Podemos mencionar el programa de análisis acústico PRAAT, la suite BATBOX para la identificación biométrica de voces, el paquete WAVESURFER, T019, BIOSONIC FFT o algunos más conocidos por el público en general, como SOUND FORGE, LOGIC PRO e incluso el gratuito AUDACITY, perfectamente válido para muchas funciones.
Conclusión
El análisis biométrico de voz es una especialidad en pleno auge, que irá cobrando mayor importancia conforme se produzcan avances tecnológicos que aumenten su valor probatorio y su validez ante jueces y tribunales.
En este momento su único punto débil podría ser la carencia de un procedimiento científico estandarizado, que refuerce los resultados obtenidos, sin embargo, también en este campo se avanza a pasos agigantados.
Esteganografía. El arte de ocultar información
Por Diego Guerrero - Informática Forense, Seguridad - 5 junio, 2011
La Esteganografía es el arte o la habilidad de trasmitir información oculta en otros soportes, sin que sea visible para nadie, excepto para el emisor y el receptor.
Esta información aparte de camuflada puede ir cifrada, aumentando de esta manera el nivel de seguridad, por lo que la Esteganografía podría considerarse un accesorio del cifrado tradicional, usado desde la antigüedad para transmitir mensajes.
Plano Histórico
La Esteganografía no es algo nuevo, aunque pueda parecerlo, a lo largo de la historia se han usado los más diversos métodos para cifrar y ocultar mensajes.
Tal vez una de los métodos más conocidos sea la tinta invisible, ampliamente utilizada durante la Segunda Guerra Mundial, sistema que consistía en escribir con una solución de alto contenido en carbono, como el zumo de limón, el vinagre o la coca cola diluida, el mensaje deseado en un soporte existente sobre cualquier otro tema; revistas, libros, octavillas.
De tal manera que era necesario calentar el papel para poder ver correctamente el mensaje, este se ha demostrado como uno de los sistemas más económicos y sencillos de Esteganografía.
Sin embargo son cientos los métodos clásicos que se han empleado a través de los años, sustitución de letras, puntos marcados, rayas verticales/horizontales, aunque en estos casos tanto el emisor como el receptor debían conocer el código usado para poder escribir y leer el mensaje.
Como muestra actual, aunque muy rudimentaria, comentar la adopción por parte de ciertos colectivos de extrema derecha de la marca de ropa “LONSDALE”. Y, que tiene esto de particular, muy sencillo, dentro de este conocido logotipo se encuentran las iniciales del “NSDAP” Partido Nacional Socialista Obrero Aleman, o lo que es lo mismo el Partido Nazi.
En Alemania esta totalmente prohibido el uso o exhibición de cualquier emblema, logotipo o insignia referente al nazismo y esta es una manera de burlar dicha prohibición, sin que los no iniciados conozcan la realidad del mensaje.
Nuevas Tecnologías
Con el auge de la informática de los últimos años la Esteganografía ha vivido una nueva revolución, posiblemente la más importante de su historia, pues las posibilidades que ofrecen los sistemas informáticos y de telecomunicación actuales son casi infinitas.
Realmente, el procedimiento básico para ocultar mensajes o información en otros archivos ya sean de video, audio, imagen es el mismo y consiste en “sustituir los bits menos significativos del mensaje original por otros que contienen el mensaje oculto.”
La diferencia con el archivo original es insignificante en tamaño e inapreciable para la vista o el oído humano.
Posiblemente los archivos de imagen, dadas sus características son los tipos de archivo más usados para transmitir información camuflada.
Actualmente, con el auge de las comunicaciones, los programas de intercambio de archivos (P2P), el cloud computing, el correo-e y las comunicaciones de datos en general, las posibilidades y por tanto la cantidad de mensajes ocultos enviados y almacenados son inimaginables.
Existen infinidad de programas de uso libre que en pocos pasos permiten que cualquiera, aún sin grandes conocimientos pueda hacerlo.
