1. Domov
  2. Firesheep - plugin pre Firefox, s ktorým sa prihlásite na cudzí (napr. Facebook) účet

Firesheep - plugin pre Firefox, s ktorým sa prihlásite na cudzí (napr. Facebook) účet

  • Gudas
  • 25.10.2010
  • prečítané 12494x

Známa bezpečnostná hrozba využitá úplne dokonale - odchytávanie cookies cez nezabezpečenú WiFi pomocou rozšírenia pre web prehliadač, umožní session hijacking úplne každému.

Po prečítaní tejto novinky si zrejme dva krát premyslíte, či sa znova pripojíte na bezplatnú WiFi vo vašom meste kvôli prihláseniu na Facebook. Pomocou jednoduchého pluginu sa totiž potom môže nejaký dobrák na rovnakej WiFi sieti prihlásiť na váš účet úplne bez problémov. Čo by nasledovalo už nechám na predstavivosti každého z vás.

Keď sa prihlasujete na webovú stránku, väčšinou začnete vpísaním užívateľského mena a hesla. Server potom skontroluje či sú správne, a ak áno, odpovie naspäť prostredníctvom tzv. cookie. Tá sa neskôr používa pre všetky ďalšie požiadavky. Je bežné, že heslo sa chráni šifrovaním, no mnohé známe weby nechránia už nič iné. Užívateľská cookie teda ostáva naďalej zraniteľná. Útočník potom môže vykonať tzv. HTTP session hijacking, čím získa možnosť robiť čokoľvek čo daný užívateľ na konkrétnej web stránke. Na otvorenej WiFi sieti, bez šifrovania, sa tieto cookies posielajú cez vzduch úplne nechránené. Už viete kam tym mierim...

Jedinou ochranou je úplné šifrovanie celého spoja, cez SSL alebo HTTPS. Napr. taký Facebook, ale aj iné známe služby (Twitter, Flickr, Dropbox...) však takéto niečo neposkytujú. Práve toto využíva open-source plugin pre Firefox prehliadač s názvom Firesheep. Funguje až nebezpečne jednoducho. Po nainštalovaní sa zobrazí v prehliadači nový panel. Následne sa stačí pripojiť k akejkoľvek otvorenej WiFi sieti a stlačiť tlačidlo Start Capturing. Akonáhle niekto, kto je na rovnakej sieti, navštívi nezabezpečenú web stránku známu pre tento plugin, zobrazí sa vám jeho meno a fotografia. Dvojklik na ikonku a ste prihlásený ako dotyčný nešťastník.

Ako informuje TechCrunch, existuje aj ochrana proti takémuto odchytávaniu cookies. Ide o vynútenie zabezpečeného spojenia. Návod nájdete na tomto odkaze.

 

Čo vy na to? Ideálny spôsob ako sa niekomu pohrabať v súkromí - stačí svoju domácu WiFi zbaviť šifrovania a nutnosti hesla, a hneď vás niekto využije na chatovanie cez Facebook. Ale ešte netuší že... :-)

Komentáre (10)
makroelektro
25.10.2010 - 23:01
lol :D takže radšej si budem surfovať doma cez kábel :D
Assassin
25.10.2010 - 23:06
velmi dobry clanok! stale plati to co je zadarmo nikdy neni dokonale a v tomto pripade si vela ludi uvedomi ze bezplatna wifi ma svoje + aj - a co sa FB tyka to je velky fail ohladom zabezpecenia, a par klikov par sekund a mate konto uzivatela na vasej bezplatnej sieti, simple... be wise :)
Shano
26.10.2010 - 10:26
Odskusane a musim povedat ze nebezpecne jednoduche ...
Filip-ito
26.10.2010 - 14:35
môj bože už si to viem predstaviť koľko detí si bude hovoriť hacker lebo sa nabúral na fb konto, omg...
bliss
26.10.2010 - 15:30
Som hacker xD Kam mám ten súbor dať? :D
Endy
26.10.2010 - 17:54
skus ho otvorit cez Mozilu a ponukne ti instalaciu, ale mne tak vyhodi stale nejaky error kaslat nato !
patro16
26.10.2010 - 20:59
no s vas hackovaci nebudu ;)
bliss
26.10.2010 - 18:13
Tiež mi to hádže Error.. Ako si povedal, kašlať na to..
ANAKONDA47
26.10.2010 - 20:05
Mam otazku, som pripojeny na internet pomocou WiFi(5GH antena na streche), plati toto kradnutie udajov aj pre mna?
stan
28.10.2010 - 09:04
Vsetko zalezi od toho ci Wifi siet je sifrovana alebo nieje. Free wifi hotspoty niesu sifrovane preto moze komunikaciu v ramci dosahu siete odchytit ktokolvek. Domacu wifi treba nastavit na sifrovanie obycajna WEP autorizacia nestaci lebo to je len autorizacia pristupu na siet ktora nesifruje komunikaciu medzi PC a WIFI. Domacu Wifi treba nastvit na pripojenie v sifrovanom mode napr WPA2. To iste plati aj pre antenu presnejsie router ktory sa pripaja cez antenu na poskytovatela internetu. Komunikacia sa stale odchytit da, ale obsah je zasifrovany a uz nieje citatelny a teda ani zneuzitelny.
Pridať nový komentár
Rady pre písanie
TOPlist