Wifi sniffing med Firesheep
Eric Butler præsenterede sin udvidelse til Firefox på Toorcon 12. Det lille program udnytter, at mange websites (f.eks. Facebook) ikke krypterer data og derfor er sårbare overfor sessions-hijacking.
Det foregår i praksis ved, at angriberen aflytter (sniffer) information fra et åbent trådløst netværk. Hvis der fanges en cookie, så kan angriberen benytte den til at benytte sessionen og derefter være logget ind. Husk på at den trådløse trafik er i luften, så den kan altid ses af andre.
Det hjælper selvfølgelig, når netværket er krypteret med WPA2 - WEP-kryptering er nem at bryde, så det er lidt samme situation.
Der er også måder, du kan sikre dig på. Du skal selvfølgelig benytte SSL-kryptering, når det er muligt - ved f.eks. Gmail. Du kan også benytte TOR til generelt at surfe mere anonymt.
For en god ordens skyld, så anbefaler vi ikke, at man aflytter andres trafik. Vi håber bare på, at brugere bliver mere opmærksomme på problemet, så de kan undgå denne type angreb.
Firefox brugerne kan også bruge HTTP Strict-Transport-Security, hvis de vil undgå at deres cookies bliver sniffet. Denne funktionalitet vil blive indstillet som standard i den kommende Firefox 4.0.
Indtil da bør Firefox brugere benytte ForceTLS, hvis de ønsker at benytte HTTP Strict-Transport-Security.
Kilde: http://blog.mozilla.com/security/2010/10/27/cooling-down-the-firesheep/
Chrome og Firefox brugerne kan i NoScript vælge at tvinge bestemte websteder til at anvende HTTPS forbindelser og kryptere cookies ved at gå ind i Indstillinger - fanen Avanceret og lave de ønskede ændringer i henholdsvis fanen Opførsel og Cookies.
/mvh
e-tech
Men det er vel ikke muligt som privatperson at beskytte sin router fra Yousee med WPA2 kryptering? Mener den kun er med WEP.
Ved i om der et program til Opera der automatisk tvinger hjemmeside til https? Eller er det muligt for jer at forklare lidt om TOR? Et kig på deres hjemmeside ser meget interessant og seriøst ud, men alt for indviklet med alle de forskellige muligheder man har?
@Tobinobi
Jeg skriver lidt om TOR-netværket her:
http://privatliv.webs.com/krypteretinternet.htm
Du er velkommen til at henvende dig via kontaktsiden hvis du har spørgsmål, eller har brug for personlig vejledning.
Det er selvfølgelig også muligt at opsætte en VPN-forbindelse, så bliver det ret sikkert. Men det koster for det meste…
Der er sammenligninger af tjenester her: http://www.start-vpn.com/
Denne er vist helt ok: http://www.start-vpn.com/vpn-providers/witopia/witopia/
Men det er nok for meget at gøre ud af det for de fleste…
Jeg har personligt sammenlignet 60-70 forskellige VPN-udbydere og netop http://www.witopia.net som Thomas nævner er iblandt de udbydere jeg umiddelbart, ud fra en længere række kriterier, finder mest interessant. Jeg har dog ikke testet deres service og foreløbig er det TrilightZone VPN jeg anbefaler. Det kan man læse om i mit link ovenfor.
Dog skal det siges at forbindelsen til TrilightZone VPN det sidste halve års tid er blevet ekstremt langsom. Jeg regner med at levere en ny løsning indenfor en overskuelig fremtid, forudsat den nye VPN består de sidste tests.
Nu også en nem guide til at sniffe på ikke-wifi netværk…
Et par brugere har gjort os opmærksomme på et svindelnummer, som det er en god idé at være opmærksom på - et skoleeksempel på social engineering.
Det findes overalt på næsten alle computere efterhånden: Software, som du ikke mindes at have installeret, som du ikke ved, hvad du skal bruge til og som pludselig bare er der.
Det er altid godt med kurser - specielt når der er tale om et sikkerhedskursus fra vores egen Perhaps.
Vi slår endnu engang banner-blokeringen fra og ser på en reklame med gratis Apple-produkter - denne gang fra Politiken.dk.
Hvis du vil være sikker på, at dine mails ikke læses af uvedkommende, så skal du bruge kryptering. Læs her hvordan det kan sættes op.
ESET er nået til den femte version af den omfattende sikkerhedspakke fra ESET - Smart Security 5.0. Perhaps har kigget på programmet og strikket en anmeldelse sammen.
Et par brugere har gjort os opmærksomme på et svindelnummer, som det er en god idé at være opmærksom på - et skoleeksempel på social engineering.
Det findes overalt på næsten alle computere efterhånden: Software, som du ikke mindes at have installeret, som du ikke ved, hvad du skal bruge til og som pludselig bare er der.
Det er altid godt med kurser - specielt når der er tale om et sikkerhedskursus fra vores egen Perhaps.
Det er blevet tid til en anmeldelse af Ad-Aware Free Internet Security. Er prisen det eneste fordelagtige?
httpS Everywhere er også en mulighed, hvis du er ivrig Firefox bruger.