Firesheep ser dig - vad gäller nu?

Tråden skapades och har fått 26 svar. Det senaste inlägget skrevs .
1

Som ni förmodligen läst i nyheter den här veckan så har det dykt upp ett tillägg till Firefox som gör det busenkelt att spionera på andras datorer. Tillägget heter Firesheep.

Jag ska inte ta på mig någon roll som expert i det här - tvärtom faktiskt. Jag vänder mig till er experter med de här frågorna.

Kort sammanfattning. Om man surfar på ett wifi-nät och loggar in på Facebook, Google m fl så kan en person som kör Firesheep på samma nätverk bli dig så att säga. Med ett dubbelklick så är personen med Firesheep inloggad i ditt konto precis som du är!

Problemet berör inte krypterade sidor dvs de som börjar med https://. Inloggning på en vanlig http-sida berörs.

Problemet är känt sedan länge men har krävt "hackerkunskaper" varför man har kunnat surfa med relativ trygghet (få kan det här). Firesheep ändrar på spelreglerna för det blir så väldigt enkelt för vem som helst att snoka nu. Kan du dubbelklicka? Då kan du snoka i andras datorer.

Kolla bilderna på sidan så ser ni hur enkelt det är:
Firesheep - codebutler

Nu till mina frågor:

1. Det här som heter Privat surfning som finns i Safari, Chrome, Firefox. Är det till någon hjälp mot Firesheep? Jag gissar på att det inte gör någon skillnad för ska man logga in så måste ju lösenordet skickas.

2. Jag bor på ett hotell och får inloggning till deras wifi. Säkert? Jag gissar på att alla andra gäster på hotellet befinner sig på samma nät så vi ser varandra med den här metoden.

3. Vad händer nu och framåt?
På Mozillas blogg skriver de att Firefox 4 har ett skydd mot det här men det krävs två för en tango så även webbsajterna måste uppgradera sig.
Cooling Down the Firesheep at Mozilla Security Blog

BIlden nedan visar de sajter som ingår i Firesheep i nuvarande version men det kan väl uppdateras så klart.

1: nej det hjälper inte.
2: nej det är inte säkert att surfa på wlan där det finns andra användare du inte har kontroll över.

Det räcker ju dessutom inte att inloggningssidan har https. ALLA sidor du kommer till efter inloggningssidan måste ha https oxå annars skickas ju cookien helt i klartext över http och kan avlyssnas och användas av andra!

  • Medlem
  • 2010-10-29 18:21
Ursprungligen av =JoNaZ=:

2: nej det är inte säkert att surfa på wlan där det finns andra användare du inte har kontroll över.

Men om anslutningen är krypterad med wpa eller liknande? Same shit då med?

  • Medlem
  • Karlskoga
  • 2010-10-29 20:18
Ursprungligen av Spata:

Men om anslutningen är krypterad med wpa eller liknande? Same shit då med?

Javisst de andra ligger ju på samma nätverk (och kör samma WPA).
WPA skyddar bara mot de som inte finns på WLANet.

Ett tips är att skaffa en billig VPN som du använder när du t.ex är på ett hotell, det hjälper mot just detta "hack".

Det får bli 3G-surf framöver. Skönt med en iPhone så man slipper skaffa någon mer pryl.

Vad säger expertisen om fråga nr 3?
Hur kommer det här att spela ut kommande halvåret?

  • Medlem
  • International user
  • 2010-10-29 20:56
Ursprungligen av Anders Täpp:

Det får bli 3G-surf framöver. Skönt med en iPhone så man slipper skaffa någon mer pryl.

Vad säger expertisen om fråga nr 3?
Hur kommer det här att spela ut kommande halvåret?

Tja, det är bara att vänta på att siterna uppgraderas. Kan redan nu lova dig att det finns folk som har uppgraderat Firesheep så att de kan sno folks inloggningar på mer riskabla och värdefulla sidor som Amazon, eBay, PayPal etc. Antagligen kommer de mest kritiska sidorna uppgraderas snart, men det är svårt att undvika att cookien blir kidnappad.

Grejen är, för ett par år sen byggde jag ett eget inloggningssystem till en site där cookien ändrades efter varje sidvisning. Skickade du en gammal cookie så blev du automatiskt utloggad, just för att förhindra session hijacking. Ska jag vara helt ärlig är jag väldigt förvånad att ingen använder ett liknande system idag?

Det som känns mest oroligt för min del är allt en dator gör i bakgrunden nu för tiden. Det har varit tidens trend att få in så mycket fiffiga automatiska lösningar som möjligt. Datorn loggar in på mail och allt möjligt utan att jag gör något så att säga.

Ursprungligen av Anders Täpp:

Det som känns mest oroligt för min del är allt en dator gör i bakgrunden nu för tiden. Det har varit tidens trend att få in så mycket fiffiga automatiska lösningar som möjligt. Datorn loggar in på mail och allt möjligt utan att jag gör något så att säga.

Tips på något som håller koll på vad datorn gör.

Jag har Telia Homerun med i mitt abbonemang. Hur står sig Homerun i den här problematiken?

  • Medlem
  • Karlskoga
  • 2010-10-30 21:34
Ursprungligen av Anders Täpp:

Jag har Telia Homerun med i mitt abbonemang. Hur står sig Homerun i den här problematiken?

Dåligt. Du är ju på ett "öppet" trådlöst nätverk.
Kör VPN!

