Kidnap andres Facebook-profiler med nyt plugin til Firefox

Et plugin til browseren Firefox gør det lettere end nogensinde før at overtage andres identitet på hjemmesider som Facebook og Twitter.

Først installerer du et lille program i Firefox. Herefter kobler du pc'en på et åbent, trådløst netværk med mange brugere, og værs'go' ? der er fri adgang til at misbruge andres Facebook- og Twitter-profiler.

Så nemt er det i praksis at overtage en anden brugers identitet i cyberspace med et nyt plugin til den populære internetbrowser Mozilla Firefox.

Faktisk er det så nemt, at en dansk sikkerhedsekspert betegner brugervenligheden af plugin'et som 'helt i top'.

Firesheep, som plugin'et hedder, er udviklet af den amerikanske freelance-programmør Eric Butler for at demonstrere, hvor let det er for it-kriminelle at overtage sagesløse brugeres identiteter på sociale netværk som Facebook og Twitter.

Plugin'et installerer sig som en sidebar i Firefox, hvorfra brugeren kan skanne et åbent, trådløst netværk. Resultatet er en komplet liste over brugere, der er logget ind på diverse hjemmesider, som Firesheep kender.

Med et dobbelt-klik på en bruger er du automatisk logget ind som brugeren på for eksempel Facebook eller fototjenesten Flickr.

»Det er et velkendt problem, som er blevet diskuteret til døde, men meget populære hjemmesider fortsætter ikke desto mindre med at undlade at beskytte deres brugere,« skriver Eric Butler på sin hjemmeside.

Udnytter halvhjertet it-sikkerhed

Firesheep udnytter det faktum, at mange hjemmesider kun krypterer brugernes login-oplysninger et stykke hen ad vejen.

Når brugeren indtaster sit brugernavn og kodeord på hjemmesiden, vil der ofte stå https:// i adresselinjen ? med s'et som et tegn på, at hjemmesiden er krypteret med SSL.

Men som Eric Butler forklarer på sin hjemmeside, fuser sikkerheden ofte ud, så snart brugeren har trykket på login-knappen. Det skyldes, at mange store hjemmesider ikke bruger SSL i alle hjemmesidens led, altså end-to-end.

Dermed vil en anden bruger kunne foretage en såkaldt session hijacking ved at opsnappe offerets session cookie, som indeholder brugerens login-oplysninger og normalt opbevares af browseren i en periode efter login.

»Det er meget almindeligt, at hjemmesider beskytter dit kodeord ved at kryptere det første login, men samtidig overraskende usædvanligt, at hjemmesider krypterer alt det andet. Det efterlader cookie'en og dermed brugeren sårbar,« skriver Eric Butler.

Han forklarer, at de såkaldte session cookies nærmest 'flyver rundt i luften' på åbne, trådløse netværk, hvilket gør det meget let at gennemføre session hijacking.

Herhjemme fortæller direktør og it-sikkerhedsekspert i Solido Networks, Henrik Kramshøj, at Firesheep-plugin'et som sådan ikke afslører noget nyt sikkerhedsproblem.

Det har længe været velkendt, at mange hjemmesider ? også de store som Facebook og Twitter ? ikke investerer resurser i at kryptere hele vejen med SSL. Og værktøjer som for eksempel Metasploit kan det samme som Firesheep.

Han har dog aldrig før set sikkerhedsproblemet demonstreret så pædagogisk før.

»Ser man på brugervenligheden (af Firesheep, red.), så er den i top. Det er meget nemt at gå til, og det er godt, for så kan flere it-administratorer finde og fjerne problemer. Det er bestemt en udvikling i retning af, at flere kan opdage de her sårbarheder,« siger Henrik Kramshøj.

Han frygter ikke, at alverdens hackere vil kaste sig over Firesheep for at hijacke brugersessions på hjemmesider verden over.

Rigtige hackere gider ikke sidde og klikke på hver enkelt bruger, men skriver i stedet scripts, der automatiserer opgaven i langt større og mere effektivt omfang.

Henrik Kramshøj ser i stedet et værktøj som Firesheep som en oplagt mulighed for softwarefirmaer til at demonstrere overfor kunderne, hvorfor SSL-kryptering er en god idé.

Når der har været så meget fokus på den manglende sikkerhed, hvorfor gør hjemmesider som Facebook og Twitter så ikke mere for at kryptere end-to-end?

