Programátor Eric Butler v pondelok sprístupnil rozšírenie Firesheep pre prehliadač Firefox, ktoré umožňuje aj bežným užívateľom bez špeciálnych počítačových znalostí tzv. odchytávať session užívateľov na viacerých populárnych webových službách a následne pristupovať na ich účty.
Firesheep neprináša žiadnu technickú inováciu, sprístupňuje ale zneužívanie bezpečnostných rizík v súčasnosti používaných technológií bežným užívateľom a nepochybne vytvorí tlak na prevádzkovateľov webových služieb.
Firesheep po nainštalovaní monitoruje dátovú prevádzku odchytávanú počítačom, na ktorom je rozšírenie nainštalované, knižnicou Winpcap na Windows alebo nástrojom tcpdump na Mac OS X. Dokáže analyzovať dáta prenášané po nešifrovaných WiFi sieťach, do ktorých je užívateľ pripojený, respektíve dáta šírené po Ethernet sieti. Sieťové rozhranie, z ktorého zachytáva dáta, je možné nastaviť v nastaveniach rozšírenia.
Webové stránky užívateľa respektíve jeho session po prihlásení zvyčajne identifikujú pomocou cookie. Firesheep jednoducho vyhľadáva v prenášaných nešifrovaných dátach posielaných inými užívateľmi pripojenými do rovnakej siete cookie s identifikáciou session.
Rozšírenie podporuje odchytávanie účtov viacerých desiatok služieb, napríklad Google, Windows Live, Yahoo, Facebook, Twitter, Dropbox a ďalších účtov. Okrem toho rozšírenie obsahuje flexibilný mechanizmus na dopĺňanie podpory pre ďalšie služby.
Cookie následne používa na získanie napríklad mena alebo účtu užívateľa a všetky identifikované účty zobrazuje vo svojom sidebare. Po kliknutí na jednotlivé detekované účty umožňuje pristupovať na danú webovú službu pod odchyteným účtom, ak služba samozrejme napríklad neviaže session aj na IP adresu užívateľa a tú má užívateľ odlišnú od IP adresy užívateľa s odchyteným účtom.
Firefox s Firesheep so zoznamom zachytených účtov (screenshot: Eric Butler)
Webové stránky zvyčajne využívajú bezpečný šifrovaný prenos dát s využitím SSL / HTTPS len pre prihlásenie. Odchytávanie session by samozrejme zabránilo nasadenie HTTPS pri celom prístupe k webovej službe, ako to napríklad podporuje Gmail. Butler rozšírenie predstavil na hackerskej konferencii Toorcon 12, svoju prezentáciu ukončil výzvou "Žiadajte SSL všade!"
Dobrým odporúčaním pre užívateľov, ktorí pristupujú k webu cez nešifrované siete, je tiež minimálne odhlasovať sa po skončení práce. Odhlásenie zvyčajne zneplatní session a prípadný útočník tým stratí možnosť naďalej pristupovať na zachytený účet.
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
mptgpmg pmgt
Od: amjwgmptag
|
Pridané:
26.10.2010 11:23
mohlo by to byt aj pre chrome...
|
| |
Re: mptgpmg pmgt
Od: ...................
|
Pridané:
26.10.2010 11:25
aj pre safari, a IE vsetky verzie, operu a podobne .. nebud lenivy, ak to chces nahod si FF ..
|
| |
Re: mptgpmg pmgt
Od: fjdfkjadbfkb
|
Pridané:
26.10.2010 15:53
nie som lenivy a mam FF... ale za to to este mozem chciet aj pre chrome co povies?
|
| |
Re: mptgpmg pmgt
Od: tomixxx
|
Pridané:
26.10.2010 23:21
no ešte to aby som si do kompu inštaloval ten vírus Firefox
|
| |
Re: mptgpmg pmgt
Od: Frajter
|
Pridané:
27.10.2010 0:04
:)))))))))))))))))))))))))
|
| |
.......
