Firesheep – babaroga web aplikacija?
[photo credit: Driving in Heels]
Nakon što je predstavljen prekjučer, novi Firefox plugin – Firesheep je preuzet više od 200.000 puta, sijući strah među korisnicima društvenih mreža, ali isto tako i otvarajući prostor za dodatna pitanja oko sigurnosti društvenih mreža. Ovaj plugin će vam omogućiti da na vrlo jednostavan način ukradete tuđi identitet na nekoj od društvenih mreža. Jeste li spremni za ovako nešto?
Šokantno otkriće
Autor je pokušao upozoriti na jednostavan način nešto što je razvojnim programerima ali i naprednijim korisnicima odavno poznato – sigurnost podataka korisnika ukoliko upotrebljavate javne mreže (WiFi, mreža unutar tvrtke, kućna LAN mreža) je gotovo nikakva. Ne ulazeći sad u etičnost ovakvog “buđenja svijesti” putem javno dostupne aplikacije (postojalo ih je već dosta i prije ali nijedna nije bila ovako bezobrazno lako dostupna) – vjerujemo, kao i sam autor, da će na ovaj način natjerati korisnike da natjeraju servise da se malo bolje pobrinu oko njihove sigurnosti.
Ali, kako…
Iako će vas većina web servisa odvesti na stranicu za prijavu preko https protokola (enkriptiranog SSL-om), odmah nakon prijave ćete biti preusmjereni na obični, neenkriptirani http. Nažalost, zbog same tehnologije protokola ne postoji neka čvrsta veza između vas i servera, te je potrebno na neki način se prilikom svake komunikacije sa serverom se ponovo predstaviti serveru sa “da, to sam ja” u obliku kolačića. Neenrkiptirani kolačić ovdje postaje slaba karika, jer tko ga uz vaše korisničko ime preuzme, može se dalje predstavljati kao vi – bez da je i zna vašu lozinku!
Kolačići, enkripcija, što? Da pojednostavnimo stvari – recimo da uđete u hotel i prijavite se na recepciji. Budući da vas nitko ne poznaje, na recepciji ćete se morati identificirati svojom osobnom iskaznicom ili putovnicom (korisničko ime i lozinka u internet svijetu). Nakon što su na temelju valjanih dokumenata utvrdili da ste to vi, daju vam ključ sobe (analogija kolačića). Što će se dogoditi ako vam slučajno netko ukrade ključ ili napravi kopiju? Kradljivac će na primjer doći u restoran hotela, mahnuti ključem (poslati kolačić serveru) i račun koji tamo napravi će teretiti vas, trenutnog vlasnika ključa sobe (što se tiče konobara, vi i jeste bili u restoranu).
Na gornji način funkcionira i većina web servisa – početna autorizacija je dosta sigurna, no kasnije vas nitko neće pitati za osobnu iskaznicu, dosta je imati ključ koji ste dobili na recepciji da se vjeruje onome koji ga posjeduje kao osobi identificiranoj na početku – imati će pristup u sobu, restoran hotela, kafić, pa čak možda i u sef.
Firesheep omogućuje “kopiranje ključa sobe” – na bežičnim mrežama na kojima je to moguće “kopira” trenutno aktivne kolačiće ostalih korisnika u toj mreži i omogućava da se po pronađenim društvenim mrežama kreće kao druga osoba. Ukupno je u sklopu plugina trenutno podržano 26 različitih web servisa – Twitter, Facebook, Foursquare, Google, Windows Live, Yahoo…
Možemo li se zaštititi?
Zaštita od ovakvog oblika krađe podataka ima nekoliko – sve se svode na enkripciju veze prema servisu kroz cjelokupnu komunikaciju. HTTPS veza do servera je gotovo jedini praktični oblik kojim je ovo moguće – dobar primjer ovdje je gmail, koji od početka godine forsira HTTPS vezu od trenutka kad počnete prijavu do odjave. Drugi načini zaštite enkriptiranjem prometa kao što su VPN, ssh proxy ili pak HTTPS proxy su manje praktični za svakodnevnu upotrebu iako isto pružaju zaštitu.
Neki nam internet preglednici i sami mogu pomoći putem forsiranja HTTPS protokola – Chrome uz pomoć “–force-https” opcije prilikom pokretanja te Firefox uz Force-TLS plugin, no ovo nam neće puno pomoći ukoliko to i sami servis to ne podržava.
Srećom, u većini servisa je onemogućena promjena lozinke i ostalih važnih podataka ukoliko korisnik ponovo ne upiše lozinku te na ovaj način nije moguće u potpunosti ukrasti identitet (ako je moguće ipak promijeniti lozinku bez upisa stare lozinke onda ste u nevolji).
Zašto svi web servisi ne podržavaju HTTPS?
Ako već može gmail, zašto ostali navedeni servisi ne podržavaju enkripciju tijekom cijelog vremena provedenog na njemu? Ukratko rečeno – ušteda. Enkripcija na serveru zahtijeva dodatne resurse što bi usporilo stvari, povećalo promet i poskupilo održavanje. Također, vjerovatno se i većina ovih društvenih mreža u početku i nije shvaćala kao nešto “ozbiljno” već više kao usputno komentiranje – no u međuvremenu se način upotrebe promijenio; korisnici povjeravaju svoje najdublje tajne preko ovih servisa vjerujući kako su sigurne od prisluškivanja…
Poboljšanja uskoro?
Iako se servisi društvenih mreža svakodnevno poboljšavaju što se tiče sigurnosti, ovaj problem mogućnosti pregleda korisnikovih podataka koji je najizraženiji u okruženju korisnika se manje više gurao pod tepih te se do sad uglavnom pretvaralo da ne postoji. Gmail je svjetli primjer što se tiče toga, nadajmo se da se nakon Firesheep-a i ostali servisi obratiti veću pozornost na ispravljanje ovog nedostatka.
Update – 09.11.2010
Neka prevelika poboljšanja od strane društvenih mreža još nismo dočekali, no zato je dostupan “tragač” za aktivnim Firesheep pretraživanjima unutar mreže – Blacksheep.
Tagovi: https, sigurnost, wifi