*
 
AfterDawn: IT-alan uutiset

Firefoxin Firesheepillä voit murtautua muiden Facebook-tileille

Kirjoittaja Kaarlo Räihä @ 26.10.2010 10:12 Kommentteja (19)

Firefoxin Firesheepillä voit murtautua muiden Facebook-tileille Firefox-selaimelle on aikojen saatossa julkaistu tuhansia erilaisia laajennuksia, mutta viime päivinä suosiota on kerännyt erityisesti Firesheep, jonka avulla tavallinenkin tallaaja voi murtautua useisiin eri verkkopalveluihin.
Firesheep toimii hyvin yksinkertaisella tavalla, sillä se kerää avoimissa WLAN-verkoissa liikkuvia salaamattomia evästeitä, joiden avulla monet verkkopalvelut tunnistavat käyttäjänsä. Firesheep näyttää kerätyt tiedot Firefoxissa, ja nappia painamalla Firesheepin käyttäjä voi kirjautua kyseiseen verkkopalveluun toisena käyttäjänä käyttämällä toisen surffaajan evästettä omanaan.

Firesheep toimii tällä hetkellä ainakin Twitter-, Facebook-, Flickr-, Tumblr- ja Yelp-sivustojen kanssa, ja pienillä muutoksilla laajennuksen saisi toimimaan myös tuhansien muiden sivustojen kanssa.

Laajennuksen kehittänyt Eric Butler on liikkeellä tietoturvan nimissä, ja hän kehitti Firesheepin, jotta ihmiset ymmärtäisivät kuinka huonosti monen palvelun tietoturva on toteutettu. Tunnistautumiseen käytettävien evästeiden lähettäminen salaamattoman HTTP-yhteyden ylitse on Butlerin mukaan vakava ongelma, ja tätä hyökkäyskeinoa on hyödynnetty jo useissa verkkohyökkäyksissä.

Salattujen HTTPS-yhteyksien kanssa vastaavaa ongelmaa ei ole, mutta kaikki verkkopalvelut eivät tarjoa kyseistä vaihtoehtoa käyttäjille. Lisäksi jossain palveluissa vain kirjautuminen suoritetaan HTTPS:n avulla, jonka jälkeen evästeet liikkuvat eteenpäin jälleen suojaamattoman HTTP-protokollan avulla.

Firesheepin vakoilulta voi suojautua salaamattomassa WLAN-verkossa esim. VPN-yhteyden avulla tai Force-TLS-laajennuksella, joka pakottaa monet sivustot jatkuvaan HTTPS-yhteyteen.

Firesheep-laajennusta on tähän mennessä ladattu yli 100 000 kertaa.

Tägit: Firefox
Edellinen Seuraava  

19 kommenttia

126.10.2010 10:48

Niin, miksiköhän esim naamakirja ei automaattisesti ohjaa https-sivulle kun sekin on kerran olemassa? Twitter samoin.

226.10.2010 11:09

Lainaus, alkuperäisen viestin kirjoitti .W.:
Niin, miksiköhän esim naamakirja ei automaattisesti ohjaa https-sivulle kun sekin on kerran olemassa? Twitter samoin.
Koska jos kaikki xxx miljoonaa FB:n käyttäjää käyttäisivät https:ää niin palvelu kaatuisi. Suojattu yhteys kun kuluttaa servereiden resursseja rutkasti enemmän kuin suojaamaton.
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 26.10.2010 @ 11:11

las ballenas son el camino

326.10.2010 11:34

Oliko tämäkin uutinen (tai vinkki) nyt ihan pakko julkaista täällä?
saatiin taas tuhansille finninaamoille iltapuuhastelua vihjaamalla kyseisestä mahdollisuudesta.

426.10.2010 11:55

Painottaa vaan sitä, että kannattaako sitä wlan verkkoa käyttää avoimena???

