Slot tegen wachtwoorddief Firesheep verbeterd
Gepubliceerd: Woensdag 24 november 2010
Auteur: Jasper Bakker
Firefox-plugin HTTPS Everywhere is uitgebreid om websurfers beter te beschermen tegen afluistertool Firesheep. Facebook- en Twitter-accounts zijn beter beveiligd en de tool omvat meer webdiensten.
De nieuwe versie van HTTPS Everywhere is nu te downloaden bij de Electronic Frontier Foundation (EFF). Die prijst versie 0.9.0 aan als specifiek verbeterd tegen de simpele afluistertool Firesheep, die ook een Firefox-plugin is. Firesheep maakt het mogelijk accounts te kapen via wifi, maar ook via bedrade netwerken. Het doet dat door de cookies voor de ingelogde sessie 'af te luisteren'.
Onveilig surfen
Essentieel voor de werking van Firesheep is dat de verbinding tussen het slachtoffer en diens webdiensten niet is versleuteld. Of dat de versleuteling is gekraakt, wat bij WEP al jaren makkelijk te doen is en ook bij opvolger WPA mogelijk is.
Gebruikers op wifi-netwerken zonder - of met gekraakte - encryptie, maar ook op lokale bedrade netwerken (local area networks) zijn dus prooien. Het opzetten van een beveiligde verbinding middels https biedt bescherming, ook als het netwerk zelf niet is beveiligd.
Extra stappen voor Facebook
HTTPS Everywhere is een plugin die websites dwingt om over te schakelen naar een https-verbinding. De nieuwe versie biedt beter bescherming voor Facebook-, Twitter- en Hotmail-accounts. Voor maximale bescherming van Facebook, 's werelds grootste sociale netwerk, zijn nog wel twee extra stappen nodig.
Gebruikers moeten handmatig een instelling van HTTPS Everywhere aanpassen, die default niet aanstaat omdat het de chatfunctie van Facebook dan uitschakelt. Die ondersteunt namelijk geen https. Tot slot moeten gebruikers nog de aanvullende Firefox-extensie Adblock Plus installeren.
Bit.ly, Dropbox, Amazon-cloud
Daarnaast is volledig nieuwe bescherming toegevoegd voor url-verkorter Bit.ly, opslagdienst Dropbox, de AWS-clouddiensten van Amazon, source code-hostingplatform Github en voor netwerkleverancier Cisco. Voor die websites zijn specifieke instellingen (rules) opgenomen in de beveiligingsplugin. De EFF geeft ook tips voor webmasters om https correct te implementeren op hun sites.
HTTPS Everywhere is niet beschikbaar voor andere browsers dan Firefox. De EFF legt uit in de faq dat Chrome, Internet Explorer en Safari een benodigde functie missen. De ontwikkelaars van Chrome zouden wel interesse hebben om dit soort beveiligingsextensies mogelijk te maken.
Update:Firesheep werkt (net als andere packetsniffers) ook op bedrade netwerken, maar vereist dan wel wat extra hackwerk. Een kwaadwillende moet dan het netwerkverkeer van de doel-pc zien te onderscheppen, wat kan via 'ARP spoofing'. Voor wifi-netwerken is dat niet nodig vanwege de aard van de draadloze uitzendingen die (net als bij radio) door derden gewoon zijn op te vangen.
Update2:Toegevoegd dat draadloze netwerken met encryptie die is gekraakt natuurlijk ook niet veilig zijn voor netwerksniffers zoals Firesheep.