  • Medlem
  • Örebro
  • 2010-11-01 00:24

Little Snitch är inte till någon hjälp i det här sammanhanget. Att din webbläsare eller mejlklient kommunicerar med nätet är ju verkligen inget som höjer ögonbrynen.

Jag har en liten undran: "drabbas" jag även om jag inte kör Firefox?

Det är bara verktyget som kräver Firefox. Firesheep ser sen trafiken oavsett webbläsare.

Verktyget blir förmodligen plagierat så det kommer säkert som fristående program framöver.

  • Medlem
  • Stockholm
  • 2010-11-02 09:50

Kör VPN eller håll er från öppna trådlösa nätverk, det är det enda som funkar.

Jag har testat firesheep på olika hotell och sett ett 20 tal olika konton snurra förbi min dator.

Eller när ni kör på öppet trådlöst så håll er från att surfa på något med inloggning. (så har det iofs alltid varit och enda skillanden nu är att det är enkelt för vem som helst att se vad ni gör)

Ursprungligen av Anders Täpp:

Problemet är känt sedan länge men har krävt "hackerkunskaper" varför man har kunnat surfa med relativ trygghet (få kan det här). Firesheep ändrar på spelreglerna för det blir så väldigt enkelt för vem som helst att snoka nu. Kan du dubbelklicka? Då kan du snoka i andras datorer.

Jag måste säga att Firesheep är genialt för det sätter verkligen fingret på hur sårbart det varit under en lång tid. För precis som du skriver så har kunskapen funnits där ute länge men inte varit lättillgänglig.

Det är förstås inte så trevligt att bli drabbad av att någon använder detta, men jag tror det är något liknande som behövs för att lyfta upp frågan. Illassinnande datakunniga personer har redan kunnat göra detta mot dig länge och folk har varnat för det men det har inte nått ut. Men Firesheep blev förstasidesnyhet och nådde ut på ett helt annat sätt. Det hör inte till vanligheterna att man hör "ett tillägg till webbläsaren Firefox" i TV4:s morgonprogram

Kanske kan detta också lyfta fram VPN-lösningar för massorna på ett annat sätt än tidigare, eftersom någon typ av VPN-tunnel är den säkra lösning som alla borde köra när de använder ett publikt nät.

Eller så kanske det kan hjälpa till att sätta fart på 4G?

För egen del så är 3G-surf lite långsammare men det är en VPN-lösning också. I det sammanhanget så är VPN mycket krångligare att införa eftersom jag redan har en usb-sladd och en iphone. Om det sen blir 4-jävel-G framöver så ...
YouTube - Björn Gustafsson Berättar Om Den Nya Telefonin 4G

  • Medlem
  • Jönköping
  • 2010-11-02 12:24

För 12 år sedan kunde man lika enkelt kolla någons hotmail när de var inloggade på samma ip.

Det är ju oerhört "kul" att se att säkerhetstänkandet på stora siter idag inte blivit bättre.

Är policyn damage control eller jobbas det i förebyggande syfte någonstans?

Själv har jag inte Facebook

  • Medlem
  • International user
  • 2010-11-02 13:30
Ursprungligen av Csoft:

Är policyn damage control eller jobbas det i förebyggande syfte någonstans?

Google har SSL på alla sina tjänster, men de är i minoritet. Ett problem, speciellt med gratistjänster är ju att SSL kostar mer datorkraft att driva.

En idé även fast den är något krånglig hade ju varit att ha en central för sina lösenord till forum/communitys och andra webtjänster.
Man har sitt lösenord till sin central och när du fyller i ditt lösenord på Facebook/Ginza/nåt så hämtas ett tillfälligt lösenord till den specifika sidan.
Detta skulle ju förstås kräva att centralen hade tillgång till webtjänsten och med jämna mellanrum kunde skapa/ändra lösenord till tillfälliga som du i sin tur då inte behöver kunna...

  • Medlem
  • International user
  • 2010-11-03 13:22

Finns ett vertyg för att motverka Firesheep nu:

Slashdot News Story | Firesheep Countermeasure Tool BlackSheep

Det är nog farligt med den typen av motmedel för man vet aldrig vad man åstadkommit egentligen. Fanns det någon bugg som gjorde att det strulade eller har det dykt upp en nyare version på Firesheep som ligger före osv?

Här är ett annat program för att skydda sig - Sidestep | Chetan Surpur

En beskrivning finns här: How To Protect Your Wireless Surfing With Sidestep | Mac.AppStorm

Lite sent i diskussionen, men gör ett inlägg ifall någon får nytta av det.
Kör själv med VPN mot jobbet, men vad jag förstått från nätverkskillarna så beror det på hur du ställt in vpn:en.
I vårt fall kör vi nog så att enbart trafiken mot företaget är genom tunneln. All annan kör via klientens egen uppkoppling.
Anledningen till detta är att annars riskerar det bli hög belastning när folk surfar via arbetets pipa. Där anses det bara behöva gå kontorstrafik, inte all annan.
Är 90% säker på detta. Kan någon verifiera?
Detta borde ju innebära att åtminstone i vårt fall, och andras som är konfade på samma sätt, är det sårbart för firesheep, ÄVEN om jag kör vpn.

  • Medlem
  • Örebro
  • 2011-10-31 17:29

Jo det är möjligt: Split tunneling - Wikipedia, the free encyclopedia

Och ja, om den trafiken du vill ha skyddad faller utanför VPN-tunneln så är den lika osäker som vanligt.

1
Bevaka tråden