Sikkerhetseksperter råder Firefox-brukere om hvordan de kan beskytte seg mot Firesheep, den nye nettleseren add-on som lar amatører kapre brukernes tilgang til Facebook, Twitter og andre populære . tjenester
Firesheep legger en sidebar til Mozillas Firefox nettleser som viser når noen på et åpent nettverk - for eksempel en kaffebar Wi-Fi-nettverk -. besøk en usikker språk
En enkel dobbelt klikk gir en hacker umiddelbar tilgang til påloggede områder som spenner fra Twitter og Facebook for å bit.ly og Flickr.
Siden forskeren Eric Butler utgitt Firesheep, add-on har blitt lastet ned nesten 220 000 ganger. Anmeldelser
"Jeg var i en Cofee butikken i dag, og noen var å bruke Firesheep," sier Andrew Storms, direktør for sikkerhetsoperasjoner på nCircle Security. "Det var bare 10 mennesker der, og var å bruke den!"
Men brukerne er ikke forsvarsløs, stormer og flere andre eksperter opprettholdes.
En måte de kan beskytte seg mot rogue Firesheep brukere, sier eksperter, er å unngå offentlige Wi-Fi-nettverk som ikke er kryptert og kun tilgjengelig med et passord.
Men Ian Gallagher, en senior sikkerhetsingeniør med Security Innovation, hevdet at kaster ut babyen med badevannet. Gallagher er en av de to forskerne som debuterte Firesheep sist helg på en San Diego konferanse.
"Mens åpent Wi-Fi er den viktigste Proving Ground for Firesheep, det er ikke problemet," Gallagher sa i en blogg. "Dette er ikke et sikkerhetsproblem i Wi-Fi, er det mangel på sikkerhet fra de nettstedene du bruker."
Gratis, åpent Wi-Fi er ikke bare tatt for gitt av mange, men det er ikke problemet. Det er nok av lav risiko aktiviteter man kan gjøre på internett på en offentlig hotspot, inkludert å lese nyheter eller se opp adressen til en nærliggende spisested.
Så hvis Wi-Fi opphold, hva som er en bruker å gjøre ?
Det beste forsvar, sier Chet Wisniewski, senior sikkerhetsrådgiver hos leverandøren av antivirusprogrammet Sophos, er å bruke en VPN (Virtual Private Network) ved tilkobling til offentlige Wi-Fi-nettverk på en flyplass eller kaffebar, for eksempel.
Mens mange bedrifts arbeiderne bruke en VPN for å koble til sitt kontor nettverk mens de er på veien, forbrukere vanligvis mangler som sikker "tunnel" til internett.
"Men det er noen VPN-tjenester som du kan abonnere på som vil forhindre at noen kjører Firesheep fra 'sidejacking' øktene, "Wisniewski sa
En VPN krypterer all trafikk mellom en datamaskin -. en laptop på flyplassen gate, for eksempel - og internett generelt, inkludert områder som er sårbare for Firesheep kapring. "Det er så god en løsning som det er," Wisniewski sa, "og ikke annerledes, egentlig, enn å bruke kryptert Wi-Fi."
Internet & bredbånd nyheter
PC Security Råd
- bredbånd hastighet test
Internet & bredbånd nyheter
PC Security Råd
Unngå offentlige Wi-Fi-nettverk
er ikke VPN en totalløsning
Se også: Mozilla patcher 12 feil i Firefox
http://www.pcadvisor.co.uk/news/index.cfm?newsid=3246081&pn=1
Unngå offentlige Wi-Fi-nettverk
er ikke VPN en totalløsning
Sikkerhetseksperter råder Firefox-brukere om hvordan de kan beskytte seg mot Firesheep, den nye nettleseren add-on som lar amatører kapre brukernes tilgang til Facebook, Twitter og andre populære tjenester.
