pomyśl dwa razy przed zalogowaniem się na Facebooku z bezpłatnym dostępem do WiFi-chyba że nie masz nic przeciwko szpiegom czytającym i potencjalnie zmieniającym swój profil.
programista ma nadzieję edukować użytkowników o zagrożeniach związanych z używaniem niezabezpieczonych sieci WiFi za pomocą programu komputerowego, który ułatwia włamanie się do kont na Facebooku i Twitterze.
dzięki pobraniu Firesheep, wtyczki do przeglądarki Mozilla FireFox, wystarczy cierpliwość i kilka kliknięć, aby uzyskać dostęp do czyjegoś profilu na różnych stronach internetowych, w tym na Flickr i platformie blogowej WordPress.
historia trwa poniżej Reklama
program wyłapuje logowania przez Sieć i łączy użytkowników Firesheep z tymi kontami.
„strony internetowe mają obowiązek chronić ludzi, którzy polegają na ich usługach. Zbyt długo ignorują tę odpowiedzialność i nadszedł czas, aby wszyscy zażądali bezpieczniejszej sieci”-napisał Eric Butler z Seattle w poście na blogu wyjaśniającym swój program.
Butler, który odrzucił prośby o wywiad, powiedział, że nie wszystkie witryny są podatne na Firesheep, ale zbyt wiele witryn nie jest wystarczająco bezpiecznych, aby pokrzyżować hakerom. Chociaż wpisane informacje logowania mogą być chronione, informacje identyfikujące użytkownika w plikach cookie-małych plikach tekstowych, do których strony internetowe mają dostęp na komputerze użytkownika – nie są.
„w otwartej sieci bezprzewodowej pliki cookie są w zasadzie wykrzykiwane w powietrzu, dzięki czemu te ataki są niezwykle łatwe” – napisał Butler.
„jedyną skuteczną poprawką tego problemu jest pełne szyfrowanie end-to-end, znane w Internecie jako HTTPS lub SSL.”
w nieco ponad 24 godziny Firesheep został pobrany ponad 129 000 razy. Wśród użytkowników był Ian Robertson, informatyk z Ottawy, który zabrał swojego laptopa do kilku lokalnych kawiarni, aby dać programowi jazdę próbną z kolegą.
„udało mi się zobaczyć około pół tuzina kont na Facebooku i udało mi się zalogować na ich konta, zobaczyć wszystkie ich zdjęcia, wszystkie ich prywatne informacje, ich numery telefonów – wszystko” – powiedział Robertson.
historia trwa poniżej ogłoszenia
„tylko na test z jednym z moich kolegów zalogowałem się do jego profilu i udało mi się zmienić jego status na singiel. I w ciągu około 10 minut jego dziewczyna skomentowała i powiedziała: „Dlaczego??'”
Robertson powiedział, że był zaskoczony, jak łatwo jest go używać i obawiał się, że inni mogą go pobrać do znacznie bardziej złośliwych celów niż on.
„czujesz się trochę potężny, chyba, jakbyś mógł tam wejść i spamować, gdybyś chciał”
Firesheep jest na radarze kanadyjskiego komisarza ds. prywatności, ale nie było publicznych zapytań dotyczących programu i nie ma dochodzenia w toku, powiedziała rzeczniczka Anne-Marie Hayden.
zauważyła, że ustawa o Ochronie Danych Osobowych i dokumentów elektronicznych wymaga, aby firmy stosowały zabezpieczenia w celu ochrony danych osobowych.
” dane osobowe są chronione za pomocą środków bezpieczeństwa odpowiednich do wrażliwości informacji. Środki bezpieczeństwa chronią dane osobowe przed utratą lub kradzieżą, a także przed nieuprawnionym dostępem, ujawnieniem, kopiowaniem, wykorzystaniem lub modyfikacją” – czytamy w § 7 ustawy, który stanowi również, że ochrona powinna obejmować środki fizyczne i technologiczne”, na przykład użycie haseł i szyfrowanie.”
” ponieważ nie zbadaliśmy tej kwestii, nie możemy powiedzieć, czy dana strona naruszyła przepis o zabezpieczeniach (ustawa)”
w oświadczeniu Facebook powiedział, że pracuje nad poprawieniem szyfrowania i ostrzegł o ryzyku korzystania z witryny przez WiFi.
„robimy postępy w testowaniu dostępu SSL do Facebooka i mamy nadzieję, że w najbliższych miesiącach udostępnimy go jako opcję” – czytamy w oświadczeniu.
” jak zawsze radzimy zachować ostrożność podczas wysyłania lub odbierania informacji przez niezabezpieczone sieci Wi-Fi.”
Kris Constable, założyciel firmy PrivaSecTech z siedzibą w Victorii, powiedział, że problemy związane z bezpieczeństwem stwarzane przez niezabezpieczone sieci bezprzewodowe mogą być nowością dla ogółu społeczeństwa, ale od dawna są wykorzystywane przez hakerów.
Firesheep zabiera tylko barierę wejścia dla wannabe hakerów.
” to, co zrobił, sprawia, że atak jest o wiele ładniejszy … tak wygląda hakerstwo w filmach ” – powiedział Konstabl.
ma nadzieję, że Firesheep w końcu wywrze wystarczającą presję na liderów biznesu, aby zainwestowali w lepsze szyfrowanie.
„jeśli dodasz coś takiego jak szyfrowanie do dowolnej technologii, wdrożenie będzie kosztować firmy więcej, więc nie będą zmotywowani do tego, nawet jeśli to sprawi, że ludzie będą bardziej bezpieczni” – powiedział.
” ale mam nadzieję, że (Firesheep) zmusi firmy do używania więcej szyfrowania i myślę, że z większą świadomością … ludzie zaczną myśleć: „cóż, może kiedy będę mówić o wrażliwych rzeczach, zacznę szyfrować swoje e-maile.”Ludzie zaczną myśleć o każdej stronie internetowej, na którą wejdą I każdej wysyłanej wiadomości e-mail”, czy jest zaszyfrowana, czy nie?””
aby zabezpieczyć się przed włamaniem podczas korzystania z otwartej sieci WiFi, Butler zaleca kolejną wtyczkę do Firefoksa o nazwie HTTPS-Everywhere, stworzoną przez Electronic Frontier Foundation. Chroni przed wyciekiem danych podczas korzystania z takich stron jak Facebook, Twitter, Amazon, WordPress.com blogi i PayPal.