segunda-feira, 8 de novembro de 2010

Blacksheep combate roubo de dados pessoais via Firefox em redes Wi-Fi

O complemento, que é gratuito, visa proteger os internautas contra a polêmica extensão Firesheep, lançada há cerca de um mês.

Uma empresa de segurança desenvolveu um complemento gratuito para o navegador Firefox que alerta quando outro usuário na mesma rede está usando a extensão Firesheep, que permite hackear dados de internautas que compartilham uma conexão não criptografada.

O Blacksheep, criado pela Zscaler, detecta quando alguém na mesma rede está usando o Firesheep - uma informação que pode servir de alerta a quem pretende utilizar redes sem fio abertas.

Analistas de segurança têm recomendado aos desenvolvedores de websites que criptografem todo o tráfego das páginas. Em janeiro, por exemplo, a Google iniciou o serviço HTTPS para todos os usuários do Gmail. No entanto, muitos ainda não estão dispostos a fazê-lo por causa da carga extra de processamento necessária para manter a criptografia.

Outras formas de defesa contra o Firesheep incluem, simplesmente, não utilizar redes Wi-Fi abertas ou, caso não seja possível, usar uma extensão chamada "HTTPS Everywhere", que foi desenvolvida pela Electronic Frontier Foundation e inicia, automaticamente, uma sessão criptografada, caso o site forneça esse recurso. Outra opção é utilizar uma conexão VPN para impedir a execução de ataques.

Firesheep
Há cerca de um mês, a extensão Firesheep foi apresentada publicamente pelo desenvolvedor Eric Butler, que disse tê-la projetado para demonstrar a vulnerabilidade no HTTP de determinados sites, como Twitter, Facebook, Flickr, Tumblr e Yelp.

A ferramenta permite aos internautas acessar dados compartilhados em uma mesma conexão não criptografada, sob a forma de "cookies". Assim, quando um internauta realiza logon em um dos 26 sites do banco de dados monitorados pelo software, suas informações podem ser roubadas.

Embora o Firesheep use as informações dos cookies, ele não revela as senhas digitadas - apenas o login da pessoa e o número de ID da sessão. Desta forma, é possível acessar informações pessoais (por exemplo, de uma conta no Facebook), mas somente nas páginas que não exijam senhas (por exemplo, em lojas online eles não serão capazes de realizar compras ou acessar informações do cartão de crédito).

Fonte: IDG Now!

Nenhum comentário: