9:12
9/11/2010

Kilka dni temu pokazaliśmy jak m.in. przy pomocy dodatku do Firefoksa o nazwie FireSheep wykraść ciasteczko i przejąć sesję internauty. Atak działa na większości serwisów internetowych (np. Facebook). Dziś zademonstrujemy jak można się obronić przed FireSheepem.

Kiedy serwis nie chroni swoich użytkowników…

O ochronie po stronie serwera pisaliśmy w oryginalnym tekście. Co jednak mają zrobić internauci korzystający z serwisów, których administratorzy (z tych czy innych powodów) nie chcą wprowadzić zabezpieczeń przed atakami na sesję? Mogą np. zainstalować jeden z poniższych dodatków:

FireShepard

FireShepard to malutki programik dla Windows. Odpalony w sieci, w której ktoś korzysta z FireSheepa, zawiesza wszystkie jego instancje. FireShepard wysyła zapętlone żądania HTTP, które symulują przesyłanie ciasteczek. Podstawiane przez FireSheparda ciasteczka są skonstruowane w taki sposób, że zawieszają obecną wersję FireSheepa.

Uwaga! Należy pamiętać o tym, że potencjalny atakujący może wykraść ciasteczka innym niż tylko FireSheep programem.

BlackSheep

BlackSheep, to podobnie jak FireSheep, dodatek do Firefoksa. BlackSheep generuje fałszywe ciasteczka, a następnie monitoruje, czy zostały one wykradzione (i użyte). W przypadku wykrycia ataków na sesje, internauta jest informowany odpowiednim komunikatem (i ma IP złodzieja):

BlackSheep

BlackSheep w akcji. Wykrył atak FireSheep

Pozaprogramistyczne środki ochrony przed kradzieżą sesji

Niezależnie od tego, czy skorzystacie z w/w programów, możecie pomóc chronić swoją sesje wykorzystując takie cuda techniki jak tunelowanie (połączenie po VPN), czy po prostu, najzwyklejsze pamiętanie o wciśnięciu przycisku “wyloguj” po skończeniu pracy w danym serwisie…

Przeczytaj także:

25 komentarzy

Dodaj komentarz
  1. No dobra, lamerow z ta ognista owca moze to powstrzyma, ale co za problem wyfiltrowac konkretne dane w tcpdumpie albo wiresharku ?

  2. W takim wypadku używa się jakiegoś VPN-a albo tunelowania jakimś zaszyfrowanym protokołem, np. ssh.

  3. Chyba czas kupić mały serwer na mini ITX i na dobre przywitać się z tunelowaniem połączeń…

  4. Nie zmienia to faktu ze np. Facebook zapowiedzial ze za “niecale pol roku” Facebook bedzie laczyl uzyszkodnikow po SSL-u caly czas.

    Firesheep wywolal wiele glosnych i negatywnych komentarzy w sieci a tymczasem ja (znow narazajac sie na flejmy) stwierdzam ze byl on konieczny. Firesheep (badz tez jego pochodne ktore pojawia sie w przyszlosci) wymusi w koncu lepsze standardy zabezpieczen stron www.

    Pozdrawiam kolektyw.

    Andrzej

  5. @AndrzejL, to ja się razem z Tobą na flejmy narażę, bo uważam tak jak i ty – świadomość użytkowników należy podnosić, a jeśli zwykłe powtarzanie nie pomaga – trzeba im pokazać na ich własnym przykładzie.

  6. @AndrzejL: to ja się przyłączam, dość irytuje mnie olewanie różnych aspektów ochrony użytkowników (m.in. ochrony ich sesji i — co za tym idzie — kont) tylko dlatego, że ,,nic o tym nie mówią więc nie trzeba się tym martwić”. A taki firesheep nie zmienia tego, że jest niebezpiecznie*, tylko nagłaśnia sprawę.

    * script-kiddies to w większości niezbyt niebezpieczne przypadki. Bo to fajnie się włamać i pokazać kolegom… I tyle. W najgorszym przypadku wyślą do kogoś jednego posta który będzie przesiąknięty wulgaryzmami i wszystko będzie jasne dla wszystkich.

  7. “Odpalony w sieci, w której ktoś korzysta z FireSheepa, zawiesza wszystkie jego instancje.” – przepraszam bardzo, ale czy to nie jest nielegalne? :>

  8. @kgadek: olewa się (nie)bezpieczeństwo bo jak to wiele razy było mówione nie tylko na niebezpieczniku – mało jest programistów, którzy zwracają na to uwagę, mało jest szefów którzy są chętni wydać kasę na audyty, no i póki co społeczeństwo nie zdaje sobie sprawy z konsekwencji skradzionej tożsamości…

  9. Buuuuu…. A o Linuxie zawsze zapominają… xP

  10. Olewa się bezpieczeństwo bo do szyfrowania używane są dodatkowe zasoby i one kosztują.
    Za darmo nic nie ma.

  11. A co z użytkownikami którzy nie akceptują ciastek? (w opcjach FF jest taka możliwość)

  12. @Odstresowany: Logicznie myśląc, to pewnie FireSheep nie zadziała.

