Firefoxtillegg kaprer Facebook og Twitter
Innstikksmodulen Firesheep er nærmest uimotståelig for mange, og har blitt lastet ned 130 000 ganger siden søndag.
En ny innstikksmodul til Firefox gjør det mulig for hvem som helst å skanne trådløsnettverk og kapre andre brukeres tilgang til Facebook, Twitter, og en lang rekke andre tjenester, skriver PC Worlds nyhetstjeneste.
LES OGSÅ:
Tillegget, kalt "Firesheep", ble sluppet på søndag av webapplikasjonsutvikler Eric Butler på sikkerhetskonferansen ToorCon i California.
Uvedkommende får full tilgang til dine sider
Butler sa han lagde Firesheep for å illustrere risikoen ved å gå inn på ukrypterte nettsider via trådløsnett som er tilgjengelig for offentligheten. Selv om det er vanlig at nettsider krypterer brukerpålogging med HTTPS eller SSL, er det få som krypterer selve trafikken.
LES OGSÅ:
Firesheep utnytter en teknikk som stjeler cookies som nettleseren bruker i en sesjon.
- På et åpent trådløst nettverk "kastes" slike cookies rundt i lufta, noe som gjør slike angrep svært enkle, sier Butler.
En kjeltring som stjeler cookies kan dermed enkelt logge inn på de samme tjenestene som offeret er logget inn på, og får full tilgang til nettsidene akkurat som den legitime brukeren.
Innstikksmodulen er tydeligvis nærmest uimotståelig for mange folk. Siden Butler la ut Firesheep på søndag, er tillegget lastet ned nesten 130 000 ganger.
Såre enkelt
Firesheep legger til et sidepanel i Mozillas Firefox-nettleser som viser når noen som er på et åpent nettverk – for eksempel trådløsnettet til en kafé – besøker en usikker side. Ved å dobbeltklikke på en person i sidepanelet, logges man på som den personen, forklarer Butler i beskrivelsen av innstikksmodulen. Firesheep kan kapre nettsider som Facebook, Twitter, Flickr, bit.ly, Google og Amazon.
LES OGSÅ:
- Dette er ikke noe nytt, men Firesheep gjør det så enkelt å oppdage ukryptert trafikk og cookies, at nær sagt hvem som helst kan bruke Firesheep til å lytte til hva andre gjør på offentlig tilgjengelige trådløsnett, sier sjefen for sikkerhetsselskapet Sophos, Richard Wang.
Wang håper at Firesheep kommer til å få flere nettsider til å kryptere sesjoner og at de som drifter trådløsnett rundt om kring blir flinkere til å sikre brukerne, selv om det er en utfordring å skulle drive å dele ut passord for tilkobling til trådløsnettet.
- Det er det gamle argumentet om sikkerhet kontra hva som er praktisk, sier Wang.
LES OGSÅ:
Brukere kan beskytte seg selv, ved å avslå tilkobling til usikre sider når de befinner seg på åpne nettverk, eventuelt koble seg til via en sikker proxy-server.
Firesheep fungerer med windows- og Mac OS X-versjonene av Firefox, og kan lastes ned gratis fra nettsiden GitHub.
