Firesheep steelt wachtwoorden via wifi - UPDATE
Gepubliceerd: Dinsdag 26 oktober 2010
Auteur: Chris Broesder
Met de Firefox add-on Firesheep kan iedereen een wifi-netwerk scannen en bij accounts kraken van nietsvermoedende gebruikers. De beveiliging van grote sites laat ernstig te wensen over.
De nieuwe Firefox add-on Firesheep werd afgelopen zondag onthuld door ontwikkelaar Eric Butler. Hij wil de aandacht vestigen op het gevaar van het bezoeken van niet versleutelde sites via wifi-hotspots.
Kinderlijk eenvoudig
Het is weliswaar gangbaar om de login te versleutelen met HTTPS- of SSO-encryptie, maar er zijn weinig sites die ook het verkeer zelf versleutelen. Die data wordt volgens Butler dan ook de ruimte in 'geschreeuwd' door cookies. "Dat maakt de cookie en dus de gebruiker kwetsbaar en het kapen van accounts is dan ook eenvoudig uit te voeren", zo staat te lezen op Butler's blog.
Door de cookie te stelen kan de kwaadwillende het accounts van gebruikers kapen. Een paar van de sites waarvan Firesheep de sessies kan kapen zijn Twitter, Facebook, Flickr, bit.ly, Google en Amazon.
Dus wat is er nog meer nieuw?
Richard Wang, manager bij beveiligingsbedrijf Sophoslabs zegt dat er niets nieuws aan deze kwetsbaarheid is, maar dat iedereen met een beetje technische kennis mensen kan afluisteren op hotspots met Firesheep. Hij hoopt dan ook dat de tool het gebruik van HTTPS stimuleert.
Hapklare brokken
Firesheep bestaat uit een sidebar in Firefox die alle gebruikers in een open wifi-netwerk weergeeft. Dan hoeft er alleen nog maar dubbel geklikt worden op de naam van de gebruiker en dan kan de kwaadwillende alles wat de gebruiker ook kan. Op moment van schrijven is de tool zo'n 130.000 gedownload.
Volgens Butler hebben websites "de verantwoordelijkheid om de mensen die op hun diensten vertrouwen te verdedigen". "Die verantwoordelijkheid hebben de sites veel te lang genegeerd en het wordt nu tijd dat we met zijn allen een veiliger web eisen. Mijn hoop is dat Firesheep de gebruikers zal helpen om die slag te winnen."
Firesheep is gratis te downloaden voor de Windows en Mac OS X-versies van Firefox. Butler werkt op dit moment aan een Linux versie.
Update:Een lezer van ict-blog TechCrunch heeft een workaround uitgedokterd om te voorkomen dat social media-accounts worden overgenomen als gebruikers een onbeveiligde Wi-Fi verbinding gebruiken. De workaround is de Firefox-extensie ForceTLS die websites dwingt een beveiligde verbinding te gebruiken.
Facebook heeft ondertussen gereageerd op Firesheep. "We maken progressie in het testen van de SSL-toegang voor Facebook en hopen deze optie de komende maanden te introduceren. Zoals altijd adviseren we mensen om goed uit te kijken met het verzenden of ontvangen van gevoelige informatie over een onbeveiligd Wi-Fi netwerk."
Bron: Techworld.nl
