Det har skrivits mycket, bland annat på PC för Alla, om hotet från hackerverktyget Firesheep, som gör det möjligt för nästan vem som helst att komma in på andras Facebook-, Twitter- eller liknande konton. Vi har diskuterat hotet med säkerhetsexperten Per Hellqvist på Symantec, som är väl insatt i problemet.
Per Hellqvist förklarar att Firesheep är ett så kallat snifferprogram, som helt enkelt avlyssnar okrypterad trådlös trafik och ur denna snappar upp sessionskakor som innehåller inloggningsinformation till olika sajter. Hackaren får dessa kakor presenterade i en lista och sedan är det bara att klicka på en av dem för att logga in på någon annans konto. Och det spelar ingen roll vad den avlyssnade personen använder.
– Du kan också ändra adressen i bokmärket till ”https” istället för ”http” och hoppas att webbservern godkänner det. Facebook gör det i alla fall. Då blir hela sessionen ssl-krypterad. I övrigt är det bra att fortsätta att ligga på sajtägarna så att de åtgärdar problemet, rekommenderar Per Hellqvist.
Force TLS till Firefox.
Per Hellqvist förklarar att Firesheep är ett så kallat snifferprogram, som helt enkelt avlyssnar okrypterad trådlös trafik och ur denna snappar upp sessionskakor som innehåller inloggningsinformation till olika sajter. Hackaren får dessa kakor presenterade i en lista och sedan är det bara att klicka på en av dem för att logga in på någon annans konto. Och det spelar ingen roll vad den avlyssnade personen använder.– Operativsystemet och browsern är helt irrelevant. Det är själva sändandet av cookies i okrypterad trafik som är problemet, säger Per Hellqvist.
För att skydda dig mot den här typen av attacker bör du undvika okrypterade nätverk och om du trots allt använder dem så är det bra om du kan köra vpn, en krypterad tunnel, men det är mest något som företag använder för att låta användare komma åt de interna systemen utifrån. Telenätverken för 3g- och 4g-trafik är också att anse som säkra.
Andra sajter som du kan köra ssl-mot är exempelvis Paypal, Twitter och Google. Per Hellqvist varnar dock för att det här inte hjälper om du klickar på länkar som leder till de respektive sajterna.
Force TLS till Firefox.
Firefox-tillägget Force-TLS gör det möjligt att tvinga webbläsaren att använda ssl-kryptering mot de sajter du anger, men det fungerar förstås bara om sajterna stöder ssl. Ett likande Firefox-tillägg, HTTPS Everywhere, finns som betaversion.
Inställningarna i Google Chrome.
En liknande funktion finns redan i Chrome, där du bara lägger ”–force-https” till programgenvägen. Haken med den funktionen är att du då inte når sajter som inte använder ssl. Då är det bättre att använda ett tillägg, som exempelvis KB SSL Enforces, som först känner av om en sajt kan köra ssl-kryptering.
Nackdelen med att köra ssl är att det belastar sajterna cirka tre gånger mer än om användarna surfar in okrypterat. Det betyder att om många börjar använda ssl, så kan det bli ganska segt.
Enligt Per Hellqvist kan Firesheep snappa upp inloggningsinformation till bland annat: Amazon, bit.ly, Dropbox, Enom, Evernote, Facebook, Flickr, Foursquare, Github, Google, Gowalla, Hacker News (news.ycombinator.com), Pivotaltracker.com, The New York Times, Twitter, Windows Live (live.com/bing.com).
Programmet kan dessutom få tag i viss känlig information från cookies från bland annat: Blogger, Craigslist, Digg, eBay, Godaddy, Linkedin, Match.com, Mobileme, Myspace, Netflix, Paypal, Reddit, Slashdot, Salesforce.com, Tripit, Tumblr, Wikipedia, Yahoo, Youtube.
Programmet kan dessutom få tag i viss känlig information från cookies från bland annat: Blogger, Craigslist, Digg, eBay, Godaddy, Linkedin, Match.com, Mobileme, Myspace, Netflix, Paypal, Reddit, Slashdot, Salesforce.com, Tripit, Tumblr, Wikipedia, Yahoo, Youtube.