Virág
-1 °C
5 °C

Gyerekjáték belépni mások Facebookjára

2010.10.27. 13:38
Az évtized legveszélyesebb hekkerprogramját tette közzé a héten egy amerikai programozó. A Firefox-kiegészítőként letölthető Firesheep technikailag nem tartalmaz semmilyen újdonságot; veszélyesnek azért veszélyes, mert tömegeknek teszi lehetővé, hogy feltörjék mások Facebook-, Twitter vagy Tumblr-accountjait. Programozni nem kell tudni, egy kattintás az egész.

Hogy a nyitott wifihálózatok nem biztonságosak, azt eddig is lehetett tudni. Egy amerikai programozó, Eric Butler azonban most olyan programot tett közzé, amely lehetővé teszi, hogy a kódoláshoz nem értő kisiskolások vagy kísérletező kedvű nyugdíjasok egy kattintással feltörjék mit sem sejtő áldozataik Facebook- vagy Twitter-accountjait, más nevében bejelentkezzenek, posztoljanak, vásároljanak, ismerősöket jelöljenek be, vagy megváltoztassák a profiladatokat. Vagyis bűncselekményt kövessenek el, egy kattintással.

A Firesheep az utóbbi évtizedek leggonoszabb, hétköznapi használatra szánt hekkerprogramja, és azért gonosz, mert egyszerű: semmiféle előképzettség, programozási ismeret nem kell a használatához, elég letölteni, telepíteni, elindítani, és kattintani az áldozat profiljára. A Tetris bonyolultabb nála.

Csak Firefoxszal megy

A Firesheep a Firefox által használt segédprogram (kiegészítő, angolul add-on): nevének első fele a magára a böngészőre utal, második fele, azokra a birkákra (sheep), akik titkosítatlan wifihálózatokra lépnek fel, és ezzel kiszolgáltatják magukat a hekkereknek. Használatához egy .xpi kiterjesztésű, mindössze 2.9 megabájtos fájlt kell letölteni, majd a böngészőben megnyitni. Ezzel települ az add-on, és ha az ember a Start capturing gombra kattint, a program elkezdi pásztázni a nyitott wifihálózatot, amelyhez a gép és a többi ártatlan netező kapcsolódik, és figyeli, ki hová jelentkezik be. A feltörhető szájtok listáján 26 szájt szerepel, köztük az Amazon, a bit.ly, a Cisco, a Cnet, a Facebook, a Flickr, a Foursquare, a New York Times, a Twitter és a Yahoo.

balage
Balázs, Balázs, nem kéne már válaszolni arra a két üzenetre? (A betörés kollégánk engedélyével történt)

Amikor az áldozatok bejelentkeznek valamelyik szájtra, vagy ott frissítést végeznek, posztolnak, esetleg csak kattintanak, a Firesheep elfogja a szájtok által küldött cookie-kat, és egy listán megjeleníti az illető nevét, sőt ha van, profilképét is. A támadónak elég az áldozat nevére kattintania, és máris belép a nevében, innentől pedig szinte azt csinál, amit akar.

A programot az első 24 órában százezren, mostanáig negyedmillióan töltötték le. Butler a Techcrunchnak azt nyilatkozta, hogy az ötlet már évekkel ezelőtt eszébe jutott, de csak idén kezdett rajta dolgozni: néhány hónap alatt kész lett a Firesheeppel, ami nettó programozási időben csak heteket jelentett.

„Azt a támadást, amit a Firesheep végez, könnyű végrehajtani olyan eszközökkel, amelyek évek óta elérhetők. A bűnözők ezt már jól tudták, így visszautasítom a feltételezést, hogy egy a Firesheephez hasonló program máskülönben ártatlan embereket gonosszá tenne” - mondta Butler, aki azt állítja, a programmal csak a régóta létező biztonsági hiányosságokra igyekezett felhívni a figyelmet.

