Firesheep, avagy hogyan kémkedjünk a szabad WiFi-ken


A manapság használt webarchitekturának van egy nagy biztonsági hibája. A cookie-k, amivel a felhasználó elindít egy session-t egy weboldalon (belép az oldalra és azonosítja magát), majd ezen keresztül azonosítja magát, ezek lehallgathatóak és másolhatóak. Ezt a műveletet "HTTP hijacking"-nek nevezzük, a "támadó" az "ellopott" cookie-val beléphet az "áldozat" nevével a weboldalra és bármit megtehet azon.

Ennek szemléltetésére egy videó:


A videón a webarchitektura támadhatóságát egy FireSheep nevű Firefox extension-nal használják ki. Ez az extension egyszerűen lehallgatja a nem titkosított adatforgalmat, majd ha session cookie-t lát benne erről másolatot készít, amivel a támadó már simán visszaélhet.
Lényegében bármilyen olyan weboldal amely Felhasználónév/Jelszó beléptető rendszert használ érzékeny az ilyen típusú támadásra, így az a felhasználó aki nem vigyáz könnyen elveszítheti Facebook, Twitter, Live.com, Yahoo vagy akár Google felhasználóját is.

Mit tehetünk ellene:
  • Ahol csak lehet HTTPS kapcsolatot használjunk. A HTTPS a HTTP biztonságos változata, ami azt jelenti, hogy ha ilyen kapcsolatot használunk, akkor a böngészőnk és a webszerver között titkosított adatforgalom bonyolódik le, amiből már lehetetlen coockie-t lopni. A Webszolgaltátasok egy része felajánlja azt a lehetőséget, hogy álladó HTTPS kapcsolatban legyünk velük (pl Facebook, Twitter, GMail), más ingyenes szolgáltatásoknál azonban HTTPS kapcsolaton csak az eredeti belépes történik, a további navigálás már csak HTTPn (ilyen a Yahoo Mail)
  • Nyilvános Wifi hálózatokon próbáljuk mellőzni a személyes oldalaink használatát, hacsak nem HTTPS kapcsolatot használunk.
  • Érzékeny tevékenységeket csak olyan oldalakon végezzünk, ahol állandóan HTTPS kapcsolat lehetséges. (pl. Az érzékeny levelezésre inkább használjunk GMailt Yahoo Mail helyett)
  • A saját otthoni Wifi hálózatot titkosítsuk a legerősebb titkosító algoritmussal a WPA2-vel, semmilyen esetben sem hagyjuk ezt szabadon.

0 megjegyzés: