Je Eric Buttler nezodpovědný a měl by být trestně stíhán? Jsou nezodpovědní tvůrci webových služeb, kteří umožňují snadné “session hijacking”? A pomůže internetu přechod na SSL?
Internetová komunkace probíhající jako http:// je čistě textová záležitost – to že posílat tímto způsobem jména+hesla může být problematické, to už asi víte. Stačí použít “něco” s možností odchytávání paketů na internetu, chvíli odposlouchávat a pak už jenom analyzovat. Svým způsobem se o tom poučil svět i díky Google a jeho wardrivingu – tedy sběru WiFi komunikace v ulicích měst.
FireSheep – přístup na libovolný účet ve Facebooku (a nejenom tam)
Většina webů kde se přihlašujete ale obsahuje ještě něco podstatně nebezpečnějšího – po přihlášení (které často proběhne přes https:// – a tím zabezpečenější komunikaci) je váš prohlížeč vůči dané služby identifikován pomocí cookie. A zpravidla stačí použít odchytávání paketů a onu cookie získat – a pak už je tu tzv. “session hijacking” (sidejacking). Tedy něco jako “únos sezení” (když to hrůzně přeložíte do češtiny), který v praxi může znamenat to, že pokud jste “právě teď” přihlášení k Facebooku a někdo odchytí vaši cookie, může ze svého počítače okamžitě vstoupid na váš Facebook a získat kompletní přístup k vašemu účtu.
Eric Butler uvolnil před několika dny Firefox rozšíření jménem FireSheep – stačí ho spustit a nechat odchytávat síťovou komunikaci. A sledovat, jak v levé části přibývají lidé, jejichž účet můžete okamžitě zneužít. Pár kliknutími – a ve vašem prohlížeči se otevře jejich Facebook či Twitter.
Aby FireSheep fungoval potřebujete toho hodně málo – nejlépe Linuxový stroj, protože tam je odchytávání paketů možné rovnou. Pokud máte Windows, tak budete nejspíš potřebovat winpcap (nezkoušel jsem, ale mělo by to stačit). A pak už si můžete jít sednout třeba do Starbucks a na tamním free Wi-Fi využít příležitost.
Pro některé je Eric Buttler zločinec, který do oběhu vypustil pomůcku, kterou nikdy vypustil neměl. Prý měl být “zodpovědný”. Prý dává “script-kiddies” do rukou mocnou zbraň. A měl by být žalován, odsouzen a potrestán.
Nemyslím si to. Není vcelku nic složitého “session hijacking” (sidejacking) používat i bez téhle pomůcky. Zodpovědnost je na prozovovatelích webů – měli by zajistit pro uživatele bezpečnost tam, kde je to na místě. Proto třeba Google poměrně nedávno umožnil používat Gmail přes https protokol – SSL komunikace je proti odposlechnutí (relativně) bezpečná. Slovo relativně používám proto, že i SSL lze rozlousknout – ale není to až tak snadné. A hlavně to není až tak zcela v reálném čase (byť existuje možnost využít k tomu SSD disky a dosáhnout tak takřka reálného času – přeci jenom je to komplikovanější).
V čem je tedy vlastně problém? Proč nemůže (třeba) Facebook.com začít fungovat čistě jako SSL. Respektive proč není možné opustit klasický http textový protokol? Hlavně pro nároky, které provoz SSL klade na webové servery. Což, popravdě, byl jeden z hlavních argumentů v minulosti – možná by to dnes už bylo technicky podstatně schůdnější.
Stejný problém je s WiFi – otevřené a volně přístupné WiFi také běží v “textovém” režimu – moment na kterém začíná a končí problém wardrivingu Google. Stačí zapnout WiFi kartu a můžete začít odchytávat – všechno co po dané WiFi běží.
Řešení?
Řešení není zatknout Erica Buttlera ani postavit programy jako FireSheep mimo zákon. Řešení je v okamžítém použití SSL (https) všude tam, kde jde o soukromí, hesla, osobní údaje. Druhé řešení je v ukončení používání cookies pro cokoliv, co souvisí s “identifikací” i “autentikací”.