Feltörjük magunkat


A gyakorlatban a Firesheep korántsem kiforrott program, Windowsra például egyáltalán nem sikerült telepítenünk. Eleve csak a Firefox 3.6.11-es verziójával működik, későbbivel, így a 4-es bétával nem, és aki Windowszal használná, annak fel kell telepítenie a WinPcap nevű, adatcsomagok elfogására szolgáló programot is. Windows XP alatt azonban a Firesheep nem volt hajlandó működni, és változatos hibaüzenetekkel folyton leállt. Butler saját szájtján további, a felhasználók által jelentett bugokat sorol fel.

amittor
A Firesheep azt ígéri, hogy ezekre a szájtokra mind be tud lépni


Steve Jobs to the rescue: Macintoshon hibátlanul működik a program – ezt egy a célra létrehozott, titkosítatlan hálózaton teszteltük saját accountjainkkal. A Firesheep azonnal azonosította a Facebookra, a Twitterre és a Tumblrre bejelentkezőket, gond nélkül be lehetett lépni vele mindegyik szájtra, és ott az áldozat nevében posztolni, adatokat módosítani. A facebookos törés egyébként csak addig működött, amíg a célpont ki nem jelentkezett az oldalról, onnantól a Firesheep is logint kért, a Twitteren viszont az áldozat kilépése után is tovább lehet garázdálkodni.

Bár a Google szerepel a megtámadható szájtok listáján, a Gmaillel szerencsére nem működik a Firesheep, és a Facebook és a Twitter mobil verzióit látja ugyan, de hibaüzenetet küld, és nem tud belépni.

Birkák a körúti kávézóban

cafe
A Firesheepet egy budapesti, nagykörúti kávézóban is kipróbáltuk. Szerda reggel kilenc óra körül összesen hárman ültek laptoppal egy-egy asztalnál, és a háromból kettőjüket azonnal detektálta a Firesheep: egyikük névvel és facebookos profilképpel jelent meg a capture-listán, másikuk citromailes emailcímével. A facebookozó fiatalembert a profilképe alapján nem volt nehéz azonosítani, meg is kérdeztük tőle, mit szól ahhoz, hogy a másik asztalnál valaki kényére-kedvére be tud lépni a nevében a közösségi szájtra. „Azon meglepődtem, hogy tudod a nevem, de azon nem, amit mondasz” - közölte a fiatalember, aki nem járult hozzá nevének közléséhez. Azt mondta, tudja, hogy a hekkerek hozzáférnek a nyitott hálózatok egyes adataihoz, ezért nyilvános helyeken nem futtat kényes alkalmazást. A Firesheepről nem hallott, és azt mindenképpen veszélyesnek tartja, hogy a program ilyen könnyen, mindenféle szaktudás nélkül futtatható. A kávézóban működő hotspot egyébként automatikusan generált loginnévvel és jelszóval működik, de ez a bejelentkezési procedúra csak az idegenek kiszűrésére szolgál: a Firesheeppel felszerelt vendégek simán betörhetnek egymás accountjaira, mert a hotspot nem titkosított, és nem védi jelszó.
all
Ezt mind feltörtük (saját accountjaink)

Bár sokan a nyílt wifihálózatoknak róják fel azt, hogy a Firesheeppel így lehet garázdálkodni, egyes biztonsági szakértők arra hívják fel a figyelmet, hogy a hibát inkább a megtámadható szájtok követik el azzal, hogy nem védik megfelelően a bejelentkezést, például nem használnak SSL-t. A támadások elhárításának legegyszerűbb módja, ha mindenki csak titkosított, jelszóval védett hálózatokhoz csatlakozik - ezzel azonban az ember sokszor megfosztja magát az ingyen netezéstől, pont attól, amit szeretni lehet a wifiben. A másik lehetőség a VPN (virtual private network) használata – az ilyen hálózatokon az adatforgalom titkosított formában zajlik, és a Firesheep nem tud mit kezdeni vele. A harmadik lehetőség a titkosítást forszírozó segédprogramok használata: ilyen az EFF netes szabadságjogi szervezet szájtjáról letölthető Firefox-plugin, a HTTPS Everywhere, amely a szájtokhoz intézett lekéréseket titkosított formában küldi el, de ez Internet Explorerre és Google Chrome-ra nem létezik, másrészt csak bizonyos szájtoknál működik, de legalább a Firesheep által kiszemelt Facebook, Twitter és Amazon látogatóinak biztonságot nyújt. (Magyarul ha az url „http://" helyett „https://"-sel kezdődik, a felhasználó biztonságban van.) Hasonlóan működik egy másik Firefox-kiegészítő, a Force-TLS, ahol a felhasználó maga állíthatja be, milyen szájtokat szeretne biztonságos protokollon keresztül elérni. Aki félti magát az amatőr hekkerektől, védekezzen. A többiek imádkozzanak.