Oct
25
FireSheep – kapa konton har aldrig varit enklare
25 Oct 2010
Detta är obehagligt. En person har tåtat ihop ett mycket enkelt verktyg för att kapa andras konton (Facebook, Twitter, Flickr bland andra).
Verktyget heter FireSheep och installeras enkelt som vilket insticksprogram som helst i Firefox. Sedan är det bara att sätta sig på en flygplats, tågstation eller vilken hotspot som helst (McDonalds, hotell, café etc etc) och sniffa trafiken. Programmet snappar automatiskt upp inloggningsuppgifterna till de i närheten som loggar in på kontona. Klicka sedan i gränssnittet och *vips* är du inloggad på deras konto… huh…
Så här ser det ut när man snappat upp någons uppgifter. Sen är det bara att klicka så är du inne:
Jag vill bara passa på att påpeka att om man gör detta utan tillstånd så har du gjort dig skyldig till dataintrång enligt 4 kapitlet §9 c brottsbalken:
“Den som i annat fall än som sägs i8 och 9 §§ olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift. Lag (2007:213).”
Anledningen till att denna attack fungerar är att sajter slarvar med säkerheten. Inloggningen kanske är säkrad med t ex SSL, men när cookie-filen ska sättas så skickas den av “prestandaskäl” i klartext… *Game Over*
Enda sättet jag kommit på att komma runt detta är om man använder en VPN och kopplar upp den innan du loggar in på dina konton. Då går man säker mot denna attack. Men det är ju bara på företagsdatorer man har sånt. Privatpersoner har det inte.
Alternativt kan man kontakta Facebook, Twitter, Flickr etc etc och skälla på dem och kräva bättre säkerhet. Vem börjar?
Taggar: Facebook, Firefox, Intrång, Intressant, Jobbigt, Personlig integritet
Kommentarer
8 kommentarer to “FireSheep – kapa konton har aldrig varit enklare”
Lämna en kommentar
Du måste vara inloggad för att lämna en kommentar.
Kan inte cookie-filer krypteras? Är absolut inte duktig på sånt här…
Jajamensan. Men i många fall gör man inte det pga prestandatankar. Läs mer om Cookie-problematiken här: http://en.wikipedia.org/wiki/HTTP_cookie#Drawbacks_of_cookies
[…] För dig som är sugen på att använda programmet, tänk på att du begår ett brott om du gör det. […]
Fungerar det även om nätverket är wpakrypterat?
Har försökt hitta denna information men framgår
aldrig riktigt hur “öppet” nätverket behöver vara?
Det fungerar inte om du har WEP/WPA/WPA-2 kryptering. Det fungerar bara på okrypterade (öppna) nätverk. Det kommer inte heller fungera om du kör via 3G/4G. Bara wifi via öppna, okryperade nätverk. Men det är illa nog…
Absolut illa iaf men är inte en ganska enkel
lösning temporärt att caféer osv slår på
krypteringen med lösenordet skrivet på en lapp
vid disken?
@Per men då har du nyckeln. Nej inte säkert.
Sniffa trafiken kan man göra även fast man inte är inloggad på nätverket. Du får då krypterad information, kan du nyckeln är det möjligt att dekryptera paketen som skickades.