Firefox-udvidelsen Firesheep gør det let at misbruge usikre trådløse netværk til at hacke sig ind på andres konti. Brug SSL og VPN til at beskytte dig mod angreb, skriver Shehzad Ahmad i denne klumme fra Computerworld.
Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Da Firesheep dukkede op i slutningen af oktober, vakte det megen opmærksomhed i sikkerhedskredse. Ganske vist afslører programmet ingen nye sikkerhedshuller. Men det gør det ekstremt nemt at misbruge den manglende sikkerhed i åbne trådløse lokalnet.
Når man har installeret programmet i Firefox, klikker man på en knap. Hvis man sidder på et aktivt trådløst netværk, går der ikke længe, før den første bruger dukker op med navn og foto på skærmen.
Hvis man vil logge ind som vedkommende på fx Facebook, skal man bare klikke på profilbilledet.
Så let er det.
Som nævnt er det velkendt, at data sendt på et ukrypteret trådløst net kan opsnappes af alle andre på nettet. Men hidtil har det krævet en vis teknisk viden at få noget ud af data.
Med Firesheep kan enhver, der kan installere en udvidelse til Firefox, hacke andres konti.
Det gør det ikke lovligt. Det er stadig i strid med lovgivningen at få adgang til it-systemer, som man ikke er autoriseret til at bruge.
Brug kryptering
vad kan man gøre for at beskytte sig?
Den enkleste løsning er naturligvis at undlade at benytte trådløse netværk uden kryptering.
Desværre er det ikke altid en mulighed. Hvis man har brug for at være online, og den eneste mulighed er den lokale cafes netværk, så må man bruge det.
Næste mulighed er så kun at benytte websteder, der anvender SSL (Secure Sockets Layer) til at kryptere kommunikationen mellem browser og server. Det kræver blot, at udbyderen af tjenesten understøtter SSL (eller HTTPS, som er webtrafik over SSL).
Dette råd kom mange sikkerhedsfolk med, da Firesheep blev kendt.
Derfor virker det ikke altid i praksis
Desværre kunne en sikkerhedsforsker ved navn George Ou oplyse, at den løsning ikke altid virker i praksis.
Han har nemlig opdaget, at mange websteder ikke bruger SSL til al kommunikation. Der skal blot et lille hul til, før beskyttelsen er værdiløs.
Blandt dem, der ikke bruger SSL effektivt, er Facebook og Twitter.
Abonner på VPN
En tredje løsning kræver, at man har forberedt sig hjemmefra: Man skal have adgang til et VPN (virtuelt privat netværk), som man kan kommunikere igennem. Så krypteres al kommunikation mellem pc'en og VPN-serveren.
Mange virksomheder tilbyder medarbejderne VPN. Desuden kan man abonnere på VPN-tjenester, både gratis og mod betaling.
En fremtidig løsning
Hele problemet ligger i, at det er svært at forene sikkerhed og brugervenlighed. Det gode ved et åbent netværk er, at det er ligetil at bruge.
Sikkerhedsfolk har derfor overvejet, om man kan finde en måde at give adgang til kryptering, uden at alle skal kende det samme password.
Takehiro Takahashi og Tom Cross fra IBM Internet Security Systems foreslår, at man implementerer en SSL-lignende løsning til trådløs kommunikation: Et access point udstyres med et certifikat, der beviser, at det har retten til at udbyde et bestemt SSID (Service Set Identifier). Man kunne fx lade SSID'et være det samme som et domænenavn, så ejeren af computerworld.dk også har certifikat på SSID'et af samme navn.
Det er endnu for tidligt at sige, om ideen bliver til virkelighed. Forskerne regner med at offentliggøre mere om den i løbet af et par måneder.
Indtil da er mit råd, at du bruger VPN, når du anvender usikre trådløse lokalnet. Jeg er klar over, at det kan være et svært råd at følge for brugere uden it-ekspertise. Men som det fremgår ovenfor, er alternativerne desværre ikke effektive.
Oprindelig offentliggjort på Computerworld Online den 29. november 2010
LINKS
Blogindlæg af Eric Butler, der står bag Firesheep
How to Protect Against Firesheep Attacks, artikel fra Computerworld US
A new solution to wireless security issues, blogindlæg fra IBM Internet Security Systems
Denne klumme på Computerworld Online