Hirdetés

Bárki lehet hacker a "tűzbirkával"

|

A Firesheep kiegészítővel mások felhasználói fiókjaihoz lehet egyszerűen hozzáférést szerezni.

Hirdetés

Eric Butler programozó egy olyan Firefox kiegészítőt fejlesztett ki, amelyről annyi már biztosan elmondható, hogy igencsak híressé vált az elmúlt napokban. Az interneten rengeteg helyen tárgyalják a Firesheep nevű add-on jellemzőit, tulajdonságait, az általa felszínre hozott problémákat és a kockázatcsökkentési lehetőségeket. Azonban mindenképpen meg kell említenünk - amit egyébként maga Eric Butler is hangsúlyozott -, hogy valójában nincs szó nagy újdonságról, legalábbis ami a kiegészítő által kihasznált sebezhetőséget, biztonsági gyengeségeket illeti.

 

 

Hirdetés



A Firesheep ugyanis elsősorban az úgynevezett "HTTP Session hijacking" technikával él, amelyről már 2004 környékén jelentek meg tanulmányok, és az OWASP (Open Web Application Security Project) projekt is kiemelten foglalkozik a sérülékenységgel az autentikáció és a session kezelés kapcsán. Egy olyan sebezhetőségről van szó, amelyet bizonyos körülmények között eddig is ki lehetett használni, és számos alkalmazás volt elérhető az ilyen jellegű támadások végrehajtásának megkönnyítéséhez.

A Firesheep tehát egy régóta ismert problémát igyekszik kihasználni annak érdekében, hogy tulajdonképpen bárki, különösebben mély informatikai ismeretek nélkül is játszva megszerezhessen olyan adatokat, cookie-kat, melyek révén mások nevébe bejelentkezhet egyes webes szolgáltatásokba. Ebből a szempontból sebezhető lehet a Facebook, a Twitter, az Amazon, a Foursquare, a Github, a Flickr és a Windows Live (Hotmail) is.

A támadónak vagy a kíváncsiskodó felhasználónak nincs más dolga, mint titkosítatlan internetkapcsolaton keresztül a Firesheep segítségével leskelődni. Amikor letölti a Firefox kiegészítőt, akkor a böngészőben egy új oldalsáv jelenik meg, amelyről egy hálózati szkennelés kezdeményezhető. Ekkor feltérképezésre kerülnek a nyilvános Wi-Fi hálózathoz csatlakozó felhasználók által éppen igénybe vett fiókok, amelyekre kattintva átvehetővé válhat az azok feletti irányítás.

A jelenleg Windows és Mac OS X operációs rendszerekhez elérhető Firesheep kizárólag akkor működőképes - a legstabilabban egyébként Mac OS X alatt -, ha nincs megfelelő titkosítás. Vagyis akkor jelenthet problémát, amikor a webes szolgáltatások üzemeltetői nem alkalmaznak titkosítási technológiákat (SSL, HTTPS, stb.) vagy azokat nem megfelelően implementálják, és a felhasználók nyilvános, titkosítatlan vezeték nélküli hálózatokon keresztül férnek hozzá az online megoldásokhoz. Eric Butler szerint a nem teljes körű titkosításra jó példa a Facebook Like gombja is. További kockázatot jelenthetnek a kijelentkeztetést szolgáló funkciók esetleges hiányosságai is. Mindezekből következik, hogy ha egy szolgáltatás titkosítással teljes körűen védett, akkor e Firefox kiegészítő nem képes ellátni a feladatát. Ugyancsak csökkentheti a kockázatokat a HTTPS-Everywhere és a Force-TLS add-onok használata. A Firesheep méregfoga VPN segítségével is "kihúzható".

Végül elmondható, hogy a meglehetősen nagy port kavar Firesheep nem az általa alkalmazott módszerek miatt jelent igazán újdonságot, hanem azzal, hogy egy régóta ismert sérülékenység kihasználását tulajdonképpen bárki számára karnyújtásnyi közelségbe hozta. A kiegészítő szélesebb felhasználói csoportok számára tette kézzelfoghatóvá a titkosítás és a nem körültekintő számítógép-használat kockázatait, miközben a szolgáltatók számára egy újabb intő jelét adta annak, hogy az SSL/HTTPS megfelelő implementálására különös hangsúlyt kell helyezni.

A cikk testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.

 

Ügyfélszolgálati változás!
--
Hirdetés
Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.