Od: ...................
|
Pridané:
26.10.2010 11:24
najlepsi sposob ako poukazat na problem, ak zijeme v konkurencnom svete .. dufam ze dostal od myspace aspon 100 000 dolarov ;)
|
| |
Vsetci sa tesime :)
Od: creaturex
|
Pridané:
26.10.2010 11:25
No, aspon budu mat dementi co tu adolescente spamuju fora novu zabavku :-D
BTW: good point - SSL everywhere... najlpsie na tom je, ze ssl nie je zadarmo a kvalitne stoji kurva vela penazi... tak aspon niekto mozno zbohatne:)
|
| |
Re: Vsetci sa tesime :)
Od: ...................
|
Pridané:
26.10.2010 11:26
to k.vela penazi je subjektivne .. mozno vela pre teba mozno nie pre ineho .. v kazdom pripade, napis konkretnu sumu nech si kazdy vyhodnoti sam ci je to naozaj vela
|
| |
Re: Vsetci sa tesime :)
Od: 3zn
|
Pridané:
26.10.2010 11:31
SSL je zadarmo, ale mat certifikat vydany nejakou realnou autoritou uz zadarmo nie je.
|
| |
Re: Vsetci sa tesime :)
Od: dosh
|
Pridané:
26.10.2010 11:37
realne stoji certifikat vydany CA na rok cca. 450$ co neni problem pre firmu...
ak si ho vygenerujes sam tak je zadarmo (neda sa sice overit, ale komunikacia je aj tak zasifrovana :) )
|
| |
Re: Vsetci sa tesime :)
Od: pubertak lamer
|
Pridané:
26.10.2010 11:41
v skutocnosti realne naklady nie su certifikat, ale HW umoznujuci (sta)tisice (az miliony) dopytov za sekundu na SSL. Certifikat je oproti tomu prakticky zadarmo
|
| |
Re: Vsetci sa tesime :)
Od: prdlajs
|
Pridané:
27.10.2010 16:17
Nie je to problem vo velkej firme, pripadne vo firme co ma prebytocne prachy. Vo vacsine mensich firiem na Slovensku to vsak problem je. Preto pouzivaju skor svoje certifikaty (ak vobec nejake), ktore su zadarmo, ako niekomu platit dalsie prachy kazdy rok len za overenie - lebo ucel to splni takisto ako ten plateny. Bezpecnost toho je uz ina otazka.
|
| |
Re: Vsetci sa tesime :)
Od: Meno1
|
Pridané:
26.10.2010 14:44
"SSL je zadarmo"
Ano, ked mas aplikaciu s tromi pouzivatelmi za hodinu...
|
| |
Re: Vsetci sa tesime :)
Od: fgsadgs
|
Pridané:
26.10.2010 18:44
skus si precitat ake sluzby ponuka spolocnost StartCom. sice nie je to velmi znama firma ale ak si nieco o nej precitas prides na to ze ponuka certifikat vydany "realnou autoritou" (rozumej ze ich korenovy certifikat je vo vacsine pouzivanych prehliadacov defaultne akceptovany) uplne zadarmo.
|
| |
Twitteru
Od: sizej
|
Pridané:
26.10.2010 11:33
este dobre ze to hackovat je v uvodzovkach inac by to bolo dost zavadzajuce vzhladom na to ze ten nastroj nie je nic ine len filter paketov, ktory z nich vytiahne len to dolezite...cize ziadne hromadne hackovanie uctov sa nechysta, ale viem si predstavit ludi ktori po precitani zacali stahovat vsetko
|
| |
Re: Twitteru
Od: waveeee
|
Pridané:
26.10.2010 11:49
ja si viem predstaviť tvoj vek z tvojej vševednosti
|
| |
Re: Twitteru
Od: mgm
|
Pridané:
26.10.2010 12:28
...uz si mal stiahnute a nasiel si sa v jeho prispevku? :)
|
| |
Re: Twitteru
Od: waveee
|
Pridané:
26.10.2010 22:56
nie, ja len nepotrebujem zvýraznovat to čo každy chape za učelom spopularnenia sa...
|
| |
Re: Twitteru
Od: :-)
|
Pridané:
27.10.2010 11:10
krasne si mu dal :)
|
| |
Re: Twitteru
Od: ...................
|
Pridané:
26.10.2010 13:20
neboj, aj ty raz dorasties ..
|
| |
Re: Twitteru
Od: mastttias
|
Pridané:
26.10.2010 17:42
no chcelsi sa citit ako "hacker" a on ti to pokazil a povedal ti ze to nieje heckovanie ? :D
|
| |
SSL všade
Od reg.: Klix.
|
Pridané:
26.10.2010 11:36
Myšlienka síce pekná, ale HTTP+SSL je pre Webserver podstatne náročnejšie ako obyčajné HTTP. Neviem si osobne predstaviť, koľko by sme museli v našej firme investovať do HW, aby sme šifrovali celý prenos a nie len prihlásenie.
|
| |
Re: SSL všade
Od: matos123
|
Pridané:
26.10.2010 13:32
no a co ze vy ako firma by ste museli nieco investovat? Ide predsa o zakaznika, alebo sa mylim?
