Via et nettlesertillegg og et dobbeltklikk fikk artikkelforfatter logget inn på Facebook som en kollega. Skremmende.
Via et nettlesertillegg og et dobbeltklikk fikk artikkelforfatter logget inn på Facebook som en kollega. Skremmende.Vis mer

Ikke surf på åpne, trådløse nett!

Logger du inn uten at nettet er kryptert, kan andre kapre kontoen din.

«kanskje det sterkeste argumentet vi har sett for hvorfor du aldri, aldri, aldri bør koble deg på et ukryptert trådløst nettverk»


Hvis du ikke har kryptert det trådløse nettet ditt hjemme (se faktakboks nederst i artikkelen), er du nødt til å gjøre det pronto, for etter en runde med den lille nettleserutvidelsen Firesheep sitter hele redaksjonen skrekkslagne tilbake.

Jeg har nemlig nettopp logget inn på Facebook som kollega Øivind Idsø. Fra min maskin.

Uten at jeg visste passordet hans.

I et kontrollert forsøk koblet vi oss begge opp på samme trådløse nettverk; et ukryptert sådan. Øivind logget seg så på Facebook på sin maskin, og i løpet av tideler fikk jeg beskjed i min nettleser om at Øivind hadde logget seg på Facebook. Et dobbeltklikk senere var jeg logget på Facebook - som Øivind.

Twitter funket like fint. Faktisk fungerte det enda bedre, for da Øivind logget seg ut av Facebook, fikk jeg ikke lenger brukt Facebook-sesjonen hans. Twitter, derimot, ser ikke ut til å destruere sesjonen på en like god måte, så han angrer fælt på å ha blitt med på forsøket, siden jeg fortsatt kan poste hva jeg vil fra Twitter-kontoen hans, endre brukernavnet hans til noe morsomt eller lese alle direktemeldingene hans.

SÅ ille kan det faktisk gå. Vis mer


- Det er det verste jeg har sett, sa Øivind, som på tro og ære lover å kryptere det trådløse nettet sitt når han kommer hjem i ettermiddag.

Vis mer


Kaprer andre sesjoner

Firesheep forenkler prosessen med å kapre andres sesjoner til det latterlige, og er kanskje det sterkeste argumentet vi har sett for hvorfor du aldri, aldri, aldri bør koble deg på et ukryptert trådløst nettverk. Å kapre en sesjon vil si at du kopierer informasjonen som lagres mellom en nettjeneste og brukeren slik at du kan fremstå som den samme brukeren overfor nettjenesten.

Firesheep er en utvidelse til Firefox som fungerer på Windows og OS X (Linux-versjon er rundt hjørnet). Når du starter det, får du opp en kolonne ved siden av nettleservinduet der du kan trykke start capturing-knappen. Da begynner maskinen din å sniffe etter datapakker fra andre maskiner i det samme trådløse nettverket. Merk at det kun fungerer dersom nettverket ikke er kryptert, og også bare dersom forbindelsen til nettstedet informasjonen sendes til ikke er kryptert (altså via http:// og ikke via https://).

Så fort noen logger seg på Facebook, Twitter, Google, Flickr, Amazon eller hva det måtte være (disse er inkludert i listen fra start, men du kan også legge til egne nettsteder), får du beskjed om det i sidestolpen, og i løpet av et dobbeltklikk er du innlogget som stakkaren som gikk med på eksperimentet.

Det er kanskje unødvendig å presisere det, men sitter noen med Firesheep kjørende på en café e.l. med et åpent, trådløst nett, kan de rett og slett kapre sesjonen til en hver som logger seg inn rundt om på nettet. Ikke at det er nytt, for så vidt - mulighetene har vært der lenge, men vi har sjelden sett det implementert så elegant som her.


Ikke bli neste offer

Så - hva kan du gjøre for å unngå å bli et bytte?

  • Bruk alltid https:// - Sørg for at forbindelsen til nettstedet du logger på er kryptert. Mange nettsteder har støtte for SSL-forbindelse selv om de ikke bruker det default - med andre ord; bruk f.eks. https://facebook.com i stedet for http://facebook.com osv.
  • Til Firefox finnes HTTPS Everywhere, som alltid bruker https-forbindelse når det er tilgjengelig. Chrome-brukere kan teste ut Secure Login Helper.
  • Ikke bruk ukrypterte, trådløse nettverk - Dersom du skal bruke et trådløst nettverk, bør du påse at dette er kryptert; som regel illustrert med et lås-ikon, en nøkkel e.l. avhengig av operativsystem og programvare du eventuelt bruker for å logge deg på. Da vil ikke Firesheep kunne gjøre jobben sin. Dog finnes det andre teknikker for å fange opp nettverkstrafikk (og ikke nødvendigvis bare mellom deg og ruteren), så du er aldri sikker når du sender ukrypterte data (altså via http://) til en nettjeneste.
Trenger du å overbevise noen, kan du demonstrere med Firesheep (OSX/Windows).

Men vær grei, da!

(Vil du være ekstra grei bruker du "del saken"-knappen under så budskapet blir spredd til så mange som mulig.)