Firesheep för Firefox: Sessions-kapning gjord enkel och tillgänglig – så här skyddar du dig

Firesheep för Firefox är ett plugin som gör det möjligt att hijacka (kapa) sessioner på ett öppet trådlöst nätverk. Tekniken bygger på att sidor skickar ut okrypterande cookies med sessioner över det öppna nätverket vilket Firesheep identifierar och sparar.

Med den informationen kan man sedan enkelt ta över den sessionen , vilket effektivt betyder att du blir inloggad som den personen.

Tekniken är alltså oberoende av site utan det funkar på alla siter med inloggningar som inte kör https – vilket är krypterad trafik.

Svensk media har gjort en stor sak i att det är Facebook som är huvudmålet för denna ”attack”, vilket inte är fallet. Utan det funkar egentligen på alla siter som använder denna inloggningstekniken.

Siter som FireSheep hitintills stödjer är Amazon.com, Basecamp, bit.ly, Cisco, CNET, Dropbox, Enom, Evernote, Facebook, Flickr, Github, Google, HackerNews, Harvest, Windows Live, NY Times, Pivotal Tracker, Slicehost, tumblr, Twitter, WordPress, Yahoo, Yelp. Men det är mycket enkelt att lägga till nya.

Hur kan jag skydda mig?

Det är mycket enkelt att skydda sig; var inte inloggad på öppna trådlösa nätverk. Det finns absolut ingen anledning att kolla sin Facebook via ett öppet nätverk på till exempel McDonalds eller på flygplatsen. Dessa ställen är notoriska för att vara tillhåll för allehanda figurer med mindre goda avsikter.

Det är fortfarande lite osäkert huruvida det är möjligt att använda FireSheep på skyddade trådlösa nätverk med WEP/WPA/WPA2 nycklar. Även om detta inte är helt verifierat än, så finns det blandade rapporter över hur det funkar. Har själv provat på ett WPA2 AES nät och där kan jag inte lyssna på trafiken.

Men i huvudsak uppstår problematiken när man är på oskyddade trådlösa nätverk som t.ex flygplatser, restauranger, caféer eller företag.

Tekniken kräver även att du är inloggad samtidigt som någon försöker ta över din session, så om du har varit på ett öppet nätverk tidigare behöver du inte oroa dig, du är säker. Man kan inte ta gamla sessioner, utan det måste ske på samma gång.

Sedan skall det understrykas att den ”hacking”-teknik är gammal som gata och att FireSheep egentligen inte tillför något nytt. Cain and Abel är ett annat program som funnits tillgängligt under många år.

Det enda är att dom gjort det enkelt nog för alla att använda, vilket förmodligen är anledningen till att denna nyhet nu sprids som löpeld runt Internet.

Mer om FireSheep i Svensk media:
MacWorld, Expressen, DN, Aftonbladet, SVT

← Föregående inlägg

Nästa inlägg →

42 kommentarer

  1. Elurven

    Ok, det här är förmodligen en korkad fråga, men här kommer den i alla fall.

    Om jag befinner mig på ett trådlöst nätverk och inte loggar in på exempelvis Facebook, men har push notifieringar aktiverade, då löper jag väl fortfarande samma risk som om jag skulle loggat in på Facebook via webbläsaren? Det finns ju en rad applikationer på iPhone (och även andra mobiler antar jag) som påverkas av detta såsom mail, chatklient med push osv.

    • Tommie

      Intressant frågeställning faktiskt.

      Det beror helt på hur den iphone-klienten hanterar sina sessioner. Firesheep bygger på att den letar efter sessions-strängar (sessionCookieNames: [ ’xs’, ’c_user’, ’sid’ ]) i t.ex Facebook. Om klienter på mobiler använder samma strängar borde den kunna fånga upp dem med.

      Om du däremot endast har push-information från Facebook borde inte Firesheep kunna fånga upp dessa eftersom dom kommer från Apples servrar. Om du däremot klickar på ett push-meddelande och går i iPhones webläsare till Facebook så kommer Firesheep att plocka den sessionen.

      Skall se om jag hinner sätta upp en sandbox-miljö här hemma och testa det innan kvällens show.

  2. Elurven

    Ok, det här är förmodligen en korkad fråga, men här kommer den i alla fall.

