Como estos sitios cambian constantemente, la info estaba un poco obsoleta :P, pero ya esta listo y actualizado con las nuevas versiones :).
Hasta ahora conocemos distintos métodos de como robar cookies por los siguientes posts:
- Cookies
- XSS
- Sidejacking
Todos estos tipos de ataques se les conoce como Session Hijacking, y consisten principalmente en robar las cookies de la víctima
Ahora bien, ¿Cómo podemos protegernos ante este tipo de ataques?
Usando HTTPS
En las redes existen distintos tipos de protocolos, definamos que un protocolo es un lenguaje (como el español), sólo la aplicación adecuada conoce este lenguaje, y en el caso de HTTP (que significa Hypertext Transfer Protocol), sólo el navegador (safari, explorer, firefox...), sabe interpretar este lenguaje; que además es el más usado por las páginas que visitas normalmente, ahora bien, este lenguaje es vulnerable, ya que todo lo que se envía y recibe es a través de texto plano, es decir, que si una persona llega a capturar un paquete, este es legible por esta persona, sin necesidad de desencriptarlo.
Por eso se creo una versión alterna de HTTP, llamada HTTPS, cuya única diferencia es que toda la información que viaja, se encuentra de manera encriptada, y por lo tanto no puede ser leído por nadie más que el navegador y el servidor (sin embargo no hay que confiar 100% en esto).
Instrucciones para "obligar" el uso de HTTPS en distintas páginas:
Flecha de la esquina superior derecha (a lado de el botón de "Inicio") --> Configuración de la cuenta --> "Seguridad" en el panel del lado izquierdo --> Navegación segura
Twitter
Perfil --> Editar tu Perfil --> Solo HTTPS
Gmail
Menú del Engranaje (del lado derecho) --> Configuración --> Usar siempre https
Hotmail
Es necesario acceder a la página escribiendo https://hotmail.com
(Si requieren saber como habilitarlo en otra página avísenme por un comentario, pero recuerden, que NO siempre es posible en todas las páginas)
Usando un VPN
Una VPN (Virtual Private Network) es una red privada virtual, es decir, es una red establecida en la internet donde varias computadoras están conectadas como si estuvieran en una red local, esto evita que los datos enviados mediante una VPN sean interceptados por otra persona.
Existen servicios gratuitos de VPN sin necesidad de configuración:
Este tipo de conexiones es verdaderamente útil cuando una persona se encuentra en una zona de Wi-Fi gratuito, como bibliotecas, cafés, universidades, centros comerciales, etc.
Eliminando cookies
Si eres paranóico, y guardas las cookies de tus sesiones en una computadora compartida, o tienes miedo de que alguien más la pueda usar, puedes usar extensiones para que tus cookies se borren cada vez que cierras el navegador y sólo funcionen durante la sesión.
Algunos de estos son, por ejemplo:
- Chrome --> Forget me
- Firefox --> Cookie Killer / NoScript
- IExplorer --> Cookie Monster II
Revisando logs de la sesión
Algunos sitios permiten verificar desde donde fue la última vez que abriste la sesión y en donde, incluso las sesiones activas, esto es bastante útil, si sospechas que alguien más ha estado entrando a tu cuenta, o eliminar y prohibir las conexiones no deseadas
en Gmail
En la esquina inferior derecha donde dice "Última actividad de la cuenta"
si necesitan más detalles pueden hacer click en "Información detallada"
en Facebook
(se cree que esta característica se añadió debido a que la cuenta del fundador de facebook, Mark Zuckerberg fue hackeada --> link )
Flecha de la esquina superior derecha (a lado de el botón de "Inicio") --> Configuración de la cuenta --> "Seguridad" en el panel del lado izquierdo --> Sesiones activas
Hasta ahora sólo he visto esta utilidad en gmail y facebook, muchas personas insisten en que hotmail también debería tener este tipo de herramienta, pero al parecer microsoft se rehusa a agregarlos (link)
(CONSEJO: usen gmail!) .
Usando Sentido Común.
A veces sólo es necesario un poco de sentido común, que es útil en especial para los ataques de XSS, basta con reflexionar acerca de:
- la procedencia de los links de internet
- no ingresar a sitios fraudulentos o peligrosos
- Usar solo HTTPS en una red Wi-Fi abierta, (en caso de que no este habilitada la página para https, no usarla o usar una conexión VPN)
- Mantener seguros tus dispositivos (incluyendo smartphones).
- Leer recomendaciones de seguridad (como estas :) ).
