Až se budete hlásit na Facebook nebo e-mail, kdokoliv vám může ukrást identitu

Firesheep rozpoutal diskusi o zabezpečení Facebooku nebo webových e-mailů. Kdokoli totiž může odposlechnout přihlašovací údaje, pokud na tyto stránky přistupujete přes nezabezpečené připojení (např. přes wi-fi bez hesla). Jak se bránit?

Krádež identity je snadnější, než si mnoho lidí myslí. Vaši identitu vám na nezabezpečené síti může ukrást nejen hacker, ale i hrající si dítě. | foto: shutterstock.com

Na veřejných wi-fi hotspotech je nyní opravdu horko. Firesheep je doplněk do Firefoxu odposlouchávající (sniffující) provoz v nešifrovaných sítích. Je praktickou ukázkou toho, jak snadné může být ukradení identity libovolného uživatele, který je připojený k otevřenému hotspotu.

Útok je založený na zachycení cookie. Drtivá většina nejznámějších webových služeb sice používá HTTPS protokol, ale pouze pro autentizaci uživatele. Jakmile se uživatel úspěšně přihlásí, uloží se do jeho browseru cookie s identifikačními údaji. Díky ní se při opětovné návštěvě stránky z téhož počítače nemusí opakovaně přihlašovat. Nejde tedy o aktivní útok na získání hesla, nýbrž o pasivní zachytávání cookies uživatelů, jejichž webový provoz proudí vzduchem bez sebemenší známky šifrování. Data mezi wireless klientem a access pointem jsou v otevřené síti nešifrovaná a stejně tak žádná z vyšších vrstev OSI modelu zpravidla neřeší šifrování uživatelských dat a cookies.

Hesla z Facebooku i Microsoft Live za pár minut

Sám na sobě jsem otestoval možnosti Firesheepu. Výsledek je poměrně zdrcující. Ani jedna ze služeb jako Windows Live, Twitter, Facebook, Flickr, Bit.ly, Yahoo nebo třeba Amazon neodolala. Jedinou zářnou výjimkou byl Google a Gmail.

Používání Firesheepu je naprosto triviální – připojíte se k otevřené wi-fi síti, nastavíte rozhraní pro zachytávání provozu a stiskem jednoho tlačítka nástroj aktivujete.

Firesheep - Možnosti

Firesheep - Možnosti

Pak už je jen otázkou času, kdy některý z nic netušících uživatelů, který je připojený ke stejnému access pointu jako vy, navštíví svůj profil na Facebooku a ulovená cookie (alias kompletní identita uživatele) je na světe. V panelu Firesheepu se objeví jeho fotografie se jménem a pouhým klepnutím myši se ocitnete přihlášeni pod jeho identitou. Je to až děsivě snadné.

Firesheep v akci

Firesheep v akci

Autor Firesheep říká, že svým počinem chce donutit velké firmy, aby konečně zvýšily bezpečnost svých uživatelů, a také upozornit uživatele na nebezpečí, která jim hrozí: "O těchto problémech se mluvilo až do omrzení, ale i velice oblíbené servery nadále selhávají při ochraně soukromí svých uživatelů. Facebook pořád přichází s novými funkcemi na zabezpečení soukromí, ale k čemu to je, když někdo může ukrást celou identitu?"

Na posílení bezpečnosti dotčených služeb už asi vývojáři pracují, ale nebude to úplně zadarmo. Daní je vyšší režie provozu. Protokol HTTPS je totiž o poznání hladovější než prostý HTTP, obzvlášť při tak obrovském počtu uživatelů, jakým se honosí všechny výše zmíněné weby.

Technické požadavky

Technickým požadavkem pro zachytávání provozu cizích uživatelů wi-fi sítě je podpora promiskuitního (promiscuous) nebo monitorovacího režimu na vašem wi-fi adaptéru. Rozdíl mezi nimi je v tom, že první jmenovaný mód je schopen zachytávat provoz až po asociování k access pointu. Naproti tomu monitorovací režim (monitor mode) je schopen "vyčmuchat" provoz bez nutnosti asociace k přístupovému bodu. Nicméně pro otestování Firesheepu sami na sobě si vystačíte i s kartou bez podpory výše zmíněných funkcí.

Jak se ubránit?

Obecně řečeno nám jde o to zajistit šifrování přenášených dat na některé z vyšších vrstev OSI modelu, když nám to neumožňuje přímo access point. Základní doporučení zní – používejte HTTPS, kde to jen jde. Pro Firefox existuje šikovný doplněk HTTPS Everywhere (v době vydání mimo provoz), starající se právě o vynucení HTTPS komunikace. Dalším podobným doplňkem je Force-TLS.

Chcete-li se bránit přímo proti Firesheep, je tu doplněk BlackSheep, který vás upozorní, kdykoli někdo v okolí odposlouchává pomocí Firesheep.

U Google Chrome můžete vyzkoušet zabezpečený režim, který umožní procházet pouze HTTPS stránky, případně nainstalovat tento doplněk a ochránit alespoň Facebook.

Méně elegantním řešením je sestavení šifrovaného VPN spojení domů nebo do vaší firmy.

Nabízí se také vybídnout ke zdržení se používání otevřených hot spotů, ale to je hodně odvážná, naivní a mnohdy nerealizovatelná myšlenka. Příjemně mě překvapilo, že Microsoft Security Essentials (a jistě i další antimalware produkty) identifikují Firesheep jako škodlivý kód a dotáží se vás, zda ho mohou odstranit.

O autorovi: Jiří Brejcha publikuje na serveru o počítačových sítích www.sitarina.cz.

Nejčtenější

ANALÝZA: Tragédie letu Air India. Je na vině chyba pilotů, nebo selhání motorů?

