Podle Erica je nutnost SSL přístupu „slonem v místnosti“ (slon je nepřehlédnutelný, ale všichni v místnosti se tváří, že ho nevidí)
Na Facebook, k emailu přes webové rozhraní a k dalším službám přistupujeme často přes spojení nezabezpečená (HTTP). Sice se zabezpečeně přihlásíme heslem, ale spojení se pak změní v nezabezpečené. Přístup ke všemu důvěrnému obsahu se potom řídí už jen podle toho, zda se náš prohlížeč může prokázat správnou „sušenkou“ (cookie), která se nastavila, když jsme se přihlásili heslem. (Sušenka se zneplatní zpravidla teprve záměrným odhlášením.)
Narušiteli tedy stačí získat z přenášených dat tuto sušenku, a může se serveru prokazovat za nás. Jste‑li připojeni po síti pevné, má k přenášeným datům běžně přístup jen několik adminů po cestě; můžete doufat v jejich svědomí, anebo v to, že mají dost jiné práce — co je vám milejší… Jenže s rozmachem WiFi, a to jak veřejných v kdejaké kavárně, tak domácích, ale nezabezpečených dostatečně, je z toho opravdový problém.
Odborníci o něm vědí roky a roky jsou dostupny různé hackerské nástroje, a přesto se řada online služeb brání šifrování veškerého provozu. To totiž stojí výpočetní výkon a zatěžovalo by jim servery. Nezávislý vývojář Eric Butler už měl všeho dost — toho, jak se v médiích propírá kdejaká okrajová bezpečnostní dírečka, ale přehlíží se tato zející propast.
Rozhodl se tedy na problém upozornit: napsal nástroj tak snadný — a hezký na pohled — že jeho pomocí se může k cizímu profilu přihlásit i cvičený šimpanz — vážně, stačí jen kliknout myší. Eric doufá, že to konečně podnítí Facebook a další velké služby k tomu, aby pochopily, že jedině spojení cele zabezpečené, od začátku do konce, lze považovat za bezpečné.
Nástroj Firesheep je napsán jako rozšíření pro Firefox a Eric jej spolu s Ianem Gallagherem představil v neděli v San Diegu na dvanáctém ročníku hackerského setkání ToorCon.
Firesheep je dostupný v postranním panelu Firefoxu. Stačí se prostě připojit k nějaké nezabezpečené Wifi a čekat… Jakmile se někdo připojí ke společenské síti, kterou Firesheep zná, objeví se onen pošetilec v panelu pěkně i s profilovým obrázkem. Stačí dvakrát kliknout, a jste na jeho účtu! (Jste v jeho session.)
Zpravodajský web TechChrunch získal vyjádření od Facebook, Inc., ve kterém firma tvrdí, že v poslední době pokročila v testování plně zabezpečeného přístupu, a že doufá, že tuto možnost bude moci nabídnout uživatelům ve výhledu měsíců.
Kromě toho se webu ozval jeho čtenář Steve Manuel, který upozornil na doplněk jménem Force‑TSL, který umožňuje vynutit si šifrované spojení (HTTPS) k webům, jež si uživatel vybere. Jde to s těmi servery, které povolují HTTPS navázat. Nejde totiž o to, že byste si určitou stránku na Facebooku nemohli otevřít přes HTTPS — můžete; však si to vyzkoušejte a přepište v adresním řádku ‚http‘ na ‚https‘. Potíž je, že to tam nevydrží, jakmile překliknete na stránku jinou. S doplňkem, který si HTTPS vynutí, by vydržet mělo.
Do kavárny pak choďte raději s někým, a notebook nechte doma, nebo alespoň v brašně.
video
1 foto
