AfterDawn logo

Firefoxin Firesheepillä voit murtautua muiden Facebook-tileille

Kaarlo Räihä Kaarlo Räihä
19 kommenttia

Firefox-selaimelle on aikojen saatossa julkaistu tuhansia erilaisia laajennuksia, mutta viime päivinä suosiota on kerännyt erityisesti Firesheep, jonka avulla tavallinenkin tallaaja voi murtautua useisiin eri verkkopalveluihin.

Firesheep toimii hyvin yksinkertaisella tavalla, sillä se kerää avoimissa WLAN-verkoissa liikkuvia salaamattomia evästeitä, joiden avulla monet verkkopalvelut tunnistavat käyttäjänsä. Firesheep näyttää kerätyt tiedot Firefoxissa, ja nappia painamalla Firesheepin käyttäjä voi kirjautua kyseiseen verkkopalveluun toisena käyttäjänä käyttämällä toisen surffaajan evästettä omanaan.

Firesheep toimii tällä hetkellä ainakin Twitter-, Facebook-, Flickr-, Tumblr- ja Yelp-sivustojen kanssa, ja pienillä muutoksilla laajennuksen saisi toimimaan myös tuhansien muiden sivustojen kanssa.


[smartbox:here]Laajennuksen kehittänyt Eric Butler on liikkeellä tietoturvan nimissä, ja hän kehitti Firesheepin, jotta ihmiset ymmärtäisivät kuinka huonosti monen palvelun tietoturva on toteutettu. Tunnistautumiseen käytettävien evästeiden lähettäminen salaamattoman HTTP-yhteyden ylitse on Butlerin mukaan vakava ongelma, ja tätä hyökkäyskeinoa on hyödynnetty jo useissa verkkohyökkäyksissä.

Salattujen HTTPS-yhteyksien kanssa vastaavaa ongelmaa ei ole, mutta kaikki verkkopalvelut eivät tarjoa kyseistä vaihtoehtoa käyttäjille. Lisäksi jossain palveluissa vain kirjautuminen suoritetaan HTTPS:n avulla, jonka jälkeen evästeet liikkuvat eteenpäin jälleen suojaamattoman HTTP-protokollan avulla.

Firesheepin vakoilulta voi suojautua salaamattomassa WLAN-verkossa esim. VPN-yhteyden avulla tai Force-TLS-laajennuksella, joka pakottaa monet sivustot jatkuvaan HTTPS-yhteyteen.

Firesheep-laajennusta on tähän mennessä ladattu yli 100 000 kertaa.

19 KOMMENTTIA

.W.1/19

Niin, miksiköhän esim naamakirja ei automaattisesti ohjaa https-sivulle kun sekin on kerran olemassa? Twitter samoin.

friis2/19

Lainaus, alkuperäisen viestin kirjoitti .W.:

Niin, miksiköhän esim naamakirja ei automaattisesti ohjaa https-sivulle kun sekin on kerran olemassa? Twitter samoin.

Koska jos kaikki xxx miljoonaa FB:n käyttäjää käyttäisivät https:ää niin palvelu kaatuisi. Suojattu yhteys kun kuluttaa servereiden resursseja rutkasti enemmän kuin suojaamaton.

perhana3/19

Oliko tämäkin uutinen (tai vinkki) nyt ihan pakko julkaista täällä?
saatiin taas tuhansille finninaamoille iltapuuhastelua vihjaamalla kyseisestä mahdollisuudesta.

JuhaW4/19

Painottaa vaan sitä, että kannattaako sitä wlan verkkoa käyttää avoimena???

friis5/19

Lainaus:

Oliko tämäkin uutinen (tai vinkki) nyt ihan pakko julkaista täällä?
saatiin taas tuhansille finninaamoille iltapuuhastelua vihjaamalla kyseisestä mahdollisuudesta.