    Om jag befinner mig på ett trådlöst nätverk och inte loggar in på exempelvis Facebook, men har push notifieringar aktiverade, då löper jag väl fortfarande samma risk som om jag skulle loggat in på Facebook via webbläsaren? Det finns ju en rad applikationer på iPhone (och även andra mobiler antar jag) som påverkas av detta såsom mail, chatklient med push osv.

    • Tommie

      Intressant frågeställning faktiskt.

      Det beror helt på hur den iphone-klienten hanterar sina sessioner. Firesheep bygger på att den letar efter sessions-strängar (sessionCookieNames: [ ’xs’, ’c_user’, ’sid’ ]) i t.ex Facebook. Om klienter på mobiler använder samma strängar borde den kunna fånga upp dem med.

      Om du däremot endast har push-information från Facebook borde inte Firesheep kunna fånga upp dessa eftersom dom kommer från Apples servrar. Om du däremot klickar på ett push-meddelande och går i iPhones webläsare till Facebook så kommer Firesheep att plocka den sessionen.

      Skall se om jag hinner sätta upp en sandbox-miljö här hemma och testa det innan kvällens show.

  3. Mycket intressant, tack för en bra beskrivning!

    • Tommie

      Endast inloggningen eftersom den aldrig ser lösenordet – bara vilken sessions-id som du har mot siten. Det är den sessionen som den säger åt siten att kaparen har, vilket är anledningen till att man kan logga in som någon annan.

  4. Mycket intressant, tack för en bra beskrivning!

    Kan man få ut lösenordet i klartext eller är det bara för att kunna logga in?

    • Tommie

      Endast inloggningen eftersom den aldrig ser lösenordet – bara vilken sessions-id som du har mot siten. Det är den sessionen som den säger åt siten att kaparen har, vilket är anledningen till att man kan logga in som någon annan.

  5. Fredrik

    du skriver att det endast rör öppna trådlösa nätverk. Betyder det alltså at om jag är inloggad på ett trådlöst vätverk med lösenord (tex wep) så är jag skyddad även om andra också använder det trådlösa nätverket? Man kan ju tex tänka sig en arbetsplats där det förekommer många Facebookinloggningar över det låsta trådlösa nätverket.

    Hur förhåller sig det hela till lösningar som tex Telia homerun. Där sker ju en inloggning, om än inte med en nätverksnyckel.

    • Tommie

      Korrekt Fredrik, på ”låsta” nätverk så skickas all data krypterad – så där är man säker, åtminstone som jag förstått det 🙂

      • jag testade att ”sniffa” upp min egen facebook inloggning från min iPhone på samma krypterade nätverk som min dator, det fungerade

        • Tommie

          Intressant, jag kan inte återskapa det på ett WPA2-Personal AES nät. Vilken kryptering kör du på din trådlösa router?

          • Det är en äldre D-Link med WPA Personal, kanske det som är skillnaden?

          • Tommie

            Möjligt, det kan vara så att den faktiskt kan dekryptera trafiken – vilket gör penetrationsnivån betydligen högre. För precis som du säger kan den då lyssna på trafik på vilket nätverk som helst, även dom som är bakom [viss] kryptering – så länge man har nyckeln.Uppdaterade min text i bloggen och skall göra vidare efterforskningar.

          • WPA2 skall separera trafiken till skillnad mot t.ex. WEP. WPA Personal vet jag inte.

    • NEJ! WEP är inte säkert. Vem som helst förutom din mormor kan söka på how to crack wep på google och knäcka det utan problem. WPA eller WPA2 är de enda krypteringarna i dagsläget som förtjänar att kallas krypteringar.

  6. Fredrik

    du skriver att det endast rör öppna trådlösa nätverk. Betyder det alltså at om jag är inloggad på ett trådlöst vätverk med lösenord (tex wep) så är jag skyddad även om andra också använder det trådlösa nätverket? Man kan ju tex tänka sig en arbetsplats där det förekommer många Facebookinloggningar över det låsta trådlösa nätverket.

    Hur förhåller sig det hela till lösningar som tex Telia homerun. Där sker ju en inloggning, om än inte med en nätverksnyckel.