Nad Ahmadábádem se ještě nerozptýlil dým po výbuchu zhruba 126 tisíc litrů leteckého paliva a hned jsme měli možnost číst výčet možných příčin katastrofy letu Air India AI-171. S delším časovým...

Parní lokomotivy s budkou na přídi nepůsobily uklidňujícím dojmem

Parní lokomotivy se stavěly i s kabinou vpředu. Výhodou byl výtečný výhled strojvedoucího, to se s klasikou vůbec nedalo srovnat. Druhá zásadní výhoda přicházela ke slovu při jízdě v dlouhých...

Apple uvedl „tekuté sklo“, zcela mění design systému pro všechna zařízení

Technologický gigant Apple se rozhodl zcela přepracovat vizáž operačního systému pro všechna svá zařízení. Je to největší změna designu od roku 2013, kdy byl představen systém iOS 7. Soustředí se na...

Aviatická pouť předvedla premiéry hned tří letounů: Hurricane, Anson a Skyfox

Letošní Aviatická pouť nabídla nejen zajímavé letecké premiéry. I přes složité meteorologické podmínky se opět organizátorům podařilo sestavit a dodržet nabitý program. Ohlédněme se za minulým...

Slavná letadlová loď Enterprise jde do šrotu. Bude to náročná operace

Osud nejstarší americké letadlové lodě s jaderným pohonem je definitivně zpečetěn. Námořnictvo podepsalo kontrakt na její demontáž. Část recyklované ocele skončí v novém plavidle stejného jména.

Plyn už nebude zbraní. Před 100 lety svět zakázal chemické a biologické útoky

Dne 17. června 1925 podepsalo v Ženevě 38 států zásadní dokument – protokol o zákazu použití dusivých plynů a bakteriologických metod vedení války. Šlo o první vážný mezinárodní krok ke kontrole...

17. června 2025

Ruš, nebo budeš zrušen. Na Ukrajině probíhá revoluce elektronického boje

Od našich zpravodajů na Ukrajině Je to neviditelná součást války, ale možná nejdůležitější. S masivním nasazením dronů na Ukrajině se pojí i revoluce v elektronickém boji, obě strany se neustále snaží překonat protivníkovy rušičky a...

17. června 2025

Příběh mého modelu: Dokončit model „Turbíka“ trvalo čtvrt století

Soutěž

Než něco vyhodíte, dobře si to rozmyslete. To platí i v modelařině. Tento příběh odloženého a znovu nalezeného modelu nám poslal Lukáš Ondák. Po 26 letech se vrátil ke stavbě modelu stroje Let L-410...

17. června 2025

Kdy sopka vybuchne znovu? Červnová erupce Etny ukázala, že stromy napovědí

Premium

Pozoruhodný objev: krátce před erupcí vulkánu bývá listí na okolních stromech zelenější než obvykle. Vegetace v okolí sopek se proto bude hlídat z vesmíru. Sopky jsou fascinující. Nespoutané a...

16. června 2025

Před sto lety vznikl tábor Artěk, pionýrská legenda na Krymu

16. června 1925 se na Krymu otevřel první sovětský pionýrský tábor Artěk. Zdravotní zařízení pro děti nemocné tuberkulózou se postupně proměnilo v prestižní rekreační centrum mládeže, kam jezdily...

16. června 2025

Videochat dostává novou, ale drahou dimenzi. „Přenese“ vás do místnosti

Nepotřebujete žádné brýle s virtuální nebo rozšířenou realitou ani sluchátka, abyste měli pocit, že člověk s nímž komunikujete, opravdu sedí na druhém konci stolu. Zařízení HP Dimension s Google Beam...

16. června 2025

Firma shání legendární stíhačky Phantom. Chce je používat k vypouštění družic

Potřebujete dostat nějaký drobný náklad na nízkou oběžnou dráhu Země? Brzo se budete moci obrátit na americkou společnost Starfighters International. Chce nakoupit flotilu legendárních námořních...

16. června 2025

Když kus Slunce spadne na zem. Vševěd ví o kráterech po dopadu meteoritů

Premium

Bylo pozdní jaro, tak roku 66 500 000 př. n. l. plus minus milion let. Z ničeho nic se nad místy, kterým dnes říkáme Severní Amerika, objevila obří ohnivá koule. Dinosauři se nestačili ani ohlédnout,...

15. června 2025

ANALÝZA: Tragédie letu Air India. Je na vině chyba pilotů, nebo selhání motorů?

Nad Ahmadábádem se ještě nerozptýlil dým po výbuchu zhruba 126 tisíc litrů leteckého paliva a hned jsme měli možnost číst výčet možných příčin katastrofy letu Air India AI-171. S delším časovým...

15. června 2025  9:20

Aviatická pouť předvedla premiéry hned tří letounů: Hurricane, Anson a Skyfox

Letošní Aviatická pouť nabídla nejen zajímavé letecké premiéry. I přes složité meteorologické podmínky se opět organizátorům podařilo sestavit a dodržet nabitý program. Ohlédněme se za minulým...

15. června 2025

Móda mezi šrapnely. Pro materiál na zákopový prsten někdy riskovali i život

Z hlediska vojenských dějin lze o prstenech říci, že se jedná o ozdobu historicky pevně spojenou s prostředím armády. Podle řecké mytologie byl prvním nositelem prstenu bájný Prométheus a...

14. června 2025

Příběh mého modelu: Svítily mu oči. MiG-21 byl pro pilota překvapením

Soutěž

Přinášíme vám první příběh z naší letní modelářské soutěže. Modelář Aleš Růženec se s námi podělil o okolnosti vzniku svého modelu letounu MiG-21. Brzy se můžete těšit na další příspěvky čtenářů do...

14. června 2025
Nastavte si velikost písma, podle vašich preferencí.