image

Steel Twitter en Facebook wachtwoorden met Firesheep

maandag 25 oktober 2010, 21:10 door Redactie, 7 reacties

Een in dit weekend verschenen Firefox-plugin maakt het kinderspel om inloggegevens van Facebook, Twitter en andere websites te stelen, ook al wordt er HTTPS bij het inloggen gebruikt. Beveiligingsonderzoeker Eric Butler demonstreerde tijdens beveiligingsconferentie Toorcon 12, dat veel websites wel HTTPS voor het inloggen gebruiken, maar de rest onversleuteld laten. Daardoor zijn gebruikers van veel sociale netwerksites kwetsbaar voor 'HTTP session hijacking', wat betekent dat een aanvaller het cookie kan stelen en zo het account van gebruikers overneemt. "Op een open draadloos netwerk, worden cookies bijna letterlijk door de lucht geschoten, wat dit soort aanvallen zeer eenvoudig maakt", aldus Butler.

Hoewel het probleem al geruime tijd bekend is, negeren veel populaire websites het probleem. "De enige effectieve oplossing is volledige end-to-end encryptie", merkt Butler op. "Facebook rolt in een poging om ontevreden gebruikers tevreden te houden steeds nieuwe "privacy" features uit, maar wat heeft het voor zin als iemand je hele account kan overnemen?"

Verantwoordelijkheid
Om ervoor te zorgen dat ook daadwerkelijk iedereen deze aanval kan toepassen, ontwikkelde Butler Firesheep. Gebruikers hoeven alleen maar verbinding met een onbeveiligd draadloos netwerk te maken, waarna Firesheep de accounts van gebruikers laat zien. Vervolgens volstaat het dubbelklikken op een foto om het account in kwestie te kapen en misbruiken.

"Websites hebben een verantwoordelijkheid om mensen te beschermen die hun diensten gebruiken. Ze hebben deze verantwoordelijkheid te lang genegeerd, en het is tijd dat iedereen een veiliger web eist. Ik hoop dat Firesheep helpt om gebruikers te laten winnen", aldus Butler. Windows gebruikers moeten voor het gebruik van de plugin eerst nog Winpcap installeren. Wie zich tegen de aanval wil wapenen kan de Firefox plugin ForceTLS gebruiken. Deze uitbreiding laadt websites via HTTPS, wat het op onveilige wijze uitwisselen van sessies voorkomt.

Reacties (7)
25-10-2010, 22:51 door Blijbol
Wat betreft preventie: de add-on HTTPS Everywhere werkt ook voor sites die SSL niet forceren:
https://www.eff.org/https-everywhere
26-10-2010, 02:21 door Anoniem
// Firesheep script for Hyves
// by Martijn Wismeijer (2010)
// http://m.rtijn.info

register({
name: "Hyves",
url: 'http://www.hyves.nl/index.php',
domains: [ 'hyves.nl' ],
sessionCookieNames: [ 'PHPSESSID' ],
identifyUser: function () {
var resp = this.httpGet(this.siteUrl);
this.userName = resp.body.querySelector('.avatar-link').title;
this.userAvatar = resp.body.querySelector('.avatar-img').src;
}
});
26-10-2010, 10:32 door [Account Verwijderd]
[Verwijderd]
26-10-2010, 12:29 door Rene V
Door Blijbol: Wat betreft preventie: de add-on HTTPS Everywhere werkt ook voor sites die SSL niet forceren:
https://www.eff.org/https-everywhere

Helemaal mee eens. Ik gebruik dit inmiddels ook. :-)
03-11-2010, 13:03 door Anoniem
@Martijn Wismeijer. Cool script. Werkt perfect!
11-11-2010, 20:15 door Anoniem
ben er op deze manier achter gekomen dat mijn zusjes het wachtwoord voor ons draadloze netwerk aan het buurmeisje hebben gegeven. Handig!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.