Folie Firesheep og andre plager på Linux


Du har sikkert hørt mye om Firesheep, Firefox-utvidelse som eksponerer brukerens legitimasjon og lar nesten hvem som helst å ta over en konto på Facebook, Twitter og mange andre nettsteder med noen få klikk. Men hva gjør du for å bekjempe den? Les videre, og du vil være i stand til å foil Firesheep på kort tid.

Mange nettsteder bruker cookies for å lagre autentiseringsinformasjon. Du vil logge inn via en HTTPS-tilkobling, men deretter gå tilbake til HTTP når du har godkjent. Da cookie – med godkjennings informasjon – sendes over vanlig HTTP. Dette er ingen big deal når du er på hjemmenettverket (forutsatt at du stoler på alle menneskene i ditt hjem, selvfølgelig, og du bruker WEP eller WPA for Wi-Fi). Men hvis du er i en kaffebar, på en konferanse, eller ved hjelp av noen andre offentlige nettverk deretter sende informasjonskapslene over HTTP gjør det lett for andre å kapre økten.

Forstå Firesheep


Firesheep gjør det virkelig
enkelt. Det har vært mye trykk om Firesheep, og noe av det gir inntrykk av at HTTP kapringen er en ny utvikling eller plutselig gjort mulig av Firesheep. Det er ikke nytt, men verktøy for å gjøre det var litt mer primitive og du faktisk trengte å vite hva du gjorde litt. Firesheep gjør det et pek og klikk operasjon.

Firesheep er en Firefox-utvidelse som undersøker åpne trådløse nettverk for autentisering cookies, og viser deretter en liste over brukere og nettsteder som det er tatt til fange. Hvis Firesheep brukeren snags noens legitimasjon, er alt som trengs en dobbeltklikk for å logge inn på nettstedet som offeret. Merk at dette fungerer bare for nettsteder som Firesheep støtter – så hvis du logger inn på Twitter, Facebook, etc., så du bør bekymre. Du kan
være tryggere (fra Firesheep, uansett) når du logger inn i mindre trafikkerte områder. Men hvorfor sjanse det?

Ikke noe av dette er helt nytt. Du kan gjøre det samme med Wireshark (tidligere Ethereal), men det tar en er litt mer vett til å sette sammen bitene med Wireshark.

Vil du prøve Firesheep ut på Linux-boksen for å se hva den gjør? Dessverre, eller kanskje heldigvis, kan du ikke. Ikke akkurat nå, uansett – den bare kjører på Mac OS X og Windows, selv om det er en Firefox-utvidelse. Du kan hente det fra GitHub. Det finnes også en port for, av alle ting, WebOS.

Fighting Firesheep

Hvis du er overbevist om at Firesheep og dens ilk er et problem, hva er løsningen? Det er en to-parter, dessverre – og bare noen av den hviler på brukerne.

Hva du kan gjøre som en bruker er å tvinge HTTPS-tilkoblinger på nettsteder som støtter dem, og unngå å bruke godkjenning over offentlige nettverk hvis nettstedene i spørsmålet støtter ikke sikker tilkoblinger. For eksempel, hvis selskapet Content Management System (CMS) eller Webmail ikke har en SSL-sertifikat, må du vente til du er i stand til å koble til via et privat nettverk.

En annen ting, for Firefox-brukere, er HTTPS overalt, som blir utviklet av Tor Project og Electronic Frontier Foundation (EFF). Som Firesheep, HTTPS Everywhere støtter ikke alle webområder — men den støtter et bredt utvalg av populære nettsteder, inkludert Github, Dropbox, Bit.ly, Twitter, Hotmail og Facebook. Vær oppmerksom på at Facebook krever noen ekstra skritt, se instruksjonene med 0.9.0 utgivelsen. Spesielt vil du også ønsker at AdBlock Plus utvidelse for Facebook, fordi mange av annonsene kommer fra usikre områder som har Facebook-trackere. (Takk, Facebook ...)

Chrome og Chromium-brukere kan bruke force-https alternativet for å tvinge HTTPS-tilkoblinger, selv om dette har noen ulemper i at du ikke kan koble til ikke-HTTPS nettsteder. Hvis du gjør din normal surfing pluss tilkobling til områder ved hjelp av godkjenning, kan det være smertefullt. Chrome benekter også selvsignerte sertifikater når du bruker force-https alternativet, så det betyr at du kommer til å være ute av lykken hvis din bedrift eller prosjekt er å bruke selvsignerte sertifikater.

Generelt de beste tingene du kan gjøre er å være klar over problemet og være bevisst på når informasjonen kan bli utsatt for.

støtte dine Brukere

Admins kan bidra ved å tilby sikret tilkoblinger. Hvis du kjører en server med noen form for brukerautentisering, bør du tilby brukerne sikret tilkoblinger. Dette betyr å ha et SSL-sertifikat installert og helst bare tillater HTTPS-tilkoblinger når autentisering er involvert

beregningsmessig, dette er litt dyrere &mdash.; men du bør ikke trenger å oppgradere maskinvaren bare for å støtte flere HTTPS-tilkoblinger med mindre du støtte en mye trafikk.

Det andre hensynet er en SSL-sertifikat. Du kan kjøpe en SSL-sertifikat fra flere forskjellige selskaper. Mange domeneregistratorer gi SSL-sertifikater for en avgift, noen også gi konserter gratis med domeneregistrering. Noen prosjekter, som StartCOM tilbyr også konserter gratis. Vær forsiktig med noen av disse – hvis rotsertifikatet for SSL-leverandøren ikke distribueres med nettleseren, vil nettleseren behandler sertifikatet som en selvsignert sertifikat. Med andre ord, kan forbindelsen være sikker fra Firesheep – men det er ikke verifisere at du kobler til området du tror du kobler til.

Selv signerte sertifikater er greit for organisasjoner som ønsker å kryptere trafikk for en håndfull brukere, og også bra hvis du ønsker å sikre din egen personlige side. For eksempel, ville jeg mye heller ha et selvsignert sertifikat for bloggen min når jeg oppdaterer den fra en konferanse enn å koble i klartekst. Vi dekker skape selvsignerte sertifikater snart.

Sammendrag

Firesheep er bare det siste trussel mot brukere, men det bare eksponerer en sårbarhet som har vært der hele tiden. Selv om det har vært mye av fingre pekte på Firesheep utvikler for å slippe løs dette, jeg tror det er en god ting at det er der ute. Det viser bare hvor sårbare brukere har vært, og jeg håper, vil be brukere og IT-avdelinger, for å ta disse truslene mer alvorlig. Linux-brukere er vant til å håne den malware som stadig skaper problemer for Windows-brukere – men dette er en kryssplattform problem. Sørg for at du tar skritt for å være trygg. Anmeldelser