Feed subscription » blog | » comments | » google+ | » mobi | » twitter

Do cudzieho Facebook konta cez rozšírenie Firefoxu

Do cudzieho Facebook konta cez rozšírenie FirefoxuVčera uverejnil Eric Butler rozšírenie do Firefoxu [Firesheep], ktoré automatizuje odpočúvanie nezašifrovanej komunikácie v lokálnej sieti. V nej hľadá cookies niekoľkých veľkých portálov, ako napríklad Facebook, Google, Twitter, atď. Ak na takéto cookies narazí, skopíruje ich a umožní útočníkovi prihlásiť sa pod kontom obete, len jediným kliknutím.

Firesheep v akciiÚtok nesúci označenie HTTP session hijacking (občas nazývaný aj “sidejacking”) spočíva v jednoduchom odchytení cookies, ktoré putujú v nezašifrovanej komunikácii. Tieto cookies najčastejšie nesú session ID, resp. hash, vďaka ktorej je užívateľ automaticky autentifikovaný na danom webe a nemusí sa prihlasovať po každej interakcii. Tento útok funguje len na lokálnych sieťach, resp. sa musí dostať útočník medzi cieľový server a klienta.

Butler nie je tvorcom konceptu samotného útoku, vytvoril však rozšírenie, ktoré celý útok automatizuje iba na jedno jediné kliknutie, čím dal tento nástroj do rúk prakticky komukoľvek. Rozšírenie pre prehliadač Firefox nazval Firesheep, aktuálne je dostupné pre OS Windows a MAC OSX.

Momentálne jedinou formou ochrany je využívanie šifrovanej komunikácie (laicky známej ako HTTPS). Šifrovanie komunikácie je pre spoločnosti hardvérovo náročnejšie a preto často šifrujú len niektoré časti komunikácie. Butler chcel poukázať, že ak sa nešifruje celá komunikácia po autentifikácii užívateľa, útočník pôsobiaci na rovnakej sieti ako obeť môže veľmi jednoducho prebrať kontrolu nad kontom obete. Butler podľa vlastného vyjadrenia verí, že sa mu takto podarí donútiť spoločnosti, aby začali šifrovať celú komunikáciu prebiehajúcu medzi klientom a serverom.

Čo to znamená?

Ak ste boli doteraz zvyknutí, že si otvoríte svoje Facebook konto (alebo Twitter, Google, atď.) ráno v práci, kaviarni, v knižnici, môže sa ľahko stať, že sa do vášho konta niekto prihlási spolu s vami. Butler dal prakticky komukoľvek do ruky nástroj, ktorý tento útok automatizuje až do tej miery, že stačí otvoriť prehliadač, spustiť skript a čakať. Ak Firesheep odchytí cookies obete, zobrazí sa jej fotka spolu s názvom konta, na ktoré stačí iba kliknúť a útočník je zrazu prihlásený pod týmto kontom.

Určitú ochranu poskytujú aplikácie pre iPhone, Android a snáď i ďalšie, ktoré plne komunikujú s vybranými servermi šifrovane.

Pre Firefox existuje ešte možnosť využiť iné rozšírenia, HTTPS Everywhere a Force-TLS, ktoré sa primárne snažia nadviazať šifrovanú komunikáciu so serverom. Ak sa im to nepodarí, až potom umožnia nezašifrovanú komunikáciu.

Screnshot z http://codebutler.com/firesheep

Zaujal vás článok? Sledujte ma na Twitteri.


14 Responses to “Do cudzieho Facebook konta cez rozšírenie Firefoxu”


  1. 1 Tankista Oct 26th, 2010 at 00:29

    Skoda, pise mi ze “Could not get netmask for device en1:en1 no IPv4 address assigned”. Som vo velmi velkej sieti, bola by bolo ako prist do ustredne slovak telekomu s macetou :D

  2. 2 em Oct 26th, 2010 at 09:46

    Ono to je hlavne aj o zabezpeceni L2 siete. ARP spoofing je znamy niekolko rokov, v dnesnej dobe v modernej zabezpecenej sieti nesmie mat sancu.
    Na druhej strane, je treba povedat, ze este asi nikto to neimplementoval takymto sposobom ;)

