Per Hellqvist om IT-säkerhet och sånt

Detta är obehagligt. En person har tåtat ihop ett mycket enkelt verktyg för att kapa andras konton (Facebook, Twitter, Flickr bland andra).

Verktyget heter FireSheep och installeras enkelt som vilket insticksprogram som helst i Firefox. Sedan är det bara att sätta sig på en flygplats, tågstation eller vilken hotspot som helst (McDonalds, hotell, café etc etc) och sniffa trafiken. Programmet snappar automatiskt upp inloggningsuppgifterna till de i närheten som loggar in på kontona. Klicka sedan i gränssnittet och *vips* är du inloggad på deras konto… huh…

Så här ser det ut när man snappat upp någons uppgifter. Sen är det bara att klicka så är du inne:

Jag vill bara passa på att påpeka att om man gör detta utan tillstånd så har du gjort dig skyldig till dataintrång enligt 4 kapitlet §9 c brottsbalken:

Den som i annat fall än som sägs i8 och 9 §§ olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift. Lag (2007:213).

Anledningen till att denna attack fungerar är att sajter slarvar med säkerheten. Inloggningen kanske är säkrad med t ex SSL, men när cookie-filen ska sättas så skickas den av “prestandaskäl” i klartext…  *Game Over*

Enda sättet jag kommit på att komma runt detta är om man använder en VPN och kopplar upp den innan du loggar in på dina konton. Då går man säker mot denna attack. Men det är ju bara på företagsdatorer man har sånt. Privatpersoner har det inte.

Alternativt kan man kontakta Facebook, Twitter, Flickr etc etc och skälla på dem och kräva bättre säkerhet. Vem börjar?

Taggar: Facebook, Firefox, Intrång, Intressant, Jobbigt, Personlig integritet

Kommentarer

8 kommentarer to “FireSheep – kapa konton har aldrig varit enklare”

  1. Robert on October 25th, 2010 14:23

    Kan inte cookie-filer krypteras? Är absolut inte duktig på sånt här…

  2. admin on October 25th, 2010 14:41

    Jajamensan. Men i många fall gör man inte det pga prestandatankar. Läs mer om Cookie-problematiken här: http://en.wikipedia.org/wiki/HTTP_cookie#Drawbacks_of_cookies

  3. #Firesheep avslöjar dina lösenord på nätet | Frilansjournalist Anders Thoresson on October 26th, 2010 08:50

    […] För dig som är sugen på att använda programmet, tänk på att du begår ett brott om du gör det. […]

  4. Per on October 26th, 2010 09:12

    Fungerar det även om nätverket är wpakrypterat?

    Har försökt hitta denna information men framgår
    aldrig riktigt hur “öppet” nätverket behöver vara?

  5. admin on October 26th, 2010 10:51

    Det fungerar inte om du har WEP/WPA/WPA-2 kryptering. Det fungerar bara på okrypterade (öppna) nätverk. Det kommer inte heller fungera om du kör via 3G/4G. Bara wifi via öppna, okryperade nätverk. Men det är illa nog…

  6. Per on October 26th, 2010 15:23

    Absolut illa iaf men är inte en ganska enkel
    lösning temporärt att caféer osv slår på
    krypteringen med lösenordet skrivet på en lapp
    vid disken?

  7. techman on December 10th, 2010 11:35

    @Per men då har du nyckeln. Nej inte säkert.

  8. techman on December 10th, 2010 11:38

    Sniffa trafiken kan man göra även fast man inte är inloggad på nätverket. Du får då krypterad information, kan du nyckeln är det möjligt att dekryptera paketen som skickades.

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.