Linkedin es una de esas redes sociales supuestamente creadas para no ligar. S, y sorprendentemente funciona, pero lo cierto es que su xito se debe a que la gente tambin la usa para ligar. Por eso yo tambin tengo Linkedin. As es la vida.

Ayer, en Naked Security se quejaban de que la opcin por defecto de permitir ver el correo electrnico de los participantes en un mensaje debera tener el otro valor por omisin. Es decir, que debera venir desmarcado el check box para que no dependiera del usuario, que se poda descuidar como deja bien claro que le sucedi a su compaero Pablo, que tiene su base en Madrid - Pablo, estamos contigo! -.

El caso es que Linkedin me tena bastante rayado tiempo ha, porque la pgina web de login era vulnerable a SSLSTrip y la sesin iba en HTTP, y, sin embago, en las conferencias de seguridad y hacking, mientras tiene lugar el evento, siempre me llegan invitaciones de asistentes o ponentes a la misma.

El tema del SSLStrip

Realmente, si nos ponemos finos, todas las webs pueden ser vulnerables a SSLStrip, ya que realmente es un ataque Man in The Middle que se realiza por la red para quitar los enlaces https. Cuando yo me refiero a que una web es vulnerable a SSLStrip es porque tiene el problema de los puentes, es decir, que el usuario teclea su login y password en un formulario servido por HTTP esperando que cuando se haga clic en el botn de login aparezca, al ms puro estilo de Indiana Jones y la ltima Cruzada, el puente salvador que permita llegar a por el Grial.


Figura 1: Login SSLStripeado

Esto ha sido as hasta hace nada, ya que acaban de poner el login seguro. No puedo deciros exctamente cuando hicieron el cambio, pero en la Troopers 2011 Steve Dispensa y yo estuvimos charlando sobre este caso y analizndolo para su demo de Phone Factor, y ayer, el login seguro llevaba menos de 24 horas.


Figura 2: Login Seguro en Google

Sin embargo, todava es posible encontrar logins en Linkedin sin usar Https en el formulario de introduccin de passwords, como este para los developers.


Figura 3: Developers login en Linkedin

El tema del Firesheep

Lo que sigue estando presente es que, una vez conectado, la sesin va en Http, as que decidimos hacer un pequeo script para que rulara el Firesheep, y nuestro amigo madridista "Cul hasta la mdula" Daniel Romero, entre auditora y auditora, se puso con el Burp a usar el repeater para descubrir cul es la cookie que permite mantener la sesin abierta. Y helo aqu.


Figura 4: Linkedin Firesheepeado

// Author: Informtica64 - www.informatica64.com
register({
name: "Linkedin",
url: 'http://www.linkedin.com/',
domains: [ 'linkedin.com' ],
sessionCookieNames: [ 'leo_auth_token' ],
identifyUser: function () {
var resp = this.httpGet(this.siteUrl);
this.userName = 'LinkEdin User';
this.userAvatar = 'http://bitelia.com/files/2010/09/linkedin-logo.jpg';
}
});

Adems, adoleciendo del problema que tienen muchos servicios en Internet que funcionan con arquitecturas cluster o en la nube, la muerte de la cookie dura mucho ms all del cierre de la sesin, con lo que es posible seguir controlando el perfil.

Uvepeeneate

La solucin pasa por no usar Linkedin en una conferencia de hackers si no es a travs de una VPN segura - nada de conexioens VPN vulnerables a man in the middle y cracking -, que como se ponga de moda el tener perfles de hackers o gente de seguridad que tiene su perfl en Linkedin esto puede ser una escabechina.

Saludos Malignos!