Efter Firesheep: Facebook og Twitter scorer dumpekarakter på sikkerhed

5. november 2010 kl. 11:125
Sikkerhedsbloggeren George Ou har sammensat et karakterskema over hjemmesider, der sløser med brugernes sikkerhed. Det står ikke for godt til hos Facebook og Twitter.
Artiklen er ældre end 30 dage

I sidste uge flød alverdens it-medier over med nyheden om Firefox-plugin'et Firesheep, der gør selv 'hr. og fru pc-kørekort' i stand til at kidnappe andres Facebook- og Twitter-konti på åbne, trådløse netværk.

Og netop fordi Firesheep gør det så let at hacke sig ind på andres personlige brugerprofiler, har sikkerheds-bloggeren George Ou sat sig for at fremstille en tabel over hjemmesider og webtjenester, som han giver karakter efter deres grad af sikkerhed.

Og det ser ikke godt ud for store hjemmesider som Facebook og Twitter, der begge modtager karakteren F efter den amerikanske karakterskala, hvilket er den absolutte bund- og dumpekarakter.

Ej heller ser det for godt ud hos billedtjenesten Flickr og Microsofts mailtjeneste Hotmail, der scorer karakteren D-.

Artiklen fortsætter efter annoncen

»Der er kommet langt mere fokus på sikkerheden den seneste uges tid efter frigivelsen af et simpelt værktøj til hijacking af brugerkonti med navnet Firesheep,« skriver George Ou i et blogindlæg.

Firesheep er udviklet af programmøren Eric Butler for at få især de store, populære hjemmesider til at fokusere mere på end-to-end-kryptering.

Plugin'et installerer sig som en sidebar i Firefox. Herfra kan brugeren skanne et åbent, trådløst netværk og få en komplet liste over brugere, der er logget ind på diverse hjemmesider, som Firesheep kender.

Med et dobbelt-klik på en bruger er du automatisk logget ind som brugeren på for eksempel Facebook eller fototjenesten Flickr.

Artiklen fortsætter efter annoncen

**LÆS OGSÅ **Kidnap andres Facebook-profiler med nyt plugin til Firefox

George Ou sætter fingeren på det ømme punkt og påpeger, at selvom flere af de helt store hjemmesider har rådet brugerne til at slå tvungen SSL til i browseren, så kan der stadig gennemføres såkaldt sidejacking ? et angreb, hvor en bruger kan opsnappe en anden brugers autentifikations-cookie, som bruges til at identificere brugeren efter login.

»Mine tests viser, at sidejacking stadig er muligt, selvom hjemmesiden kører SSL (tvunget af browseren, red.). Enkelte har foreslået værktøjer, der går så langt som at omskrive hjemmesidens Javascript-kode, men vi kommer ud på dybt vand med hensyn til kompleksiteten, og det skal ikke være sådan, at brugeren skal til at redesigne de besøgte hjemmesider for at beskytte deres konti,« skriver George Ou, der efterlyser permanente løsninger fra Facebook, Twitter.

Dansk sikkerhedsekspert: Godt med opmærksomhed

Den danske it-sikkerhedsekspert og direktør i Solido Networks, Henrik Kramshøj, mener ikke, at der er nogen overraskelser på George Ou's tabel.

Artiklen fortsætter efter annoncen

»Men det er da ubehageligt at få sådan noget smasket lige op i ansigtet, for nu er man 100 procent klar over, hvor usikkert det er for eksempel at bruge en tjeneste som Twitter,« siger han.

Han mener, at tabellen er endnu et skridt på vejen mod en større opmærksomhed på den ringe it-sikkerhed på mange hjemmesider.

»Det er superfint, at der er nogen, der laver sådan et samlet scorecard. Det er lige præcis noget af det, der skal til for at de ansvarlige administratorer for de pågældende hjemmesider sætter sig ned og gør noget ved problemerne. Brugerne holder jo generelt ikke op med at benytte tjenester som Facebook, selvom de får at vide, at det er usikkert,« siger Henrik Kramshøj.

Selvom Firesheep ikke har demonstreret nogen ny sikkerhedsproblematik, mener direktøren alligevel, at plugin'et har sat øge fokus på sikkerheden, fordi hvem som helst kan bruge plugin'et.

»Man dobbeltklikker jo bare på en liste over brugere, der er logget ind på et åbent, trådløst netværk, og så er man logget ind som dem. Når det pludselig er så nemt at gå til, er der mange, der bliver opmærksomme på problemet,« siger Henrik Kramshøj.

I den gode ende af skalaen finder man Google mailtjeneste Gmail og content management-systemet Wordpress - med SSL-kryptering - der begge scorer et klokkeklart A.

Se George Ou's tabel her.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
18. november 2010 kl. 09:49

En debattør har i et indlæg til denne tråd lagt kode ind til Firesheep, så man kan overtage andre Version2-brugeres identitet - og opfordrer samtidig andre brugere til at afprøve dette.

Firesheep og den efterfølgende debat er utrolig sund for arbejdet med et mere sikkert internet, men jeg vil minde om, at det ikke desto mindre er ulovligt at hacke og overtage andre brugeres identiteter - også selv om det med Firesheep er pærelet. Vi har derfor fjernet indlægget med den pågældende kommentar.

Vi vil som mange andre berørte firmaer arbejde med vores leverandør for at undersøge, hvad vi kan gøre for at sikre os mod de potentielle sikkerhedshuller, som Firesheep har været med til at skabe fornyet debat om.

Mvh Casper, Version2

7
19. november 2010 kl. 20:42

Vi vil som mange andre berørte firmaer arbejde med vores leverandør for at undersøge, hvad vi kan gøre for at sikre os mod de potentielle sikkerhedshuller, som Firesheep har været med til at skabe fornyet debat om.

https har været efterspurgt her i flere år. Ingen grund til at genopfinde den dybe tallerken..

5
18. november 2010 kl. 12:22

Sjovt som I ikke har noget problem med at udpege værktøjer til hacking af andre sider, men lige så snart samme information ankommer om jeres egen side, skal det slettes?

2
18. november 2010 kl. 03:54

Her er koden til at stjæle en Version2 logon session med Firesheep:

[code=javascript] // Author: // Axel Hammerschmidt mail@ddress.removedregister({ name: "Version2", url: 'http://www.version2.dk', domains: [ 'version2.dk' ], sessionCookieNames: [ 'PHPSESSID' ],

processPacket: function () { var ID = this.firstPacket.cookies['PHPSESSID']; this.sessionId = ID; },

identifyUser: function () { var resp = this.httpGet(this.siteUrl); // this.userName = var resp = this.httpGet(this.siteUrl); this.userName = "Axel, or perhaps Jesper"; } }); [/code]

Den er ikke helt fejlfri. Der kommer 2 link i sidepanelet til Firefox. Jeg er script kiddie med Javascript.

Men det viser, at man ikke skal logge på version2 over et åben- eller WEP krypteret AP hvor der ikke er L2 Separation.