Jos käyttää avointa WLANia niin FB:n salasanojen kalastelu on pieni murhe. Avointen verkkojen avulla on helppo tehdä ARP myrkytys ja sitä kautta saada kaikki tieto mikä verkossa liikkuu itselleen.
Hyvä vaan että tälläisistä uutisoidaan, ehkä ihmiset alkavat panostamaan tietoturvaansa hieman enemmän.

jartar6/19

Lainaus:

Laajennuksen kehittänyt Eric Butler on liikkeellä tietoturvan nimissä, ja hän kehitti Firesheepin, jotta ihmiset ymmärtäisivät kuinka huonosti monen palvelun tietoturva on toteutettu.


Se mitään tietoturvaa lisää että antaa jokaisen käyttöön työkalun millä voi varastaa toisen tunnukset. Tällä myös estetään tehokkaasti se että ihmiset voisi käyttää esim. facebookia julkisella wlanilla.

Ihmisten tietoisuus lisääntyy vain tietyissä piireissä koska loppukäteen harvoja kiinnostaa tietotekniikan kehitys. Eri asia on sitten jos tämän julkaisun ansiosta sivustojen pitäjät kiinnittävät enemmän huomiota tietoturvaan...

friis7/19

Lainaus:

Se mitään tietoturvaa lisää että antaa jokaisen käyttöön työkalun millä voi varastaa toisen tunnukset.

Vastaavia ohjelmia on ollut jo pitkään saatavilla. Uutta on vain aiheesta uutisointi.

ArttuH5N18/19

Tänään totesin toimivaksi kaappaamalla kymmeniä Facebook-tunnuksia koululla. Sen jälkeen kopioin uutisen tekstin ja listan kaapatuista tunnuksista (pelkät nimet) ja kiinnitin koulun ilmoitustaululle. Oppivatpahan varomaan. Kannustan muitakin levittämään tätä "tietoutta".

WhipOfGod9/19

Sama tehty tietotekniikkakoulutksessa, kurssittajaa informoitu, mutta eipä nähnyt aiheelliseksi ohjeistaa koulutettavia avoimen verkon vaaroista ja mahdollisesta suojautumisesta.

somebodyy10/19

Lainaus:

Jos käyttää avointa WLANia niin FB:n salasanojen kalastelu on pieni murhe. Avointen verkkojen avulla on helppo tehdä ARP myrkytys ja sitä kautta saada kaikki tieto mikä verkossa liikkuu itselleen


Sanotaan nyt vielä tietämättömille, että ARP poisoning ja eräs toinen nimeltämainittu ohjelma, niin SSLnkin (HTTPS) saa suodatettua pois liikenteestä ja näet salasanat puhtaana tekstinä.
EDIT:Typo

Lainaus:

Se mitään tietoturvaa lisää että antaa jokaisen käyttöön työkalun millä voi varastaa toisen tunnukset. Tällä myös estetään tehokkaasti se että ihmiset voisi käyttää esim. facebookia julkisella wlanilla.


Samaa mieltä! Pois tämmöiset uutisoinnit ADsta, parhaimmillaankin lisää vain tietoisuutta siitä, miten kuka tahansa voi varastaa näitä tunnuksia.

Lainaus:


Painottaa vaan sitä, että kannattaako sitä wlan verkkoa käyttää avoimena???


No mitenkäs muuten perustat avoimen WLAN verkon esim. kaupunkiin? Mitä yksityisiin verkkoihin tulee, niin kannattaa varoa(!) Sillä nämä WEP ja WPA/WPA2 -salaukset murtuvat todella helposti osaavan käsissä; jos esim. WPA/WPA2-verkon salasana on heikko - WEPille on aivan sama kun sen saa murrettua sama mille salasanalle.

Lainaus:

Lainaus, alkuperäisen viestin kirjoitti .W.: Niin, miksiköhän esim naamakirja ei automaattisesti ohjaa https-sivulle kun sekin on kerran olemassa? Twitter samoin.

Koska jos kaikki xxx miljoonaa FB:n käyttäjää käyttäisivät https:ää niin palvelu kaatuisi. Suojattu yhteys kun kuluttaa servereiden resursseja rutkasti enemmän kuin suojaamaton.