526.10.2010 12:37

Lainaus:
Oliko tämäkin uutinen (tai vinkki) nyt ihan pakko julkaista täällä?
saatiin taas tuhansille finninaamoille iltapuuhastelua vihjaamalla kyseisestä mahdollisuudesta.
Jos käyttää avointa WLANia niin FB:n salasanojen kalastelu on pieni murhe. Avointen verkkojen avulla on helppo tehdä ARP myrkytys ja sitä kautta saada kaikki tieto mikä verkossa liikkuu itselleen.
Hyvä vaan että tälläisistä uutisoidaan, ehkä ihmiset alkavat panostamaan tietoturvaansa hieman enemmän.

las ballenas son el camino

626.10.2010 15:37

Lainaus:
Laajennuksen kehittänyt Eric Butler on liikkeellä tietoturvan nimissä, ja hän kehitti Firesheepin, jotta ihmiset ymmärtäisivät kuinka huonosti monen palvelun tietoturva on toteutettu.

Se mitään tietoturvaa lisää että antaa jokaisen käyttöön työkalun millä voi varastaa toisen tunnukset. Tällä myös estetään tehokkaasti se että ihmiset voisi käyttää esim. facebookia julkisella wlanilla.

Ihmisten tietoisuus lisääntyy vain tietyissä piireissä koska loppukäteen harvoja kiinnostaa tietotekniikan kehitys. Eri asia on sitten jos tämän julkaisun ansiosta sivustojen pitäjät kiinnittävät enemmän huomiota tietoturvaan...

Asus P8P67, i5 2500-K @ 3,6Ghz, Scythe Ninja 3, GTX 660 DirectCu II, Fractal Design R3, Seasonic S12 II-520W, PNY SSD, Eizo FORIS FS2331, 12Gb DDR3 1600Mhz@1.65V, Logitech G105 keyboard + g500 mouse.

726.10.2010 15:51

Lainaus:
Se mitään tietoturvaa lisää että antaa jokaisen käyttöön työkalun millä voi varastaa toisen tunnukset.
Vastaavia ohjelmia on ollut jo pitkään saatavilla. Uutta on vain aiheesta uutisointi.

las ballenas son el camino

827.10.2010 1:12

Tänään totesin toimivaksi kaappaamalla kymmeniä Facebook-tunnuksia koululla. Sen jälkeen kopioin uutisen tekstin ja listan kaapatuista tunnuksista (pelkät nimet) ja kiinnitin koulun ilmoitustaululle. Oppivatpahan varomaan. Kannustan muitakin levittämään tätä "tietoutta".

927.10.2010 14:55

Sama tehty tietotekniikkakoulutksessa, kurssittajaa informoitu, mutta eipä nähnyt aiheelliseksi ohjeistaa koulutettavia avoimen verkon vaaroista ja mahdollisesta suojautumisesta.

1027.10.2010 16:46

Lainaus:
Jos käyttää avointa WLANia niin FB:n salasanojen kalastelu on pieni murhe. Avointen verkkojen avulla on helppo tehdä ARP myrkytys ja sitä kautta saada kaikki tieto mikä verkossa liikkuu itselleen

Sanotaan nyt vielä tietämättömille, että ARP poisoning ja eräs toinen nimeltämainittu ohjelma, niin SSLnkin (HTTPS) saa suodatettua pois liikenteestä ja näet salasanat puhtaana tekstinä.
EDIT:Typo
Lainaus:
Se mitään tietoturvaa lisää että antaa jokaisen käyttöön työkalun millä voi varastaa toisen tunnukset. Tällä myös estetään tehokkaasti se että ihmiset voisi käyttää esim. facebookia julkisella wlanilla.

Samaa mieltä! Pois tämmöiset uutisoinnit ADsta, parhaimmillaankin lisää vain tietoisuutta siitä, miten kuka tahansa voi varastaa näitä tunnuksia.

Lainaus:

Painottaa vaan sitä, että kannattaako sitä wlan verkkoa käyttää avoimena???