»Det er hjemmesider, som har et astronomisk antal sidevisninger, og SSL koster nogle ekstra resurser af serveren, så det er formentligt deres argument. Men for alle andre hjemmesider, der håndterer folks personlige oplysninger, er der ingen diskussion. Der skal man bruge SSL,« siger Henrik Kramshøj.

Eric Butler har udviklet Firesheep til Mozilla Firefox på Mac OS X og Windows. En Linux-version skulle være på vej.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Kramshøj Blogger

Der er et par links som er relevante, efter min mening:
Et tidligere tool, som også gav god brugervenlighed, Wifi Zoo - findes på Backtrack http://community.corest.com/~hochoa/wifizoo/index.html

SSL overclocking, omkring SSL og ressourcer, det kan lade sig gøre at levere HTTPS/SSL til store sites.
http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html

og så et andet plugin til Firefox som forsøger at sikre mere af trafikken med HTTPS https://www.eff.org/deeplinks/2010/06/encrypt-web-https-everywhere-firef...

Specielt til seriøse websites vil man også have en load balancer som udover at accellerere SSL med special hardware kan mindske belastningen på de bagvedliggende servere. I praksis kan de loadbalancere vi bruger snildt spare mere end halvdelen af connections ind til servere bagved.

HTTPS er altså vejen frem til alle sites med login.

  • 0
  • 0
Robert Larsen

At kryptere alt skal nok løse dette problem, men det smadrer så også hele det setup, som webbet bygger på. Caching bliver umuligt, og det vil helt sikkert kunne mærkes.

Man kan til dels løse det anderledes, ved at binde et session ID til en IP adresse. Network Address Translation (NAT) lukker så for, at denne løsning vil virke for alle, men NAT er forhåbentlig historie, når IPv6 bliver indført.

  • 0
  • 0
Robert Larsen

Jeg vil meget gerne at min webmail ikke bliver cached... Det gælder faktisk alle de sensitive services jeg bruger, de skal ikke caches.

Men hvad med de flash reklamer, som du henter hos Facebook ?
Må de ikke caches ?

At kryptere alt, er ikke en løsning. Man bør tænke sig lidt om, og private data (herunder mails) bør selvfølgelig krypteres.

  • 0
  • 0
Morten W. Jørgensen

1) Folk bruger tilsyneladende både facebook og twitter til trods for at den slags usikkerheder er tilstede.

2) Facebook og Twitter har stadig mange brugere (og tjener velsagtens penge)

3) Det er altså ikke et problem hverken Facebook eller twitter behøves sætte resourcer af til at løse.

4) Det ER altså ikke et problem men blot en kuriøsitet af akademisk karakter.

P.S.: Hvis nogen af de mange facebookbrugere synes det er et problem, kan de oprette en Facebookgruppe for at gøre opmærksom på det. Det har jeg hørt er meget moderne.

  • 0
  • 0
Steen Jørgensen

Mon ikke det i henhold til dansk retspraksis er ulovligt at bruge firesheep? Jeg forestiller mig, at man gør sig skyldig i hacking, hvis man stjæler andres sessions? Men det vil vel næppe være ulovligt at downloade og installere firesheep?

  • 0
  • 0
Henrik Kramshøj Blogger

MAC filtrering er den mest ringe af sikkerhedsmekanismerne på 802.11 trådløse netværk.

Den giver så godt som ingenting, idet MAC adresserne altid er at finde i data, selv når der benyttes kryptering som WEP, WPA og WPA2.

Når man således sniffer trådløse netværk vil man 1) se MAC adresser 2) kunne overskrive MAC adressen på det netkort man selv har - derved er det simpelt at omgå MAC filtrering.

(og gider en eller anden ikke forklare det til ITST en dag, så vi kan få fjernet det vås der står på http://borger.itst.dk/sikkerhed/anbefalinger-det-bor-du-gore/tradlose-ne...)

Dernæst, og mere relevant for dette tool - det er ikke nødvendigt at joine et netværk for at kunne sniffe det - men det vil nok være mest praktisk, hvis man vil udnytte eksisterende sessions, før folk trykker logout :-)

  • 0
  • 0
Robert Larsen

Ethereal kan bestemt bruges lovligt til debugging af netværk...Firesheep er nok lidt mere gråzone, ligesom metasploit og lignende værktøjer. De er til angreb og proof of concept. Har du fået lov er der intet i vejen for at hakke løs.

  • 0
  • 0
Henrik Kramshøj Blogger

Ethereal er nu Wireshark, og det tog mig mange timer at sige det nye navn.