  3. 3 janci Oct 26th, 2010 at 11:04

    lenze to funguje len pokial tam je uzivatel prihlaseny..vacsia sranda by to bola keby to funguje aj po odhlaseni a potom sa mozte vyburit na cudzom ucte :D

  4. 4 scru.f Oct 26th, 2010 at 19:49

    No pochybujem ze to malo len jeden zamer, urcite v tych binarkach pred uzivatelmi nieco schovavaju. Nieco co tam je uz zopar rokov…

  5. 5 Rastislav Turek Oct 27th, 2010 at 00:10

    @scru.f: ake binarky? ved tam mas zdrojovy kod

  6. 6 srigi Oct 27th, 2010 at 06:28

    Pamatam si este za dôb Backtrack 2 beta na jedno video, kde toto predvadzali pomocou wifizoo. To povodne uz nenajdem, ale aj toto je dobre http://www.youtube.com/watch?v=AUrOluZVHjU

    To ze to niekto spravil do podoby “push button easy” je celkom velky pruser. V clanku mi ale chyba (a urcite aj lajkom) vyjadrenie aka je situacia na drotovych a zabezpecenych wifi sietach (ked tak radsej doplnit do clanku).

  7. 7 Marki Oct 28th, 2010 at 12:56

    Tiez si myslim ze na korporatnej LAN to ma mizerne sance. ARP spoofing ani ine metody pre switchovane siete som v clanku spomenute nevidel, takze zrejme tento nastroj ich v sebe implementovane nema, takze kazda siet, kde je pouzity switch by mala byt OK.
    Primarne je to urcene pre nezabezpecene WiFi siete, kde je komunikacne medium zdielane rovnako ako v pripade pouzitia hubu v ethernet sieti a teda pokial si v dosahu dalsich notebookov, tak vidis data ktore posielaju a vzdy vidis vsetky data ktore idu od AP ku vsetkym klientom.
    Riesenim je bud pouzivat iba sifrovane WiFi siete alebo v nesifrovanych sa pripojit na svoju/korporatnu VPN a surfovat cez nu. Potom uz moze odpocuvat hocikto :) Urcite existuju aj nejake free VPN servery, ktore by bolo mozne pouzit.

  8. 8 xx Oct 28th, 2010 at 22:51

    Marki: switched LAN je ok len dovtedy pokial si za nu nesadnes s Ettercapom a neziskas hesla rovno a session na FCB si otvoris svoju ;)

  9. 9 jasomto Nov 9th, 2010 at 12:01

    #7: ake metody pozname co sa tyka switchovanych sieti?

  10. 10 pyro man Dec 6th, 2010 at 15:38

    coje pan Turek, 2 mesiace nam presli a ziadny novy clanok? :) snad si tento super web nebudem musiet odstranit z bookmarkov ;)

  11. 11 Rastislav Turek Dec 6th, 2010 at 15:43

    @pyro man: casova vytazenost. snad sa to cez sviatky zvolni. kazdopadne nutit mat v bookmarkoch tento blog nikoho nebudem ;)

  12. 12 EskiMag Dec 9th, 2010 at 10:14

    Ja osobne by som uvítal niečo na tému WikiLeaks + útoky na MasterCard, Visa atď. To by mohol byť veľmi zaujímavý článok. BTW: farba písma a pozadie v inputoch a textarea na pridávanie komentára sú zvolené dosť nešťastne – šedá na šedej = skoro nič tam nevidno.

  13. 13 Rastislav Turek Dec 9th, 2010 at 13:11

    @EskiMag: s tym dizajnom textarei mas pravdu, je to katastrofa. tento dizajn je free a nikdy som si ho neupravil tak, aby vyhovoval. chcel ho parkrat uz prerobit na uplne iny, ale casova vytazenost je cim dalej tym horsia, uz nestiham ani pisat.

    skusim dat dokopy aspon clanok na temu utokov okolo wikileaks

  14. 14 juraj Jan 28th, 2011 at 10:32

Zanechajte odkaz

  • na ďalšie komentáre odkazujte za použitia čísla komentáru v hranatej zátvorke, napríklad [3]
  • vaša IP adresa je logovaná a zneužívaná na výskumné účely
  • môžete mi tykať
  • komentáre sú moderované, kritiku prijímam, snažte sa prosím strániť invektív