Ei pidä levittää tällaista aatetta: Näyttää pahasti siltä, että raha menee taas kerran tietoturvan ohi. Ei se SSL niin paljon kuitenkaan syö, jos sitä vain sisäänkijautuessa käyttäisi - niin tällaiset "Firesheep"-työkalujen käyttäjät saataisiin suodatettua pois!

Täysin eri asia ovat ne "oikeat" hakkerit, jotka tulevat salauksien läpi ja tekevät mitä haluavat oli siellä vastassa mitä tahansa.

Michelola11/19

Lainaus:

Ei se SSL niin paljon kuitenkaan syö, jos sitä vain sisäänkijautuessa käyttäisi - niin tällaiset "Firesheep"-työkalujen käyttäjät saataisiin suodatettua pois!


jäi vähän epäselväks miten tää estäis firesheepin käytön? Eihän firesheepillä noita salasanoja saa muutenkaan selville

somebodyy12/19

Lainaus, alkuperäisen viestin kirjoitti Michelola:

Lainaus:

Ei se SSL niin paljon kuitenkaan syö, jos sitä vain sisäänkijautuessa käyttäisi - niin tällaiset "Firesheep"-työkalujen käyttäjät saataisiin suodatettua pois!


jäi vähän epäselväks miten tää estäis firesheepin käytön? Eihän firesheepillä noita salasanoja saa muutenkaan selville

Sori, ajattelin väärin. Siis tuota SSL pitäis käyttää salaamattomissa verkoissa, tai sitten kehitellä piakkoin korvaaja noille kekseille. Tai sit lisätä ip-tunnistus ja aika keksien tunnistukseen. Mahdollisuuksia on tietenkin useita, harmi kun niitä ei vielä oteta vakavasti..

...Eikä kauaakaan kun joku kehittää "Firesheep 2.0", jolla saa selville salasanatkin jos SSL ei ole käytössä

kolmis13/19

Tämmöisistä juuri pitää uutisoida, ihmiset oppii varomaan ja kehittäjät tekemään parempaa jälkeä.

Kajtu14/19

Vanha uutinen kyllä, sen verran oon näitä ihmeen betakaappauksia kyllä nähnyt.. Tällähän esimerkiksi joku murtautui Twitterissä FourZeroTwo:n tilille (Infinity wardsin tili) tai jotain muuta ja lueskeli yksityisviestejä. Niitä kuviahan oli levitelty nettiin vaikka kuinka paljon, ainakin nytten tietää millä estää tämä kaappailu

xxwavx11215/19

No ennoksi muut talossa käyttävät IE:tä..

juuSOS16/19

Lainaus, alkuperäisen viestin kirjoitti perhana:

Oliko tämäkin uutinen (tai vinkki) nyt ihan pakko julkaista täällä?
saatiin taas tuhansille finninaamoille iltapuuhastelua vihjaamalla kyseisestä mahdollisuudesta.

Ihan vitun hienoa että on edes joku keino päästä fb helvetistä... :D

xxwavx11217/19

Lainaus, alkuperäisen viestin kirjoitti juuSOS:

Lainaus, alkuperäisen viestin kirjoitti perhana:

Oliko tämäkin uutinen (tai vinkki) nyt ihan pakko julkaista täällä?
saatiin taas tuhansille finninaamoille iltapuuhastelua vihjaamalla kyseisestä mahdollisuudesta.

Ihan vitun hienoa että on edes joku keino päästä fb helvetistä... :D

No niin on.

Michelola18/19

btw nyt on mahdollista laittaa kaikki fb-liikenne salatuksi, pitää erikseen tilin asetuksista laittaa päälle.

p3n1s19/19

Eikö kukaan oikeasti ole kuullut VPN palveluista? Avoimen WLANin käyttö ilman VPN:nää on järjetöntä käytti sitten mitä tahansa muita "suojia" eikä hyvä ja turvallinen VPN palvelu maksa kuin muutaman euron kuukaudessa.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki