gondold meg kétszer, mielőtt bejelentkeznél a Facebook-ba Ingyenes WiFi-hozzáféréssel-hacsak nem bánod, hogy a snoopers elolvassa és potenciálisan megváltoztatja profilját.
egy szoftverfejlesztő azt reméli, hogy felvilágosítja a felhasználókat a nem biztonságos WiFi hálózatok használatának veszélyeiről egy számítógépes programmal, amely megkönnyíti a Facebook és a Twitter fiókok feltörését.
a Firesheep, a Mozilla FireFox böngészőjének plug-injének letöltésével csak türelemre és néhány kattintásra van szükség ahhoz, hogy hozzáférjen valaki profiljához számos webhelyen, beleértve a Flickr fotómegosztó oldalt és a WordPress blogplatformot is.
történet folytatódik a hirdetés alatt
a program kiszimatolja a bejelentkezéseket a hálózaton keresztül, és összekapcsolja a Firesheep felhasználókat ezekkel a fiókokkal.
“a weboldalak felelősek a szolgáltatásaiktól függő emberek védelméért. Túl régóta figyelmen kívül hagyják ezt a felelősséget, és itt az ideje, hogy mindenki biztonságosabb internetet követeljen”-írta a Seattle-i székhelyű Eric Butler egy blogbejegyzésben, amelyben elmagyarázta programját.
Butler, aki elutasította az interjúkéréseket, azt mondta, hogy nem minden webhely sebezhető a Firesheep számára, de túl sok webhely nem elég biztonságos ahhoz, hogy megakadályozza a hackereket. Míg a beírt bejelentkezési adatok védettek lehetnek, a cookie-kban található felhasználóazonosító információk – kis szöveges fájlok, amelyekhez a webhelyek hozzáférnek a felhasználó számítógépén – nem.
“egy nyitott vezeték nélküli hálózaton a cookie-kat alapvetően a levegőben kiabálják, ami rendkívül egyszerűvé teszi ezeket a támadásokat” – írta Butler.
“a probléma egyetlen hatékony megoldása a teljes végpontok közötti titkosítás, amelyet az interneten HTTPS vagy SSL néven ismernek.”
alig több mint 24 óra alatt a Firesheep-et több mint 129 000 alkalommal töltötték le. A felhasználók között volt Ian Robertson, az Ottawai informatikai szakember, aki laptopját néhány helyi kávézóba vitte, hogy tesztvezetést adjon a programnak egy kollégával.
“körülbelül fél tucat fiókot láttam a Facebook – on, és ténylegesen be tudtam jelentkezni a fiókjukba, megnéztem az összes fényképüket, az összes privát adatukat, a telefonszámukat-bármit” – mondta Robertson.
a történet a hirdetés alatt folytatódik
“csak egy tesztre az egyik kollégámmal bejelentkeztem a profiljába, és meg tudtam változtatni az állapotát egyedülállóvá. És körülbelül 10 percen belül a barátnője megjegyezte, és azt mondta, ‘Miért??”
Robertson azt mondta, meglepte, hogy milyen könnyű volt használni, és aggódott, hogy mások sokkal rosszindulatúbb célokra tölthetik le, mint ő.
“olyan erősnek érzed magad, mintha csak bemennél és spamelnél, ha akarsz” – mondta.
a Firesheep a kanadai adatvédelmi biztos radarján van, de nem volt nyilvános érdeklődés a programmal kapcsolatban, és nincs folyamatban vizsgálat-mondta Anne-Marie Hayden szóvivő.
megjegyezte, hogy a személyes adatok védelméről és az elektronikus dokumentumokról szóló törvény előírja, hogy a vállalatok biztosítékokat alkalmazzanak a személyes adatok védelme érdekében.
“a személyes adatokat az információ érzékenységének megfelelő biztonsági óvintézkedésekkel kell védeni. A biztonsági garanciáknak meg kell védeniük a személyes adatokat az elvesztés vagy lopás, valamint a jogosulatlan hozzáférés, nyilvánosságra hozatal, másolás, felhasználás vagy módosítás ellen” – olvasható a törvény 7.szakaszában, amely azt is kimondja, hogy a védelemnek fizikai és technológiai intézkedéseket kell tartalmaznia”, például a jelszavak és a titkosítás használatát.”
“mivel nem vizsgáltuk ezt a kérdést, nem tudjuk megmondani, hogy egy adott webhely megsértette-e a törvény biztosítéki rendelkezését” – mondta Hayden.
egy nyilatkozatában a Facebook azt mondta, hogy dolgozik a titkosítás továbbfejlesztésén, és figyelmeztetett a webhely WiFi-n keresztüli használatának kockázataira.
“haladunk a Facebook SSL-hozzáférésének tesztelésével, és reméljük, hogy az elkövetkező hónapokban opcióként biztosítjuk” – áll a közleményben.
“mint mindig, azt tanácsoljuk az embereknek, hogy legyenek óvatosak, amikor nem biztonságos Wi-Fi hálózatokon keresztül küldenek vagy fogadnak információkat.”
Kris Constable, a Victoria-alapú PrivaSecTech cég alapítója szerint a nem biztonságos vezeték nélküli hálózatok által okozott biztonsági problémák híresek lehetnek a nagyközönség számára, de a hackerek már régóta kihasználják őket.
a Firesheep csak a wannabe hackerek belépési akadályát veszi el.
“a tett sokkal szebbé teszi a támadást … így néz ki a hackelés a filmekben” – mondta Constable.
reméli, hogy a Firesheep végre elegendő nyomást gyakorol az üzleti vezetőkre, hogy fektessenek be a jobb titkosításba.
“ha valami titkosítást ad hozzá bármilyen technológiához, akkor a vállalkozásoknak többe kerül a megvalósítása, így nem motiválják őket erre, annak ellenére, hogy ez biztonságosabbá teszi az embereket” – mondta.
“de remélhetőleg (Firesheep) arra fogja kényszeríteni a vállalkozásokat, hogy több titkosítást használjanak, és azt hiszem, nagyobb tudatossággal … az emberek valóban elkezdenek gondolkodni, ‘ jól, talán amikor érzékeny dolgokról fogok beszélni, el kell kezdenem titkosítani az e-mailjeimet.’Az emberek elkezdenek gondolkodni minden weboldalon, ahová mennek, és minden e-mailt, amit küldenek, ‘titkosítva van vagy sem?'”
a nyílt WiFi használata közbeni feltörés elleni védelem érdekében Butler egy másik HTTPS-Everywhere nevű FireFox bővítményt javasol, amelyet az Electronic Frontier Foundation hozott létre. Véd az adatok kiszivárgása ellen, miközben olyan webhelyeket használ, mint a Facebook, a Twitter, az Amazon, WordPress.com blogok és PayPal.