En leverandør, Strong VPN, priser sin tjeneste som starter på $ 7 (£ 4,45) per måned, eller $ 55 (£ 35). per år
Gallagher, men advarte om at en VPN er ikke en total løsning. "Det er bare å skyve problemet til at VPN eller SSH endepunkt," sa han. "Trafikken vil deretter forlate denne serveren akkurat som det ville da det forlot den bærbare datamaskinen, slik at alle som kjører Firesheep eller andre verktøy kan få tilgang til dine data på samme måte."
"En blind forslag fra 'bruke en VPN 'egentlig ikke løse problemet, og kan bare gi en falsk følelse av sikkerhet, "sa han.
Strong VPN uenige. "Våre servere er i et sikkert datasenter, slik at ingen kommer til å være i stand til å" snuse "trafikken kommer inn eller går ut", en talsmann for selskapet motvirkes. "All trafikk fra, for eksempel, den bærbare datamaskinen i San Francisco, er kryptert når den går til en av våre amerikanske servere."
Storms ekko Strong VPN påstand. "Jeg kan se [Gallagher poeng], som en VPN ikke løser roten problemet, som er på tjenesten slutt," sa han. "Men selv om det er sant at trafikken ville være klar tekst når den forlater VPN server for nettstedet, er det svært usannsynlig at noen ville sniffe trafikken."
Sean Sullivan, en sikkerhetsrådgiver med F-Secure, anbefalt Comodo TrustConnect som "en VPN i alle, men navnet bare". Comodo, en rival av F-Secure, selger tjenesten for $ 7 (£ 4,45) per måned, eller $ 50 (£ 31). Årlig
Dersom fri er objektet, det finnes alternativer der også, sa Wisniewski, Sullivan og Gallagher, som pekte på et par av gratis Firefox add-ons som tvinger leseren til å bruke en kryptert tilkobling når det åpner visse områder.
En av de Firefox add-ons, HTTPS-Everywhere, gitt av Electronic Frontier Foundation (EFF), fungerer bare med en definert liste over nettsteder, inkludert Twitter, Facebook, PayPal og Googles søkemotor.
Det andre valget, Force-TLS, tjener samme formål som EFF forlengelse, men lar brukere spesifisere hvilke nettsteder som å håndheve kryptering.
Men andre nettlesere, for eksempel Microsofts Internet Explorer og Google Chrome, mangler tilsvarende add-ons, forlater sine brukere ute i kulde.
"Jeg forventer at [Firesheep] vil anspore EFF eller andre, kanskje i åpen kildekode-miljøet, til noen ytterligere utvikling [av slik add-ons], kanskje Chrome havnene i disse utvidelsene," Sullivan sa.
Det kan ta måneder. I mellomtiden, Sullivan hadde en annen idé. "En Mi-Fi-enheten kan kryptere [trafikk], så med ett er du alltid bære din egen Wi-Fi-hotspot med deg," sa han.
Mi-Fi er ikke billig, men. Til syvende og sist, flytter brukere gjør for å plugge hullene Firesheep eksponerer er stop-gap. Elefanten i rommet, sa Butler og Gallagher da de forsvarte utgivelsen av add-on, er det mangel på full kryptering. Og bare nettstedene og tjenestene kan fikse det.
"Den virkelige historien her er ikke den suksessen Firesheep, men det faktum at noe sånt som det er enda mulig," Butler skrev i sin blogg på tirsdag. "Fremover vil det metriske av Firesheep suksess raskt endre seg fra mengden oppmerksomhet det får, til antallet nettsteder som tar i bruk riktig sikkerhet. Ekte suksess vil være når Firesheep ikke lenger fungerer i det hele tatt."
Men for øyeblikket, selv sikkerhet fagfolk er bekymret. "Jeg er på flyplassen akkurat nå," Wisniewski fortalte PC Advisor
søster tittel, Computer
. «Og jeg lurer på om noen bruker Firesheep her. Kanskje jeg bør gjøre en liten" skulder surfing "for å se om noen har den i gang."