|
| |
Re: SSL všade
Od reg.: Hosak
|
Pridané:
26.10.2010 16:22
Vsak prave ze ide, v konecnom dvosledku by to aj tak zaplatil zakaznik
|
| |
Re: SSL všade
Od: dsmfklasmlfkd
|
Pridané:
26.10.2010 17:26
heh pristup slovenskeho podnikatela :D
|
| |
Re: SSL všade
Od: X-Men
|
Pridané:
26.10.2010 19:22
Pristup akehokolvek podnikatela na slovensku.. Aj ti co sem dosli sa stihli prisposobit:-)
|
| |
aj bez SSL
Od reg.: OmeGa
|
Pridané:
26.10.2010 12:38
myslim ze efektivnejsie by bolo zasifrovat wifi, a ak sa to neda [verejne] tak naucit ludi nech nerobia koniny, ako pristup na citlive stranky cez nesifrovanu wifi [IB, osobne udaje, fb, twitter atd]
|
| |
Re: aj bez SSL
Od: john connor
|
Pridané:
26.10.2010 12:57
no ano to su zname veci.No ale ako to vysvetlit takej babke co zije na lazoch ? Ta vobec netusi ktora bije.
|
| |
Re: aj bez SSL
Od: ...................
|
Pridané:
26.10.2010 13:21
netreba ju ucit, nato sa pouziva pojem defaulting pre menej zdatnych ludi ..
|
| |
Re: aj bez SSL
Od: retardo
|
Pridané:
26.10.2010 14:56
Babka na lazoch fici na Facebooku?
|
| |
Re: aj bez SSL
Od: zahraj mi na moj saxofon
|
Pridané:
26.10.2010 16:13
na vsetko ostatne je tu Fejsbruk
|
| |
A kto to potrebuje?
Od: X-Men
|
Pridané:
26.10.2010 15:37
Aj tak nechapem zmysel tychto veci.. To je pre trapne deti? Ziarlivych manzelov? Ved kazdy, kto hodi nieco citlive na net si musi byt vedomy, ze o tu cast sukromia dojde. Chapem zmysel konania toho chalaniska, opat niekto poukazal na na skutocny problem a tym je ludska sprostost. Ale tym deckam je aj tak jedno, ze ci niekto bude mat k im info pristup alebo nie, oni potrebuju co najviac buddies na nete:-)
|
| |
Re: A kto to potrebuje?
Od reg.: diosko
|
Pridané:
26.10.2010 15:56
Nejde ani tak o informacie uz zverejnene ako o informacie, ktore moze pod tym istym uctom zverejnit niekto iny. Napr. ked nejakej dievcine niekto zverejni jej mobilne cislo s textom "Chcem to hned..." - to bude fanusikov ;-)
|
| |
Re: A kto to potrebuje?
Od: X-Men
|
Pridané:
26.10.2010 16:14
Fanusikov - Uchylakov:-)
|
| |
Re: A kto to potrebuje?
Od reg.: Hosak
|
Pridané:
26.10.2010 16:25
Pri fb sa nic nedeje ale pri google acc. a win live to uz moze bit trocha problem
|
| |
winpcap ftw
Od: Morte
|
Pridané:
26.10.2010 19:51
hmmm winpcap, velmi uzitocna vecicka, na nej som kedysi spravil jeden icq sniffer, dost sa na tom da vyblaznit
|
| |
kto proti komu stoji?
Od: hgfd
|
Pridané:
26.10.2010 20:17
zrazu vysla na svetlo sveta tato vecicka, ktora dokaze hore zmienene, preco je zrazu take lahke ju ziskat? pozna niekto odpoved? cha? :D
|
| |
pre deti je to nanic
Od: dddv
|
Pridané:
26.10.2010 20:44
nesifrovane wifi - kto to dnes pouziva bez tunelu?
ethernet - dnes sa uz ani neda kupit cisty hub, vsetko je prepinane a pakety sa k tebe nedostanu.
ti co vedeli aj doteraz podstrcit ciste wifi alebo kopirovat ethernet do svojho portu maju parser na co treba uz davno. ostatnym je to nanic.
|
| |
Try it
Od: sasS
|
Pridané:
27.10.2010 16:56
Tak toto skusim :)
|
| |
riadne to zera baterku
Od: macuser
|
Pridané:
29.10.2010 15:52
tak som to skusil bez pirojenia na elektricku siet
zrazu namiesto vydrze baterky 6:00 hodin mi to hned zacalo ukazovat 3:20 hodin, cize riadna spotreba, ked som to vypol hned sa mi vydrz vratila na 6 hodin
|
neprihlásený 
