Twitter zpřístupnil permanentní HTTPS přístup, špatná zpráva pro script kiddies

Bouře vyvolaná add-onem pro Firefox jménem FireSheep má další pozitivní výsledky. V nastavení účtu na Twitteru si můžete zaškrtnout „Always use HTTPS“

Add-on pro Firefox jménem FireSheep umožní získat přístup k Facebook účtům a samozřejmě nejenom k nim. Twitter a jakékoliv další webové aplikace používající cookies pro jasné svázání návštěvníka (prohlížeče) s přihlášeným sezením postihl stejný problém. Používání Facebooku, Twitteru i dalších webů na odposlouchávatelné síti (například Wi-Fi v kavárně) může vést k značným problémům.

Kdokoliv s pomůckou jakou je například právě FireSheep může odchytit vaši komunikaci a ze svého počítače se okamžitě „přihlásit“ na váš účet. Aniž by znal přihlašovací údaje. Poučil se o tom ostatně například i Ashton Kutcher – jeho @aplusk účet na Twitteru zaznamenal návštěvu hackera. Vtipného hackera.

Twitter nově umožňuje zapnout povinnou aktivaci HTTPS komunikace s Twitterm- postačí v nastavení účtu odrolovat dolů k ukládacímu tlačítku.

Facebook je možné používat přes https://www.facebook.com přímo, můžete ale čas od času narazit na některé nefunkční části Facebooku.

Účet Ashtona Kutchera na Twitteru hacknut

Daily Mail (Ashton Kutcher gets Punk’d as his Twitter account is hacked… while he’s at a technology conference) informuje o hacku účtu Ashtona Kutchera na Twitteru. Zpráva od hackera je na @aplusk stále viditelná.

Ashton, you’ve been Punk’d. This account is not secure. Dude, where’s my SSL?“ napsal na účet Ashtona Kutchera neznámý vtipálek. Tomu se podařilo využít volně dostupného programu FireSheep (viz FireSheep umožní získat přístup k Facebook účtům. Nejenom k nim) a napojit se na Ashtona Kutchera v okamžiku, kdy přistupoval na Twitter přes otevřené WiFi připojení.

Twitter událost komentuje na @twitterglobalpr připomenutím, že je možné používat Twitter přes https://

Users can use Twitter via HTTPS: http://t.co/q84H6K3. We’ve long been working on offering HTTPS as a user setting & will share more soon.

Nezapomeňte, použítí https://www.twitter.com zajistí ochranu před vtipálky, kteří mohou vaše sezení (session) s Twitterem odhalit pomocí programů jako je FireSheep. Nebo prostým odposloucháváním síťové komunikace.

FireSheep umožní získat přístup k Facebook účtům. Nejenom k nim

Je Eric Buttler nezodpovědný a měl by být trestně stíhán? Jsou nezodpovědní tvůrci webových služeb, kteří umožňují snadné „session hijacking“? A pomůže internetu přechod na SSL?

Internetová komunkace probíhající jako http:// je čistě textová záležitost – to že posílat tímto způsobem jména+hesla může být problematické, to už asi víte. Stačí použít „něco“ s možností odchytávání paketů na internetu, chvíli odposlouchávat a pak už jenom analyzovat. Svým způsobem se o tom poučil svět i díky Google a jeho wardrivingu – tedy sběru WiFi komunikace v ulicích měst.

FireSheep - přístup na libovolný účet ve Facebooku (a nejenom tam)FireSheep – přístup na libovolný účet ve Facebooku (a nejenom tam)

Většina webů kde se přihlašujete ale obsahuje ještě něco podstatně nebezpečnějšího – po přihlášení (které často proběhne přes https:// – a tím zabezpečenější komunikaci) je váš prohlížeč vůči dané služby identifikován pomocí cookie. A zpravidla stačí použít odchytávání paketů a onu cookie získat – a pak už je tu tzv. „session hijacking“ (sidejacking). Tedy něco jako „únos sezení“ (když to hrůzně přeložíte do češtiny), který v praxi může znamenat to, že pokud jste „právě teď“ přihlášení k Facebooku a někdo odchytí vaši cookie, může ze svého počítače okamžitě vstoupid na váš Facebook a získat kompletní přístup k vašemu účtu.

Eric Butler uvolnil před několika dny Firefox rozšíření jménem FireSheep – stačí ho spustit a nechat odchytávat síťovou komunikaci. A sledovat, jak v levé části přibývají lidé, jejichž účet můžete okamžitě zneužít. Pár kliknutími – a ve vašem prohlížeči se otevře jejich Facebook či Twitter.

Aby FireSheep fungoval potřebujete toho hodně málo – nejlépe Linuxový stroj, protože tam je odchytávání paketů možné rovnou. Pokud máte Windows, tak budete nejspíš potřebovat winpcap (nezkoušel jsem, ale mělo by to stačit). A pak už si můžete jít sednout třeba do Starbucks a na tamním free Wi-Fi využít příležitost.

Pro některé je Eric Buttler zločinec, který do oběhu vypustil pomůcku, kterou nikdy vypustil neměl. Prý měl být „zodpovědný“. Prý dává „script-kiddies“ do rukou mocnou zbraň. A měl by být žalován, odsouzen a potrestán.

Nemyslím si to. Není vcelku nic složitého „session hijacking“ (sidejacking) používat i bez téhle pomůcky. Zodpovědnost je na prozovovatelích webů – měli by zajistit pro uživatele bezpečnost tam, kde je to na místě. Proto třeba Google poměrně nedávno umožnil používat Gmail přes https protokol – SSL komunikace je proti odposlechnutí (relativně) bezpečná. Slovo relativně používám proto, že i SSL lze rozlousknout – ale není to až tak snadné. A hlavně to není až tak zcela v reálném čase (byť existuje možnost využít k tomu SSD disky a dosáhnout tak takřka reálného času – přeci jenom je to komplikovanější).

V čem je tedy vlastně problém? Proč nemůže (třeba) Facebook.com začít fungovat čistě jako SSL. Respektive proč není možné opustit klasický http textový protokol? Hlavně pro nároky, které provoz SSL klade na webové servery. Což, popravdě, byl jeden z hlavních argumentů v minulosti – možná by to dnes už bylo technicky podstatně schůdnější.

Stejný problém je s WiFi – otevřené a volně přístupné WiFi také běží v „textovém“ režimu – moment na kterém začíná a končí problém wardrivingu Google. Stačí zapnout WiFi kartu a můžete začít odchytávat – všechno co po dané WiFi běží.

Řešení?

Řešení není zatknout Erica Buttlera ani postavit programy jako FireSheep mimo zákon. Řešení je v okamžítém použití SSL (https) všude tam, kde jde o soukromí, hesla, osobní údaje. Druhé řešení je v ukončení používání cookies pro cokoliv, co souvisí s „identifikací“ i „autentikací“.