Až se budete hlásit na Facebook nebo e-mail, kdokoliv vám může ukrást identitu

Firesheep rozpoutal diskusi o zabezpečení Facebooku nebo webových e-mailů. Kdokoli totiž může odposlechnout přihlašovací údaje, pokud na tyto stránky přistupujete přes nezabezpečené připojení (např. přes wi-fi bez hesla). Jak se bránit?

Krádež identity je snadnější, než si mnoho lidí myslí. Vaši identitu vám na nezabezpečené síti může ukrást nejen hacker, ale i hrající si dítě. | foto: shutterstock.com

Na veřejných wi-fi hotspotech je nyní opravdu horko. Firesheep je doplněk do Firefoxu odposlouchávající (sniffující) provoz v nešifrovaných sítích. Je praktickou ukázkou toho, jak snadné může být ukradení identity libovolného uživatele, který je připojený k otevřenému hotspotu.

Útok je založený na zachycení cookie. Drtivá většina nejznámějších webových služeb sice používá HTTPS protokol, ale pouze pro autentizaci uživatele. Jakmile se uživatel úspěšně přihlásí, uloží se do jeho browseru cookie s identifikačními údaji. Díky ní se při opětovné návštěvě stránky z téhož počítače nemusí opakovaně přihlašovat. Nejde tedy o aktivní útok na získání hesla, nýbrž o pasivní zachytávání cookies uživatelů, jejichž webový provoz proudí vzduchem bez sebemenší známky šifrování. Data mezi wireless klientem a access pointem jsou v otevřené síti nešifrovaná a stejně tak žádná z vyšších vrstev OSI modelu zpravidla neřeší šifrování uživatelských dat a cookies.

Hesla z Facebooku i Microsoft Live za pár minut

Sám na sobě jsem otestoval možnosti Firesheepu. Výsledek je poměrně zdrcující. Ani jedna ze služeb jako Windows Live, Twitter, Facebook, Flickr, Bit.ly, Yahoo nebo třeba Amazon neodolala. Jedinou zářnou výjimkou byl Google a Gmail.

Používání Firesheepu je naprosto triviální – připojíte se k otevřené wi-fi síti, nastavíte rozhraní pro zachytávání provozu a stiskem jednoho tlačítka nástroj aktivujete.

Firesheep - Možnosti

Firesheep - Možnosti

Pak už je jen otázkou času, kdy některý z nic netušících uživatelů, který je připojený ke stejnému access pointu jako vy, navštíví svůj profil na Facebooku a ulovená cookie (alias kompletní identita uživatele) je na světe. V panelu Firesheepu se objeví jeho fotografie se jménem a pouhým klepnutím myši se ocitnete přihlášeni pod jeho identitou. Je to až děsivě snadné.

Firesheep v akci

Firesheep v akci

Autor Firesheep říká, že svým počinem chce donutit velké firmy, aby konečně zvýšily bezpečnost svých uživatelů, a také upozornit uživatele na nebezpečí, která jim hrozí: "O těchto problémech se mluvilo až do omrzení, ale i velice oblíbené servery nadále selhávají při ochraně soukromí svých uživatelů. Facebook pořád přichází s novými funkcemi na zabezpečení soukromí, ale k čemu to je, když někdo může ukrást celou identitu?"

Na posílení bezpečnosti dotčených služeb už asi vývojáři pracují, ale nebude to úplně zadarmo. Daní je vyšší režie provozu. Protokol HTTPS je totiž o poznání hladovější než prostý HTTP, obzvlášť při tak obrovském počtu uživatelů, jakým se honosí všechny výše zmíněné weby.

Technické požadavky

Technickým požadavkem pro zachytávání provozu cizích uživatelů wi-fi sítě je podpora promiskuitního (promiscuous) nebo monitorovacího režimu na vašem wi-fi adaptéru. Rozdíl mezi nimi je v tom, že první jmenovaný mód je schopen zachytávat provoz až po asociování k access pointu. Naproti tomu monitorovací režim (monitor mode) je schopen "vyčmuchat" provoz bez nutnosti asociace k přístupovému bodu. Nicméně pro otestování Firesheepu sami na sobě si vystačíte i s kartou bez podpory výše zmíněných funkcí.

Jak se ubránit?

Obecně řečeno nám jde o to zajistit šifrování přenášených dat na některé z vyšších vrstev OSI modelu, když nám to neumožňuje přímo access point. Základní doporučení zní – používejte HTTPS, kde to jen jde. Pro Firefox existuje šikovný doplněk HTTPS Everywhere (v době vydání mimo provoz), starající se právě o vynucení HTTPS komunikace. Dalším podobným doplňkem je Force-TLS.

Chcete-li se bránit přímo proti Firesheep, je tu doplněk BlackSheep, který vás upozorní, kdykoli někdo v okolí odposlouchává pomocí Firesheep.

U Google Chrome můžete vyzkoušet zabezpečený režim, který umožní procházet pouze HTTPS stránky, případně nainstalovat tento doplněk a ochránit alespoň Facebook.

Méně elegantním řešením je sestavení šifrovaného VPN spojení domů nebo do vaší firmy.

Nabízí se také vybídnout ke zdržení se používání otevřených hot spotů, ale to je hodně odvážná, naivní a mnohdy nerealizovatelná myšlenka. Příjemně mě překvapilo, že Microsoft Security Essentials (a jistě i další antimalware produkty) identifikují Firesheep jako škodlivý kód a dotáží se vás, zda ho mohou odstranit.

O autorovi: Jiří Brejcha publikuje na serveru o počítačových sítích www.sitarina.cz.

Autor:

Nejčtenější

První metro v kontinentální Evropě měla Budapešť, dodnes je nejmělčí

Druhým městem na světě, které bylo obdařeno metrem, se v roce 1896 stala uherská metropole Budapešť. Tato první linka budapešťského metra je postavena těsně pod povrchem. Elektrické napájení je...

Co to bylo za ránu? Manželka šéfa ponorky netušila, že její muž v Titanu právě zemřel

Implozi ponorky Titan odhalila nová nahrávka. A záběry, které ukazují manželku tehdejšího šéfa společnosti OceanGate, který se spolu s dalšími čtyřmi pasažéry vydal před dvěma lety prozkoumat vrak...

Ponorka do hloubky, která na Zemi není, připomíná bednu. Na dno pěti oceánů

Relativně nedávno vzbudila zájem široké veřejnosti tragédie ponorky Titan, která i s posádkou v červnu 2023 implodovala cestou k vraku Titaniku. Jedním z podmořských badatelů, který se k této nehodě...

Hrobníkovi z lopaty. Po pádu letadla musela ještě přežít boj s pralesem

Zatím jsme se v našem seriálu věnovali příběhům mužů z ozbrojených sil. Dnes se podíváme na příběh dívky, která v sedmnácti letech přežila pád z výšky kolem 3 000 metrů a navzdory svým zraněním se...

Při přechodu na Oneplay dávejte pozor, snadno zaplatíte dvakrát za to samé

Spojení služeb O2TV a Voyo se v čase potkalo s nasazením nových tarifů telefonního operátora. Záměr „vyřešit vše najednou“ sice dává smysl, nicméně situaci znepřehlednil a pro některé uživatele...

Co to bylo za ránu? Manželka šéfa ponorky netušila, že její muž v Titanu právě zemřel

Implozi ponorky Titan odhalila nová nahrávka. A záběry, které ukazují manželku tehdejšího šéfa společnosti OceanGate, který se spolu s dalšími čtyřmi pasažéry vydal před dvěma lety prozkoumat vrak...

23. května 2025  12:27

Před 100 lety se narodil významný český divadelní režisér Jan Grossman

Jan Grossman byl vynikající divadelní režisér a zároveň jedna z nejvýznamnějších osobností českého divadla dvacátého století. Narodil se před 100 lety, 23. května 1925 v Praze. Zemřel v roce 1993.

23. května 2025

Upgrade za každou cenu? Proč občas říct ne nejnovějším technologiím

Nové generace elektroniky lákají na vylepšené parametry. Telefon slibuje citelně lepší snímky, notebook svižnější odezvu a sluchátka modernější vzhled. Pro běžného uživatele však vyvstává zásadní...

23. května 2025

Apple připravuje velké představení novinek. Co můžeme čekat?

Na pondělí 9. června si společnost Apple připravila zahájení své největší konference WWDC, kde pravidelně představuje novinky. Vedle pravidelné dávky vylepšení a nových funkcí pro všechny své...

23. května 2025

Voní i tisíce let po smrti. Vědci zkoumají „vůni“ egyptských mumií

Studie provedená University College London (UCL) a Lublaňskou univerzitou představuje první systematickou analýzu pachů mumií, která kombinuje pokročilou chemickou analýzu s osobním senzorickým...

22. května 2025  16:47

Diktátor Pol Pot byl krvavý přízrak Kambodže, který zrušil čas i peníze

Před 100 lety se narodil kambodžský diktátor Pol Pot, jeden z největších masových vrahů lidské historie.

22. května 2025

Nejkrásnější notebook na trhu má unikání kameru. Není vidět a nepřekáží

U chytrých telefonů to není úplně výjimečné, ale v notebooku je kamera schovaná za displejem úplně poprvé. Díky kombinaci hardwarových a softwarových opatření tak displej může vyplňovat 98 procent...

22. května 2025

Ponorka do hloubky, která na Zemi není, připomíná bednu. Na dno pěti oceánů

Relativně nedávno vzbudila zájem široké veřejnosti tragédie ponorky Titan, která i s posádkou v červnu 2023 implodovala cestou k vraku Titaniku. Jedním z podmořských badatelů, který se k této nehodě...

22. května 2025

Na chvíli jsme vyzkoušeli horkou novinku od Googlu. Co dovedou jeho brýle?

Exkluzivně

Mountain View (Od zpravodaje iDNES.cz) Jedním z největších taháků konference Google I/O jsou zbrusu nové brýle ovládané operačním systémem Android XR. My jsme měli možnost je jako jedni z prvních na světě vyzkoušet.

21. května 2025  12:42

Nejen Muskův Neuralink. „Číst myšlenky“ už lze i bez elektrod v mozku

Premium

BMI (brain machine interface) či BCI (brain computer interface) zprostředkovávají komunikaci mezi mozkem a počítačem, který pak může vysílat povely do dalších elektronických zařízení – třeba do...

21. května 2025

Palačinky, popcorn nebo zmrzka? Otestujte si parádní retro pomocníky
Palačinky, popcorn nebo zmrzka? Otestujte si parádní retro pomocníky

Chystáte narozeninovou oslavu, dětskou party nebo si třeba jen chcete ozvláštnit víkend? Ve spolupráci se značkou Ariete jsme si pro vás připravili...

JAS-39 Gripen oslavil 20 let v Česku. Základnu čeká přestavba na F-35

Dvacet let s letouny JAS-39 Gripen a čtvrt století letounu L-159 Alca připomněl Den otevřených dveří 21. základny taktického letectva Čáslav. Jak uvedl velitel základny Jaroslav Tomaňa, vzhledem k...

21. května 2025

Google ukázal chytré brýle a nechá vás virtuálně vyzkoušet oblečení

Večer nabitý novinkami, to byla letošní úvodní přednáška konference Google I/O, na níž firma firma představila své pokroky na poli AI a její integrace do různých systémů. Od nových AI modelů přes...

20. května 2025  22:45
Nastavte si velikost písma, podle vašich preferencí.