Projektet skiftede navn da en af hovedmændene skiftede job og ikke kunne få domænenavnet med, så skiftede de over og kaldte det Wireshark.

Det anbefales at se på Wireshark og lære om netværk:
http://www.wireshark.org/

PS Alt hvad man kender til Ethereal kan bruges direkte, da koden blot er videreudviklet.

  • 0
  • 0
Peter Makholm Blogger

Når folk nu påstår at noget er ulovligt, kunne de så ikke lige prøve komme med en reference.

Umidelbart er jeg enig, der er nok ulovligt at sniffe en session-cookie og bruge den til at få adgang til folks Facebook-konto. Spørgsmålet er hvilke paragraffer i Straffeloven der kan finde anvendelse og hvor meget vold skal vi gøre på sproget for at anvende dem.

§263 stk 1, nr. 3 kunne finde anvendelse. Men jeg skal nok gøre vold på min sprogopfattelse for at dække det ind under 'udtalelser fremsat i enerum' eller 'forhandlinger i lukket møde'. 'telefonsamtale' er mere relevant, men jeg tror ikke den dækker at jeg overhører en mobiltelefonsamtale i toget.

§263a ville nok være den indlysende at gribe ud efter. Men stk 1-2 dækker tilsyneladende kun at man fortæller andre om adgangskoden. Stk. 3 er interessant da den dækker at skaffe sig adgang til koder, men er Facebook et "Samfundsvigtigt informationssystem, jf. §193'? Måske er Facebook et 'informationsssytem, der behandler følsomme oplysninger', men er Twitter?

$279a (databedrageri) er i hvert fald ikke relevant. Den kræver at man ændrer oplysninger med uberettiget vinding til formål.

Nogen der vil argumenterer for §263 stk 1 nr 1 (den almindelige brevhemmelighed)?

Forstå mig ret, jeg mener ikke at det er moralsk i orden, jeg kan bare ikke klart finde i lovteksten hvorfor det skulle være ulovligt.

  • 0
  • 0
Henrik Kramshøj Blogger

Jeg plejer at have følgende med i materialet når jeg afholder hackerkurser/foredrag:

Straffelovens paragraf 263 Stk. 2. Med bøde eller fængsel indtil 6 måneder straffes den, som uberettiget skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et anlæg til elektronisk databehandling.

Det lyder vel ret klart?

Altså Straffeloven § 263 Stk. 2 som en hurtig søgning viser at flere andre er enige med, eksempelvis: http://www.stophacking.dk/lovgivning/

som ligeledes fortsætter:

Stk. 3. Begås de i stk. 1 eller 2 nævnte forhold med forsæt til at skaffe sig eller gøre sig bekendt med oplysninger om en virksomheds erhvervshemmeligheder eller under andre særligt skærpende omstændigheder, kan straffen stige til fængsel indtil 6 år. På samme måde straffes de i stk. 2 nævnte forhold, når der er tale om overtrædelser af mere systematisk eller organiseret karakter.

og efterfølgende med Straffeloven § 291 omkring hærværk. Jeg kunne godt argumentere for at det er hærværk i en eller anden form at smadre en profil og noget som har taget lang tid at opbygge. Dog er jeg jo ikke jurist og måske defineres hærværk ikke så bredt?

Med hensyn til at demonstrere hacking generelt er der dog også smutvej, idet man snakker om hensigten - og hvis man kun har til hensigt at demonstrere problemet, så er det formentlig IKKE ulovligt.

Det ses blandt andet med portscanning - hvor der er sager hvor hensigten om at bryde ind betød at det var ulovligt og blev straffet, men andre sager hvor det altså ikke straffes (udover hvis din ISP bliver sur og du er uden internet :-) )

  • 0
  • 0
Peter Makholm Blogger

Ahhh, hvordan har jeg kunne overse §263 stk. 2. Jo, det er såmend klart nok.

Hærværk ville jeg være mere tvivlende overfor, men det ville være noget mere klart hvis § 291 specifikt talte om 'rørlig ting' ligesom § 276 (som så inkluderer 'energimængder' i begrebet rørlig ting - go figure).

Men måske er ting-begrebet efterhånden lige så udvandet som person-begrevet hvor man engang imellem skal skelne mellem 'en fysisk person' og 'en juridisk person' (som inkluderer virksomheder).

  • 0
  • 0
Log ind eller Opret konto for at kommentere