Lo que viene
Las nuevas tecnologías avanzan vertiginosamente, por lo tanto los sistemas de ocultación de información también evolucionan de forma pareja, en poco tiempo, será posible no ya incluir mensajes o datos, sino archivos completos de cierto tamaño (imágenes, programas…) que irán camuflados perfectamente. Como ejemplo más común podemos mencionar los troyanos o el código malicioso, oculto en los más diversos archivos enviados y compartidos en la red.
La Telefonía VoIP es otro sistema a tener en cuenta, susceptible de ser usado como pantalla, pues, al amparo de una comunicación de Telefonía IP normal se podrá mantener simultáneamente otra oculta y al menos de momento, secreta.
Por no mencionar los sistemas de telefonía móvil y en definitiva, cualquier medio de comunicación digital.
Aplicación en servicios y sistemas de seguridad
A nadie se le escapa que este tema tiene una importancia capital para la seguridad, tal vez al más alto nivel, pues gracias a estos métodos es posible transmitir información de forma rápida, sencilla y sobre todo discreta, al abrigo de cualquier control por parte de agencias estatales de inteligencia.
La posibilidad de que gracias a la globalización y a las nuevas tecnologías, organizaciones criminales o terroristas puedan comunicarse sin ser detectadas es cuando menos preocupante.
Sin embargo lo que generaría más alarma social propiamente dicha, es la idea de que grupos delincuenciales se comuniquen de esta forma o refiriéndonos a otros delitos, como la pederastia, la posibilidad de que se intercambien imágenes con estos contenidos de manera casi indetectable, resulta espeluznante.
Prevención
La prevención y eliminación de contenidos ocultos es bastante complicada, requiriendo diversas herramientas y tiempo, lo que la hace casi imposible dada la enorme cantidad de información que circula libremente y que es susceptible de contener archivos o mensajes ocultos.
Tal vez el sistema más simple y posiblemente eficaz sería sustituir a su vez los bits menos significativos de los archivos, directamente por bits aleatorios, borrando de esta manera cualquier contenido “extra” existiera o no.
Consideraciones Finales
La Esteganografía en los últimos años y gracias al avance vertiginoso de las comunicaciones y la globalización de la información (internet) ha experimentado un desarrollo exponencial.
De cualquier modo, dadas sus posibilidades, requiere una especial atención por parte de las instituciones pertinentes, principalmente en el desarrollo de aplicaciones que permitan controlar su uso.
La curiosa guía sobre navegadores e Internet
Por Diego Guerrero - Seguridad - 3 junio, 2011
A finales del año pasado Google publicó un pequeña guía, en formato libro web ilustrado titulada «20 cosas que aprendí sobre navegadores e internet«, debido a su éxito, los chicos de Google, acaban de presentar una nueva versión, ahora disponible en 15 idiomas, entre ellos el Castellano y como guinda, han liberado el código. Una combinación de HTML5, CSS y JavaScript, para que cualquiera pueda experimentar con este nuevo formato propuesto de libro digital, que por sus características, se asemeja enormemente a uno tradicional, pero convenientemente adaptado al momento actual.
Quienes estén interesados pueden jugar con el código fuente y crear sus propios libros, esta posibilidad, seguramente atraerá a muchos, realmente tanto el formato como las distintas funciones que incorpora; Lectura offline, efecto luces apagadas, compartir en redes sociales, memoria de página… Hacen de él una herramienta práctica, de sencillo manejo y extremadamente útil.
En cuanto al contenido, estamos ante una guía básica, ilustrada por Christoph Niemann sobre algunas de las características más importantes referidas a los navegadores y a Internet, en ella, a través de sencillos conceptos y explicaciones aptas para cualquier perfil de usuario, el lector podrá comprender en pocos minutos algunas de las capacidades más habituales de cualquier web browser; HTML5, DNS, Cookies, extensiones, privacidad, computación en la nube…. hasta un total de 20.
La integridad de los navegadores web es actualmente uno de los dolores de cabeza de los desarrolladores, constantemente se descubren nuevos agujeros de seguridad, mediante los que un usuario malintencionado puede obtener datos personales e incluso usurpar la identidad de los afectados, con el riesgo que esto supone.
A lo largo de tres de sus capítulos; Software malintencionado, phishing y riesgos de seguridad, Como te protegen los navegadores actuales del phishing y del software malintencionado y Aprende a leer las URL para proteger tu seguridad. El lector adquirirá las destrezas y nociones básicas para evitar cualquier percance.
Por último mencionar que la versión original, obtuvo la Nominación de Honor Especial en la en la 15ava Edición de los Premios Anuales Webby en las categorías de Educación, Mejor Diseño Visual y Mejores Prácticas. Para aprender más acerca de los detalles técnicos tras las mejores funcionalidades del libro, podéis leer este post en el Google Code Blog.
Como NO deberías realizar una campaña en Facebook. Banco Santander
Por Diego Guerrero - Marketing, Redes Sociales - 1 junio, 2011
A estas alturas de la vida, todos los que en mayor o menor medida, sea por obligación o devoción, estamos implicados en el mundo del social media, tenemos más o menos claro el potencial que ofrecen las distintas redes sociales en el ámbito de la promoción empresarial, imagen de marca, lanzamiento de productos y fidelización de clientes entre otros.
Continuamente leemos y escuchamos términos, como; SEO, posicionamiento, socialización, fidelización, marketing online, social evangelist, social commerce. En este momento todo tiene que ser social o 2.0, 3.0… y si no, “No mola”.
Un panorama alentador, no hay duda…, pero. ¿Dónde queda la lógica? ¿Y el sentido común?, algunos tal vez necesiten una brújula.
Se ha dicho, publicado y comentado hasta la saciedad el riesgo que supone, dentro de Facebook, autorizar “alegremente”, el acceso por parte de las aplicaciones a los datos de nuestros perfiles, pues nunca podemos saber con certeza como o para que van a ser utilizados.
Entonces, con toda seguridad, obligar a los usuarios de Facebook que deseen ver la página de una empresa a permitir el acceso de una aplicación a sus datos como condición previa, a muchos no les parecerá la mejor de las ideas.
La entidad Banco Santander no comparte esta opinión, en este momento si queremos visitar su sitio en Facebook www.facebook.es/bancosantander, automáticamente nos dirige a una ventana, en la que una aplicación de nombre “Stadium race – Santander” nos pide permiso para acceder a nuestra información básica.
Y además, lo hace sin mediar explicación alguna, sobre de que se trata o cual es su función y finalidad. Con un par… de clics vía San Google, podemos ver que se trata de un sorteo de tres entradas para el evento del motor Stadium Race a celebrar el 30 de junio…
Si permitimos el acceso de la aplicación a nuestro perfil, podremos ver el sitio del Banco de Santander y rellenar, aportando algunos datos extra el formulario de participación.
Mientras tanto, participemos o no en su promoción, la entidad obtiene información personal de una cantidad indeterminada de usuarios, todo son ventajas…
Personalmente considero está táctica, por qué no merece ser considerada técnica, un error garrafal, que no solo no ayuda, si no que compromete y además seriamente la imagen de la entidad en los medios sociales.
El concepto social media, debería referirse siempre, al conjunto de técnicas y acciones dirigidas a establecer lazos “sociales” con el público, atrayendo su atención y generando una opinión positiva de la marca o producto. (marketing relacional)
Desde luego, si esa socialización se convierte en una obligación… está claro que no hemos entendido nada.
Facebook Guía Práctica
Por Diego Guerrero - Libros publicados - 31 mayo, 2011
Acaba de salir a la venta la obra -Facebook Guía Práctica-, publicada por editorial Starbook y escrita por el autor de este blog, Diego Guerrero.
Se trata de una guía práctica visual completamente actualizada, para que cualquiera que esté interesado bien en conocer Facebook o descubrir todas sus posibilidades, pueda lograrlo de forma rápida y sencilla, con multitud de imágenes de referencia y ejemplos paso a paso.
Sin olvidar la configuración de la privacidad y la protección de la intimidad, sobre todo en relación con la situación de los menores frente a las redes sociales, consejos para padres, herramientas de control parental y otros recursos.
Además, cuenta con abundante información complementaria sobre la utilidad de Facebook como herramienta en el ámbito corporativo y educativo; grupos de trabajo, imagen de empresa, lanzamiento de productos, publicidad dentro de la red y técnicas de marketing adaptadas.