No mitenkäs muuten perustat avoimen WLAN verkon esim. kaupunkiin? Mitä yksityisiin verkkoihin tulee, niin kannattaa varoa(!) Sillä nämä WEP ja WPA/WPA2 -salaukset murtuvat todella helposti osaavan käsissä; jos esim. WPA/WPA2-verkon salasana on heikko - WEPille on aivan sama kun sen saa murrettua sama mille salasanalle.

Lainaus:
Lainaus, alkuperäisen viestin kirjoitti .W.: Niin, miksiköhän esim naamakirja ei automaattisesti ohjaa https-sivulle kun sekin on kerran olemassa? Twitter samoin.

Koska jos kaikki xxx miljoonaa FB:n käyttäjää käyttäisivät https:ää niin palvelu kaatuisi. Suojattu yhteys kun kuluttaa servereiden resursseja rutkasti enemmän kuin suojaamaton.

Ei pidä levittää tällaista aatetta: Näyttää pahasti siltä, että raha menee taas kerran tietoturvan ohi. Ei se SSL niin paljon kuitenkaan syö, jos sitä vain sisäänkijautuessa käyttäisi - niin tällaiset "Firesheep"-työkalujen käyttäjät saataisiin suodatettua pois!

Täysin eri asia ovat ne "oikeat" hakkerit, jotka tulevat salauksien läpi ja tekevät mitä haluavat oli siellä vastassa mitä tahansa.
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 27.10.2010 @ 16:48

Power corrupts

1127.10.2010 16:58

Lainaus:
Ei se SSL niin paljon kuitenkaan syö, jos sitä vain sisäänkijautuessa käyttäisi - niin tällaiset "Firesheep"-työkalujen käyttäjät saataisiin suodatettua pois!

jäi vähän epäselväks miten tää estäis firesheepin käytön? Eihän firesheepillä noita salasanoja saa muutenkaan selville

HIROSHIMA 45
TSHERNOBYL 86
WINDOWS 95

1227.10.2010 18:18

Lainaus, alkuperäisen viestin kirjoitti Michelola:
Lainaus:
Ei se SSL niin paljon kuitenkaan syö, jos sitä vain sisäänkijautuessa käyttäisi - niin tällaiset "Firesheep"-työkalujen käyttäjät saataisiin suodatettua pois!

jäi vähän epäselväks miten tää estäis firesheepin käytön? Eihän firesheepillä noita salasanoja saa muutenkaan selville
Sori, ajattelin väärin. Siis tuota SSL pitäis käyttää salaamattomissa verkoissa, tai sitten kehitellä piakkoin korvaaja noille kekseille. Tai sit lisätä ip-tunnistus ja aika keksien tunnistukseen. Mahdollisuuksia on tietenkin useita, harmi kun niitä ei vielä oteta vakavasti..

...Eikä kauaakaan kun joku kehittää "Firesheep 2.0", jolla saa selville salasanatkin jos SSL ei ole käytössä

Power corrupts

1328.10.2010 11:28

Tämmöisistä juuri pitää uutisoida, ihmiset oppii varomaan ja kehittäjät tekemään parempaa jälkeä.


Vapaat ihmiset kahlitaan, henkisesti kahlituille uskotellaan että he ovat vapaita ja kahlituille sanotaan että joku päivä pääset vielä vapauteen.

1428.10.2010 20:20

Vanha uutinen kyllä, sen verran oon näitä ihmeen betakaappauksia kyllä nähnyt.. Tällähän esimerkiksi joku murtautui Twitterissä FourZeroTwo:n tilille (Infinity wardsin tili) tai jotain muuta ja lueskeli yksityisviestejä. Niitä kuviahan oli levitelty nettiin vaikka kuinka paljon, ainakin nytten tietää millä estää tämä kaappailu

1528.10.2010 22:37

No ennoksi muut talossa käyttävät IE:tä..


