Criado com o propósito de alertar para um conhecido problema na internet, o Firesheep, transforma o seu computador em um interceptador de sinais WiFi e permite a captação e decodificação dos dados transitando no "ar" de espaços públicos como aeroportos e cafeterias, dando visibilidade e acesso às sessões ativas de diversas redes sociais, como twitter, myspace e facebook. Tudo isso com um clique.
Tela inicial do Firesheep, com o botão "Iniciar Captura"
Firesheep mostrando as sessões capturadas
Acessando a sessão roubada de Facebook com apenas mais um clique
O problema das redes públicas. Ou dos sites não seguros.
O aplicativo não é para protestar contra redes públicas de WiFi, mas sim contra as redes sociais que não utilizam SSL/HTTPS para transferência de dados sensíveis como e-mail e mensagens pessoais de seus usuários.
Segundo o autor em sua apresentação (em inglês), os sites deveriam atualizar sua infraestrutura e passar a usar HTTPS para toda a navegação e não apenas para login, como fez o GMail no início do ano. Isso faria com que todas as transações de dados fossem encriptadas e seguras.
Em um WiFi público, suas informações transitam pelo ar, livres para serem escutadas por quem quiser. Isso mesmo, não é apenas o roteador que consegue ler os sinais que antes só passavam por cabos encapados, qualquer dispositivo que possa conectar à uma rede wireless pode também ler qualquer sinal wireless vagando ao seu redor.
Ou seja, se os dados não são encriptados, e qualquer um pode captar eles, o que impede alguém de ler e utilizar eles? Antes, um monte de conhecimento, agora, só um clique.
Alerta para segurança ou brincadeira de mal gosto?
Ok o alerta foi dado, mas apenas um dia depois do seu lançamento, o Firesheep já apareceu nos 10 mais buscados do Google, nos Top Tweets, foi comentado mais de uma vez no TechCrunch, e esteve no topo do HackerNews o dia inteiro. E foi baixado mais de 130 mil vezes pelo GitHub do autor.
Com tanto buzz e publicidade para uma ferramenta tão poderosa e nociva, fica o questionamento: é essa a forma de alertar os magnatas das redes sociais para a necessidade de navegação segura e encriptada?
Com base neste questionamento, foi lançado "no meio de uma madrugada de irritação" entre ontem e hoje, o Idiocy, um pequeno programa que se utiliza da mesma vulnerabilidade para roubar sessões do Twitter apenas para twittar a seguinte mensagem (mas em inglês):
Eu naveguei no twitter em uma rede pública sem proteção e tudo que consegui foi esse tweet sem graça. http://jonty.co.uk/idiocy-what
O link leva para uma página de explicação sobre o problema e um alerta para segurança do usuário.
A culpa é de quem?
No HackerNews levantaram um ótimo ponto: se a tua porta é fraca e alguém arromba a tua casa, a culpa é do meliante ou do fabricante da porta? É verdade que precisamos de mais segurança, mas o fato de não termos, não dá direito de alguém nos roubar a privacidade.
Ainda o não uso de SSL tem suas desculpas, afinal SSL não permite cache de informações, fazendo com que o site fique mais lento. É verdade que isso pode ser resolvido com uma melhor arquitetura do sistema, assim como fez o GMail, mas é uma desculpa além do "não colocamos, porque não nos preocupamos com vocês".
Lembrando que quem mais vai sofrer com isso são os usuários leigos que nada tem a ver com o problema, e que só querem aproveitar a inclusão digital para falar com os amigos. 🙂
E você o que acha?
Deixe um comentário