Si desea más información o adquirir un ejemplar, acuda a su librería habitual, o bien haga clic aquí
Informática Forense
Por Diego Guerrero - Informática Forense - 30 mayo, 2011
La disciplina forense adaptada al ámbito de las nuevas tecnologías, surge como respuesta al auge delincuencial que utiliza como apoyo o medio cualesquiera soportes electrónicos.
En el momento actual son muchos los casos en los que se obtienen distintos medios de prueba, vitales para el éxito de una investigación, de discos duros, teléfonos móviles, PDAs y sistemas GPS.
No olvidemos que la finalidad de las técnicas forenses aplicadas al medio digital, no es otra que contribuir a detener y judicializar a los culpables de un hecho y contar con las pruebas de cargo apropiadas que resulten en una sentencia condenatoria, o, en el caso contrario, exculpar a un inocente.
Una definición apropiada, podría ser “La preservación, recuperación y análisis de la información almacenada en las computadoras u otros medios electrónicos”
Para ello, el investigador cuenta con distintas herramientas que le facilitarán la tarea, es preciso tener presente la ingente cantidad de datos a examinar y el reto que supone, más aún en una especialidad relativamente reciente, que carece de un estándar consensuado en cuanto a medios y técnicas.
Por lo tanto, por regla general, depende del interés, tesón y capacidades del investigador el éxito del proceso.
¿Qué se puede lograr mediante el uso de la informática forense?
- Recuperación de archivos ocultos, borrados o dañados
- Identificación de rutas, modificaciones y autoría de documentos y datos
- Acceso a información protegida o cifrada, revelado de contraseñas
- Seguimiento de transferencias de archivos, correos electrónicos, sesiones de chat, comunicaciones vía red (Internet) y VoIP
- Identificación de origen y destino. Rastreo de archivos en Cloud computing
- Posicionamiento e historial de dispositivos dotados de GPS
- Auditoría de actividad en computadores y dispositivos electrónicos.
- Pruebas de penetración y certificación de seguridad de redes y sistemas
- Estudio de virus, troyanos… back orifice, rootkits. Ingeniería inversa
¿Aplicaciones prácticas ?
Las técnicas forenses en el entorno digital, cuentan con un amplio horizonte de aplicación, desde la recuperación de información en soportes informáticos intervenidos, por ejemplo en casos de terrorismo, fraude fiscal, malversación de fondos, espionaje industrial o civil. Hasta la geolocalización y seguimiento del historial de dispositivos GPS, móvil y VoIP, que pueden resultar decisivos en cualquier investigación policial.
Principales herramientas
Forensics Toolkit.-
Vale la pena mencionar esta suite, creación de Farmer y Venema, pioneros de la informática forense, enfocada fundamentalmente al tratamiento de soportes sólidos, en cuanto a la recuperación de información.
Microsoft Coffee.-
Microsoft, ha desarrollado y puesto a disposición de las distintas agencias de seguridad, el programa Coffee. Se trata de una utilidad ligera, que puede portarse en un dispositivo USB con más de 150 funciones automatizadas, que facilitan la toma de evidencias in-situ de forma rápida y eficaz.
EnCase.-
Lider del sector, Guidance Software, comercializa distintas soluciones integradas bajo la denominación EnCase; Enterprise, eDiscovery, Cybersecurity. Que cubren todo el espectro posible en el ámbito pericial y de seguridad corporativa, desde el estudio de soportes y memorias temporales, hasta la investigación de paquetes de red, ruteados y cadenas de datos.
OSForensics.-
Actualmente en fase Beta y de distribución gratuita, se trata de una completa suite, con la que realizar la mayoría de las tareas habituales; Clonado DD, Comparación de cadenas, cálculo de hashes… Incorpora un potente gestor que discrimina eficazmente los archivos no relacionados, facilitando al investigador su labor.
Helix.-
Se trata de un liveCD basado en la distribución de Linux Ubuntu, modificada para su uso como herramienta forense, incorpora una gran variedad de programas útiles.
Estas son solo algunas de las aplicaciones disponibles para la práctica forense, si, por ejemplo, nuestra intención es realizar una auditoría de seguridad, podemos usar la distribución de Linux BlackUbuntu, especialmente preparada para llevar a cabo acciones de penetración.
Con el auge de las redes P2P y el uso malicioso de su soporte para la distribución de archivos susceptibles de ser considerados como pornografía infantil, se plantea un nuevo reto, principalmente a la hora de identificar y rastrear archivos o partes de los mismos. El programa Disector puede ser de gran ayuda para lograrlo, ya que permite decodificar cualquier trama de datos parcial capturada.
También son muy necesarias aplicaciones que faciliten el seguimiento de correos electrónicos, Emailtracker y Visualware son algunos de las más destacados, se encargarán de rastrear el origen de cualquier email con sorprendente eficacia.
Por último, resulta imprescindible contar con uno o varios programas de recuperación y descodificación de contraseñas, su utilidad es más que evidente, John the Ripper,SnadBoy’s Revelation y Cain son algunos de los más conocidos.
Sin embargo, si en lugar de a las típicas contraseñas de Windows, Bios, aplicaciones comerciales y archivos del tipo Officce, nos enfrentamos a un nivel de seguridad superior, con hashes MD4, MD5 y NTLM1, será preciso recurrir a herramientas más especializadas como MDcrack o la suite PenTBox (RIPemd-160).
Conclusiones
Es esta una disciplina en ebullición, cada día, cada minuto, surgen nuevas formas de vulnerar los sistemas de seguridad, logaritmos de encriptación más potentes y medios para evitar el seguimiento por parte de los investigadores forenses.
Un buen ejemplo de ello, sobre todo por su implicación en la situación social actual en determinados países de oriente medio, es el programa multiplataforma TOR.
TOR, protege la identidad del usuario, evitando que sus comunicaciones y actividad en la red pueda ser supervisada o rastreada por cualquier medio, se trata de una de las aplicaciones más eficaces en este sentido.
Su uso en combinación con las técnicas tradicionales de ocultación, camuflaje de MACs, saltos múltiples de proxy, conexiones mediante redes públicas o intervenidas, convierte el rastreo del origen y la identificación plena del autor en una utopía.
El especialista en seguridad o investigador perito forense, debe dedicar gran parte de su tiempo al aprendizaje, reciclaje y a la experimentación con toda nueva herramienta que caiga en sus manos.
En el momento actual no existe ningún tipo de formación reglada, que pueda servirle de base para su actividad, sin embargo, gracias a la red, es posible obtener información actualizada constante, en los distintos grupos dedicados a la materia, principalmente a nivel internacional.
Bibliografía en Castellano
neosysforensics.blogspot.com
conexioninversa.blogspot.com
windowstips.wordpress.com
www.elladodelmal.com
opensec.es
www.elhacker.net
www.wadalbertia.org/foro/portal.php
www.infospyware.com
www.hispasec.com
www.hackhispano.com
www.kriptopolis.com
www.zonavirus.com cp4df.sourceforge.net
Bibliografía en Ingles
www.nhtcu.org
sourceforge.net/projects/oscfmanual/
homes.cerias.purdue.edu/~carrier
www.porcupine.org
journeyintoir.blogspot.com
windowsir.blogspot.com
ericjhuber.blogspot.com
mobileforensics.wordpress.com
www.forensickb.com
www.forensicswiki.org/wiki
www.e-evidence.info/biblio.htm
Fraude en la Red
Por Diego Guerrero - Libros publicados - 30 mayo, 2011
Acaba de salir a la venta la obra -Fraude en la Red-, publicada por editorial RA-MA y escrita por el autor de este sitio blog, Diego Guerrero.
Se trata del primer libro publicado, completamente en castellano, dedicado íntegramente a las estafas y al fraude realizado mediante el uso de nuevas tecnologías.
Robos de datos bancarios, estafas en ventas a través de internet, ofertas falsas de trabajo, protección de datos personales, consejos de seguridad y recomendaciones, son algunos de los temas que aborda el libro, siempre de forma amena, con ejemplos reales y comprensible para cualquier usuario.
Si desea más información o adquirir un ejemplar, acuda a su librería habitual, o bien haga clic aquí
Secuestro de sesiones en redes WIFI Públicas
Por Diego Guerrero - Seguridad - 30 mayo, 2011
Actualmente, más aún con la proliferación de smartphones y dispositivos móviles, preparados para acceder a Internet a través de redes inalámbricas, están proliferando las zonas con WIFI gratuito, libre, o con facilidades de acceso para múltipes usuarios, hablamos de aeropuertos, universidades, cafeterías, hospitales, hoteles, centros públicos… en definitiva, cualquier lugar donde el acceso tenga medidas de seguridad limitadas o inexistentes y desde el que se conecte una colectividad de usuarios.
Siempre han existido procedimientos, para que un usuario avanzado y malintencionado pudiera espiar los datos que se envían mediante estos métodos de acceso vulnerables, sin embargo, es ahora cuando el riesgo es más elevado, con la aparición de Firesheep.
Firesheep es un extensión del navegador Firefox, funcional tanto en Windows como en Mac OS X, que permite a su usuario monitorizar el tráfico de la red wifi a la que se encuentra conectado, concretamente a la busca y captura de inicios de sesión, almacenando y mostrando al usuario de Firesheep, el nombre y contraseña obtenidos.
Afecta únicamente a aquellos inicios de sesión, realizados mediante paginas web no seguras, es decir, aquellas cuya dirección empieza por Http:// , esto significa, que cualquier acceso a las distintas redes sociales, servicios de correo gratuitos, windows live, foros, o cualesquiera otro tipo de servicios, que no accedan mediante protocolos de red segura, del tipo Https:// o SSL, son vulnerables a esta herramienta.
Firesheep, como se puede ver en la imagen, se presenta como una barra lateral en vuestro navegador, una vez iniciada la captura de datos, irá mostrando cualquier información de acceso obtenida, información que, en pocos minutos, de forma inmediata, el usuario de Firesheep podrá emplear a su vez, suplantándo su identidad.
Su funcionamiento es muy simple, básicamente aprovecha una vulnerabilidad, presente en la mayoría se sitios web, es muy sencillo, muchos sites utilizan cierto grado de encriptación para el envío de sus nombres de usuario y contraseñas, sin embargo, igualmente, pocos encriptan los datos contenidos en las llamadas cookies, que, en este caso, se almacenan en su ordenador, para mantenerle conectado a su sesión, durante el tiempo en que se encuentre en el servidor.
En la práctica, Firesheep, captura las cookies de los usuarios de la red wifi, relativas a los inicios de sesión en sitios web predefinidos como; Gmail, Facebook, Twitter, Msn…etc, el procedimiento es conocido como «sidejacking«, posteriormente, muestra la cookies obtenidas al usuario malintencionado, permitiéndole suplantar la identidad del afectado, facilitándole de esta manera el acceso e inicio de sesión, en cualquier sitio web al que se haya conectado la víctima, mediante nombre y contraseña, que no este protegido por SSL o conexión segura HTTPS://
Como protegerse
- Evite acceder a sus perfiles de usuario cuando navegue a través de redes públicas
- Si usa Firefox, instale el complemento HTTPS Everywhere
- Si usa Google Chrome, instale KB SSL Enforcer
Ojo! Estos complementos, únicamente, a la hora de conectarse a su cuenta de, por ejemplo Gmail, si el proveedor del servicio permite el acceso mediante conexión segura, forzarán que así sea, evitando que programas como Firesheep se hagan con sus datos.
Sin embargo, existen muchos sitios web, la mayoría de las redes sociales, sin ir más lejos, que no permiten el acceso mediante conexión segura, por lo que, aunque los instale, seguirá siendo vulnerable.
Es imprescindible que los responsables de los sitios web afectados por esta vulnerabilidad, se conciencen cuanto antes del riesgo existente, modificando sus sistemas de acceso, haciéndolos más seguros, protegiendo de este modo la información personal de sus usuarios.
De que le sirve, una configuración de privacidad apropiada y múltiples opciones de personalización para proteger su intimidad, si, con una herramienta como Firesheep, cualquier usuario sin grandes conocimientos, puede lograr los datos. para acceder y tomar el control de su cuenta.
Página web del autor de Firesheep, pulsa aquí para verla.
