A Firesheep nevű Firefox-kiegészítő nagy vihart kavart a megjelenésekor: ez a szoftver volt az első olyan eszköz, amely bárki számára egyetlen klikkeléssel elérhetővé tette a nem különösképpen bonyolult, de mégis több program ismeretét és együttes használatát igénylő sütilopási művelet megvalósítását. Ismeretes, hogy a Firesheep a rejtjelezetlenül átküldött ún. viszonysütiket (session cookie) hallgatja le, míg a gyanútlan felhasználó bejelentkezve böngészik a program által ismert weboldalakon. A viszonysütik visszajátszása révén megszemélyesíthetjük a felhasználó profilját például a Facebookon, ugyanis a sütiben lévő azonosítón kívül nincs más mód a felhasználó identifikálására.

A támadásra jelenleg kétféle védekezést ismerünk. Az első a Blacksheep nevű Firefox-kiegészítő, amely egy igazán ötletes megoldás: szimulálja a felhasználó böngészési tevékenységét a Firesheep által „támogatott” weboldalakon, méghozzá hamis viszonysütivel. A program kihasználja, hogy a Firesheep, amint viszonysütit érzékel, azonnal visszajátssza azt, hogy letöltse annak a felhasználónak a profillapját, akihez a süti tartozik. Ha a Blacksheep „visszahallja” az általa generált hamis viszonysütit, akkor figyelmezteti a felhasználót, hogy a hálózaton valaki Firesheepet használ. A megoldás kétségkívül kreatív, de több probléma is van vele. Egyrészt egyáltalán nem biztos, hogy a Blacksheep is le tudja hallgatni a visszajátszott viszonysütit. Ez a helyzet például akkor, ha a Blacksheepet futtató felhasználó egy olyan hálózatszakaszon van, ahová a Firesheep-felhasználó által küldött csomagok nem továbbítódnak, fordítva viszont igen. Másrészt a Firesheep – értelemszerűen – hibaüzeneteket jelenít meg a hamis viszonysütikre, figyelmeztetve ezzel a támadót (lásd az ábrát).

Viszonysütik a Firesheep felületén (nagyítás lentebb, a minigalériáknál)

Harmadrészt a Blacksheep mindössze szépségtapasz; a Firesheep futását voltaképpen nem akadályozza meg. (Egyszerű analógia erre az, ha lakásunkba mozgásérzékelős riasztórendszert szerelünk, de az ajtót tárva nyitva hagyjuk, mikor elmegyünk otthonról.)

A másik megoldás a HTTPS Anywhere. Ez a Firefox-kiegészítő a probléma gyökerét célozza meg, jelesül, hogy azokon a weblapokon, amelyeket „http://”-rel kezdődő címről töltünk le „https://” helyett, a viszonysüti (és egyáltalán minden süti) rejtjelezetlenül közlekedik. A HTTPS Anywhere célja, hogy azon szolgáltatásoknál, ahol támogatott a rejtjelezett, HTTPS-alapú kapcsolat is, automatikusan a biztonságos címre irányítja a böngészőt, ha a felhasználó a HTTP-oldalt írta be a címsávba. Így garantálható, hogy a böngészési tevékenység, beleértve az elküldött sütiket is, nem lesz dekódolható a támadó számára, hiába hallgatja le a forgalmat. (Mindazonáltal a forgalom jellemzőiből levonhat bizonyos következtetéseket.)

A HTTPS Anywhere koncepciója azonban, legyen az bármilyen egyszerű és nagyszerű, szintén hordoz magában hátrányokat. A legproblémásabb, hogy a HTTPS-alapú kapcsolódást a szolgáltatónak kell lehetővé tennie a felhasználók számára. Ezt leginkább azért szokták elmulasztani, mert a kapcsolat kiépülése előtti kézfogás többletterhet ró a szolgáltató szervereire. Amíg tehát a szolgáltató priorizálja a másodpercenként kiszolgálható lapletöltések számát a felhasználók biztonságával szemben, nemigen van mit tenni. A másik probléma, hogy az immár HTTPS-sel böngészett weblap bizonyos funkciói működésképtelenné válhatnak – jó példa erre a Facebook chatszolgáltatása. Harmadrészt pedig lehetnek olyan beágyazott elemek az oldalon belül, amelyeket HTTP-vel tölt le a böngésző; ha ezek esetébe is elküldésre kerül a viszonysüti, máris átadtuk azt a támadónak.

Ismét elmondhatjuk tehát, hogy a megoldás kulcsa szolgáltatóoldalon van. A Firesheep íróját aligha hibáztathatjuk; a támadás ősidők óta ismert, legfeljebb eddig picit körülményesebb volt kivitelezni. Csak remélni lehet, hogy egyre több szolgáltató fogja felismerni a probléma súlyosságát, és fogja kötelezővé tenni a HTTPS használatát.

Permalink: https://pet-portal.eu/blog/read/351/2010-12-06-Valaszok-a-Firesheepre.php

Forrás: Firesheep

Mini galéria

 

Kinyit

Vissza

Hozzászólások

Összesen 0 hozzászólás látható.

Nincsenek hozzászólások.

Új hozzászólás beküldése

Bárki hozzászólhat, nem regisztrált beküldő esetén egyik adat megadása sem kötelező - a hozzászólás akár névtelen is lehet.

Név:
E-mail:
Blog:
A BBCode egy egyszerű jelölő nyelv, amellyel a hozzászólásokat lehet formázni. Érvényes parancsok: bold: [b]Maecenas at nisl.[/b] italics: [i]Maecenas at nisl.[/i] underline: [u]Maecenas at nisl.[/u] url: [url]http://www.mysite.com[/url], [url=http://www.mysite.com]Maecenas at nisl.[/url] image: [img]http://www.mysite.com/mypic.png[/img] quote: [quote]Maecenas at nisl.[/quote] code: [code]Maecenas at nisl.[/code] size: [size=12]Maecenas at nisl.[/size] color: [color=#FF0000]Maecenas at nisl.[/color] Hozzászólok!