    • Tommie

      Korrekt Fredrik, på ”låsta” nätverk så skickas all data krypterad – så där är man säker, åtminstone som jag förstått det 🙂

      • jag testade att ”sniffa” upp min egen facebook inloggning från min iPhone på samma krypterade nätverk som min dator, det fungerade

        • Tommie

          Intressant, jag kan inte återskapa det på ett WPA2-Personal AES nät. Vilken kryptering kör du på din trådlösa router?

          • Det är en äldre D-Link med WPA Personal, kanske det som är skillnaden?

          • Tommie

            Möjligt, det kan vara så att den faktiskt kan dekryptera trafiken – vilket gör penetrationsnivån betydligen högre. För precis som du säger kan den då lyssna på trafik på vilket nätverk som helst, även dom som är bakom [viss] kryptering – så länge man har nyckeln.Uppdaterade min text i bloggen och skall göra vidare efterforskningar.

          • WPA2 skall separera trafiken till skillnad mot t.ex. WEP. WPA Personal vet jag inte.

    • NEJ! WEP är inte säkert. Vem som helst förutom din mormor kan söka på how to crack wep på google och knäcka det utan problem. WPA eller WPA2 är de enda krypteringarna i dagsläget som förtjänar att kallas krypteringar.

  7. HästGäst

    En offtopic kommentar: Snälla sätt en annan färg på dina länkar. Sjukt irriterande när du maskerar dem i samma färg som texten..

    Det får mig att undra om det finns inline länkar i texten och det är sjukt tidskrävande att dra musen över all text för att leta länkar.

    • Tommie

      Ouch, helt rätt – borde jag tänk på själv! Det är nu fixat, länkarna är grön-tonade.

  8. HästGäst

    En offtopic kommentar: Snälla sätt en annan färg på dina länkar. Sjukt irriterande när du maskerar dem i samma färg som texten..

    Det får mig att undra om det finns inline länkar i texten och det är sjukt tidskrävande att dra musen över all text för att leta länkar.

    • Tommie

      Ouch, helt rätt – borde jag tänk på själv! Det är nu fixat, länkarna är grön-tonade.

  9. santamonica

    Spelar det någon roll vad man har för webbläsare vad gäller risken att bli avlyssnad, eller är det helt enkelt bara en fråga om öppna nätverk?

    • Tommie

      Endast en fråga om öppna nätverk, webbläsare har tyvärr inget med saken att göra.

  10. santamonica

    Spelar det någon roll vad man har för webbläsare vad gäller risken att bli avlyssnad, eller är det helt enkelt bara en fråga om öppna nätverk?

    • Tommie

      Endast en fråga om öppna nätverk, webbläsare har tyvärr inget med saken att göra.

  11. kingwes

    är väldigt okunnig på datorer måste jag först berätta.. Idag var jag jag inne på vårt lokala bibliotek o surfade en timme .. o när jag kommer hem och startar min facebook så plötligt skriver nån på min chat i mitt namn o jag blir helt ställd eftersom jag vet att jag inte skrivit själv :S… o strax efter så godkänns en vänförfrågan helt utan min tillåtelse… Vad ska jag göra?? har jag blivit hackad??

    • Byt lösenord

      • + surfa gör ingenting på sidor utan kryptering som du inte vill att andra ska få reda på om du är på ett öppet nätverk, varken skriva in inloggningsinformation eller på annat sätt behandla känslig information. Öppna nätverk bör enbart användas för att läsa aftonbladet, bloggar eller dylikt.

  12. kingwes

    är väldigt okunnig på datorer måste jag först berätta.. Idag var jag jag inne på vårt lokala bibliotek o surfade en timme .. o när jag kommer hem och startar min facebook så plötligt skriver nån på min chat i mitt namn o jag blir helt ställd eftersom jag vet att jag inte skrivit själv :S… o strax efter så godkänns en vänförfrågan helt utan min tillåtelse… Vad ska jag göra?? har jag blivit hackad??

    • Byt lösenord

      • + surfa gör ingenting på sidor utan kryptering som du inte vill att andra ska få reda på om du är på ett öppet nätverk, varken skriva in inloggningsinformation eller på annat sätt behandla känslig information. Öppna nätverk bör enbart användas för att läsa aftonbladet, bloggar eller dylikt.

  13. Skall absolut INTE använda mig av trådlösa öppna nätverk. tack för bra information:)

    Petter Hedman

  14. Skall absolut INTE använda mig av trådlösa öppna nätverk. tack för bra information:)

    Petter Hedman

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *