- התוסף שגונב סיסמאות
3.11.2010 12:17 |
פורסם ע"י:
rano |
תגיות:
פיירפוקס תוסף אבטחת מידע גלישה אנונימית VPN פייר שיפ Firesheep
לאחרונה שוחרר תוסף לפיירפוקס שנקרא Firesheep. התוסף מאפשר פריצה לחשבונות כגון אי מיילים, פייסבוק וכו' כל כך בקלות כך שלא צריך להיות האקר מיומן כדי לעשות את זה.
מאת רנדי אברמס, דיירקטור לחינוך טכנולוגי, חברת ESET
לאחרונה שוחרר תוסף לפיירפוקס שנקרא Firesheep. התוסף מאפשר פריצה לחשבונות כגון אי מיילים, פייסבוק וכו' כל כך בקלות כך שלא צריך להיות האקר מיומן כדי לעשות את זה. כך זה עובד: המשתמש מתקין את התוסף Firesheep על המחשב שלו ויוצא ל"צייד" במקומות בהם ישנה רשת אלחוטית לא מאובטחת כגון בתי קפה, שדות תעופה וכו'. ה Firesheep "מרחרח" באותה רשת לא מאובטחת, וכשהוא מוצא קבצי cookies (קבצים אשר שומרים נתונים מסוימים בזמן הגלישה) לאתר ספציפי כגון פייסבוק, טויטר או אמזון, הוא מעתיק אותם ומאפשר למשתמש בו את הגישה לחשבון הלגיטימי של גולש אחר.
לדוגמא, אתה גולש ברשת אלחוטית חינמית (שלא מצריכה שם משתמש וסיסמא) בבית קפה ואתה נכנס לחשבון הפייסבוק שלך. אני יושב בשולחן שלידך באותו בית קפה ומריץ את ה Firesheep. עכשיו יש לי גישה לחשבון שלך, אני יכול לשלוח הודעות בשמך, ולראות את כל מה שאתה רואה כולל רשימת החברים וכו'. אם אתה משתמש בטויטר, אני יכול "לצייץ" בשמך. רוב האתרים שמצריכים שם משתמש וסיסמא יכולים להיפרץ על ידי שימוש ב Firesheep.
זמן קצר אחרי שהתוסף Firesheep שוחרר, אדם אחר כתב תוכנה אחרת וקרא לה Idiocy (אידיוטיות). בעיקרון Idiocy עושה בדיוק את אותו הדבר רק שהיא מוגבלת לחשבונות טויטר בלבד. אחרי שהתוכנה זיהתה את קבצי ה cookies של הגולש היא שולחת הודעה שאומרת "גלשתי בטויטר בצורה לא מאובטחת ברשת ציבורית, וכל מה שקיבלתי הוא 'ציוץ' עלוב".
הרעיון שעומד מאחורי Firesheep ו- Idiocy הוא העלאת המודעות לבעיות המהותיות של אבטחה ופרטיות. אתרים כמו פייסבוק, טויטר, יאהו, אמזון וכל אתר אחר שדורש סיסמא צריך להשתמש בפרוטוקול https כל הזמן, לא רק במסך הכניסה.
ישנה גם השאלה החוקית והאתית בשימוש בתוכנות כאלו. החוק משתנה ממדינה למדינה ואפילו יכול להשתנות בין מדינות בתוך ארה"ב. אני מנחש (לא מבטיח) שלא בלתי חוקי להשתמש ב Firesheep כדי להעתיק קבצי cookies. אך ברגע שעשיתם דאבל-קליק על תמונת המשתמש כדי להיכנס לחשבון שלו, קרוב לודאי שעברתם על החוק. כרגע המומחים בנושא החוק ואבטחת המידע עדיין חלוקים בדעתם לגבי חוקיות השימוש בתוסף. באופן אישי אני לא יתקין את התוכנה Idiocy כיוון שבאופן אוטומטי היא תבצע חדירה בלתי חוקית לחשבון אחר.
לפני שאתה מתקין ו/או משתמש ב Firesheep בדוק את החוקים המקומיים שמתייחסים לכך. יש סיכוי גבוה שבעצם התקנת התוכנה אתה עובר על החוק. באופן אישי אני חושב שזה לא יהיה אתי לעשות את זה, אפילו מתוך הכוונה הטובה ביותר של להזהיר את חבריך מפני הסכנות שבגלישה לא בטוחה.
למי שמדובר בכתבה מדאיגה ונוטה להתחבר דרך חיבורים אלחוטיים - http://www.newsgeek.co.il/blacksheep-to-counteract-firesheep-firefox-addon/ מתוך הכתבה המצורפת: "אחרי שתוסף ה-Firesheep שוחרר לחופשי, פעלו מומחי אבטחה רבים על-מנת לספק פתרונות שונים לבעיות שיצר השימוש בתוסף. אחד מאותם הפתרונות, הנקרא Blacksheep (או הכבשה השחורה), מאפשר למשתמשים הגולשים ברשתות אלחוטיות לזהות משתמשים משתמשים אחרים בסביבה אשר מנסים להשתמש בתוסף ה-Firesheep על-מנת ליירט קבצי Cookie של המשתמש"
איפה החיסרון פה ?
תוסף חביב, עובד בצורה לא רעה .. אני אבדוק את התוסף- אבל באופן כללי- אין הצפנה שאי אפשר לשבור השאלה היא מה רמת המוטיבציה :) לדוגמא- השימוש ב-TOR פיתוח של ה-CIA האמריקאי שנועד לתת למשתמש תחושה של ביטחון כי הוא משתמש ב-IP אחר דרך שרשרת ארוכה של תחנות בעולם .. מצד שני- ככה האמריקאים דגים את כל מי שמשתמש בכלי לצרכים של הלבנות מס, סמים וכו'
