Firesheep — лёгкий взлом Twitter, Facebook и др. соц сервисов

Firesheep
Несколько дней назад Эрик Батлер (фрилансер из Сиэтла), с помощью простого плагина для Firefox ещё раз показал — насколько могут быть уязвимы конфиденциальные данные в Интернете. Написанный им плагин позволяет перехватывать в открытых сетях WiFi (например, на вокзалах, в кафе и др.) куки других интернет пользователей, и соответственно — получать доступ к чужим учётным записям.

Немного вводной теории.
На многих сервисах шифрование соединения происходит только в момент сверки логина и пароля, а последующий сеанс сайта с пользователем — проходит уже в открытом виде. Для этого применяется идентификатор сеанса (session ID), т.е. — пользователю передаётся в cookies случайно сгенерированный код, по которому происходит определение «свой-чужой». Вот эти самые кукисы и являются мишенью для плагина «Firesheep». Перехватив http сессию (SideJacking) и завладев идентификатором сеанса, злоумышленник может заходить в чужие аккаунты, маскируясь под другого пользователя.

Плагин Firesheep может перехватывать кукисы с сайтов: Twitter, Facebook, Google, Flickr, Windows Live, bit.ly, Amazon.com, Enom, Slicehost, tumblr, WordPress, Evernote, CNET, Pivotal Tracker, Basecamp, HackerNews, Yahoo, Cisco, Yelp, Github, NY Times, Cisco, Dropbox и мн. др.

После того информация о Firesheep появилась в Сети, всего за час плагин был скачан более 1000 раз (!), а доказательства в эффективности использования тут же стали появляться на Facebook и Twitter.

По словам Батлера, он создал этот, казалось бы, дьявольский инструмент только для того, что бы показать — мы тратим много времени на споры по поводу всяких мелочей в политике конфиденциальности, но упускаем из вида огромные зияющие дыры в безопасности. Сайты несут ответственность за защиту людей, которые зависят от их услуг. Слишком долго игнорировалась эта ответственность, и теперь настало время для всех, чтобы обратить на это внимание и начать требовать более безопасного Интернета. А плагин Firesheep должен в этом помочь.

Как пользоваться Firesheep

После установки расширения, появится новая боковая панель. Подключайтесь к любой открытой сети WiFi и нажмите кнопку «Start Capturing» (начать захват). Как только Firesheep перехватит чьи-нибудь данные, их логины и фото будут показаны.
Firesheep_Firefox
Для входа под чужим логином — сделайте двойной клик по одной из аватарок. Как видите — всё просто.

Для того, чтобы скачать Firesheep — я предлагаю зайти на блог Эрика Батлера. Плагин является свободно распространяемым, с открытым исходным кодом. Доступен для пользователей Windows и Mac OS X, а вскоре обещается поддержка и Linux.


Интересные факты о Франции: достопримечательности Парижа, французская кухня, замки Франции, туристические туры по Франции.
Лингвистический центр «ЭЛИТ А+А» предлагает курсы английского в Киеве: английский для детей, разговорный английский, элитарный английский.


Чтобы чемпионом стать - надо RSS читать!
Ссылка на основную публикацию