2500K / Asus P8Z68-V / MSI TwinFrozr GTX 580 / G.Skill RipJaws 1600 2x4GB / Samsung Spinpoint F3 1Tb / Windows 8 64 bit

1628.10.2010 23:09

Lainaus, alkuperäisen viestin kirjoitti perhana:
Oliko tämäkin uutinen (tai vinkki) nyt ihan pakko julkaista täällä?
saatiin taas tuhansille finninaamoille iltapuuhastelua vihjaamalla kyseisestä mahdollisuudesta.
Ihan vitun hienoa että on edes joku keino päästä fb helvetistä... :D

1729.10.2010 22:29

Lainaus, alkuperäisen viestin kirjoitti juuSOS:
Lainaus, alkuperäisen viestin kirjoitti perhana:
Oliko tämäkin uutinen (tai vinkki) nyt ihan pakko julkaista täällä?
saatiin taas tuhansille finninaamoille iltapuuhastelua vihjaamalla kyseisestä mahdollisuudesta.
Ihan vitun hienoa että on edes joku keino päästä fb helvetistä... :D
No niin on.

2500K / Asus P8Z68-V / MSI TwinFrozr GTX 580 / G.Skill RipJaws 1600 2x4GB / Samsung Spinpoint F3 1Tb / Windows 8 64 bit

189.2.2011 14:45

btw nyt on mahdollista laittaa kaikki fb-liikenne salatuksi, pitää erikseen tilin asetuksista laittaa päälle.


HIROSHIMA 45
TSHERNOBYL 86
WINDOWS 95

1910.8.2012 7:44

Eikö kukaan oikeasti ole kuullut VPN palveluista? Avoimen WLANin käyttö ilman VPN:nää on järjetöntä käytti sitten mitä tahansa muita "suojia" eikä hyvä ja turvallinen VPN palvelu maksa kuin muutaman euron kuukaudessa.

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Omistatko Huawein puhelimen? Tarkista saatko Android Nougat -päivityksen Omistatko Huawein puhelimen? Tarkista saatko Android Nougat -päivityksen (2.12.2016 12:26)
Huawei aikoo päivittää ensi vuoden alussa kaikkiaan kuusi puhelinmallia Android 7.0 Nougatiin. Näin kertovat HDBlog.it- ja Android Central -sivustot, jotka eivät kuitenkaan paljasta tietojensa lähdettä. ....
Pelaajat poikkeavat massasta – Joka toinen päivittänyt Windows 10:een Pelaajat poikkeavat massasta – Joka toinen päivittänyt Windows 10:een (2.12.2016 11:16)
Steamin marraskuisten tilastotietojen mukaan lähes puolet pelaajista on siirtynyt Windows 10:een. Satunnaisotantaan perustuvien lukemien mukaan 48,37 prosenttia PC-pelaajista käyttää 64-bittistä ....
1 kommentti
Älykaiuttimet tulevat – Amazon ja Intel sopivat yhteistyöstä Älykaiuttimet tulevat – Amazon ja Intel sopivat yhteistyöstä (2.12.2016 10:53)
Vielä pari vuotta sitten Internet of Things oli hyvin epämääräinen käsite, jota käytettiin lähes kaikissa pöhinäpuheissa, mutta kukaan ei oikein tuntunut käsittävän mitä se käytännössä oikein ....
Lumioista tuttu ominaisuus tulossa Androidille – MediaTek esitteli uudet piirit Lumioista tuttu ominaisuus tulossa Androidille – MediaTek esitteli uudet piirit (2.12.2016 10:32)
Taiwanilainen mobiilipiirikehittäjä MediaTek on esitellyt kaksi uutta suorituskykyisiin älypuhelimiin suunnattua järjestelmäpiiriä. Helio X23 ja Helio X27 ovat muun Helio X20 -malliston mukaisesti ....
Asensitko iPhone-päivityksen ja akku loppuu yllättäen? Asensitko iPhone-päivityksen ja akku loppuu yllättäen? (1.12.2016 23:13)
Note7 ei toden totta ole aikamme ainoa puhelin, joka kärsii akkuongelmista. Applella on ollut omat ongelmansa akkujen kanssa tänä vuonna, mutta tiedot iOS-päivityksen jälkeen kertovat, että ....
1 kommentti

Uutisarkisto