  13. Chętnie włączę SSL na swoich stronach. Na przykładzie 5 stron, z która jedna ma kilkanaście subdomen wydam bagatela prawie 2000zł, bo certyfikat WILDCARD obsługujący dowolną ilość subdomen kosztuje ponad 1000zł. Dodatkowo koszt oddzielnych IP to kolejna kasa. Do tego IP LOAD BALANCER, który działa na jednym IP dla kilku stron po raz kolejny musi zostać zwielokrotniony, a co za tym idzie trzeba dołożyć serwery lub zmienić architekturę. Wiecie kto na tym zyska i kto napisał ten dodatek ;)

  14. blad w linku ttp://niebezpiecznik.pl/post/firesheep-firefox-ataki-na-sesje/?similarpostY3215

  15. “a następnie monitoruje, czy zostały one wykradzione (i użyte).”
    na jakiej to niby zasadzie on moze wiedziec ze zostaly przechwycone te ciasteczka?
    uzycie moze sprawdzic sam sniffujac inne komputery.

  16. @patryk: teoretycznie banał, jeżeli atakowany site pokazuje ile masz zalogowanych sesji (vide gmail)

  17. ktos w sieci? w dzisiejszych warunkach to moze byc tylko router. chyba, ze ja czagos nie wiem. to jak jest z tym zniffowaniem w lanie teraz?

  18. każdy w sieci może odpalić sniffera na własnym kompie

  19. ..i moze sniffowac tylko swoj ruch, tak?

  20. Sprawa FireSheep’a jest przesadnie nagłośniona w mediach, gdzie mówią, że teraz każdy script kiddie może przechwytywać sesje Facebook’a w publicznych hotspotach. Nikt nie napisał jednak, że by atak się powiódł w sieci bezprzewodowej należy przekierowywać wszystkie pakiety przez komputer atakującego czyli należy przeprowadzić np. ARP poisoning programem ettercap. Wątpie który script kiddie w ogóle wie jak to zrobić, ale sytuacja nie jest tak poważna jak wszyscy twierdzą. Script kiddie poradzi sobie jednak bez problemu z tym dodatkiem w LANie, bo tam pakiety rozchodzą się wszędzie, a wystarczy tylko przestawić kartę sieciową w tryb promiscous, aby wyłączyć filtrowanie pakietów po adresach docelowych MAC.

    • blackd0t: Nie masz do końca racji z tą koniecznością ARP poisoningu w sieciach bezprzewodowych (por. WEP). Nie masz też racji w przypadku sieci LAN, bo tu chyba już nikt nie używa hubów ;)

  21. witam

    odnosnie postu Torwalda i serwera vpn – zupelnie zielony nie jestem jezeli chodzi o komputery i sieci, ale z tym pomyslem stawiania serwerwa vpn i tunelowania polaczenia to mnie Torwald zagial. generalnie rozumiem o co chodzi z vpn, sam czasem korzystam (wbudowany serwer vpn w alternatywne linuksowe oprogramowanie routera) ale chcialbym sprobowac cos takiego zrobic o czym mowi Torwald. mam maszynke co by sie nadala do tego, ale jakos nie moge znalezc zrozumialego dla mnie info jak to powinno dzialac i zwiekszac bezpieczenstwo surfowania. Any help? z gory dzieki wielki. szacun dla Redaktorow Niebezpiecznika, czytam juz sporo czasu i bardzo mie sie podoba poziom.

  22. a, i jeszcze jedna sprawa – czy da sie takie tunelowanie ogarnac przy pomocy squida? to wlasnie probuje takowego uruchomic jako cache proxy, moze by i za tunel robil. dzieki!

  23. Witam, jestem, nie znam się na tym dobrze, ale jeśli mam internet oparty o sieć LAN ( z wyciętym otoczeniem sieciowym ), to czy takie ataki nadal są możliwe?

  24. Wszystko pięknie, ale jak by sprawdzić, ile skryptów php działa np z suhosin-cookie-encrypt, to mniej niż połowa.
    A szyfrowanie nie przesyłania ciasteczka, ale samego ciasteczka, najgłupszym pomysłem bynajmniej nie jest.
    Sznurek: http://www.hardened-php.net/suhosin/configuration.html#suhosin.cookie.encrypt

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.