Superenkelt hacka ditt Facebook-konto

Ett nytt hackerverktyg, Fire-sheep, uppmärksammar hur lätt det är att avlyssna personlig information i trådlösa nät. Det lilla tillägget är allt cafésurfaren behöver för att bli signalspanare.

Annons

Upphovsmannen, Eric Butler, vill väcka uppmärksamhet kring brister i säkerheten hos några av världens största webbtjänster. Han skapade därför Firesheep, ett tillägg till webbläsaren Firefox.

Det utnyttjar "session hijacking", en hackingmetod som går ut på att avlyssna trafiken mellan två punkter för att ta sig in i ett nätverk.

Med tillägget är det möjligt att tillfälligt få tillgång till andras konton på tjänster som Facebook och Twitter. Hackaren behöver bara klicka på en ikon och logga in direkt på ditt konto.Förutsättningen är att båda datorerna finns på ett öppet trådlöst nätverk.

Firesheep lyssnar efter "cookies" från 26 olika webbjänster. En cookie är några textrader som lagras av webbläsaren och hör ihop med en webbplats. Där lagras till exempel uppgifter om inloggning och inställningar.

Cookien kan ligga kvar på datorn mellan sessioner. Det ger den som snappar upp kontoinformation med Firesheep tillgång till andras konton, men oftast bara tills ägaren loggar ut.

I dag använder många tjänster, som Twitter och Facebook, https för inloggningen, men sedan okrypterad http för resten av kundens session. Ett sådant system är vidöppet för Fire-sheeps typ av attack. Gmail och andra tjänster som använder https för all kommunikation gör den omöjlig.

Eric Butlers mål är att få de stora webbtjänsterna att gå över helt till https, den krypterade varianten av det vanliga webbprotokollet http.

Ett annat problem är att utomstående webbsidor, exempelvis tidningar, har direktknappar till de sociala tjänsterna, så kallade widgets. För att en knapp som "Like" för Facebook ska fungera måste användarens cookie-information skickas, och det sker inte nödvändigtvis via https.

Själva verktygen i Firesheep är inte nya. Det uppseendeväckande är att Eric Butler gjort det enkelt för vem som helst att se hur osäkra de sociala tjänsterna är. Bara några dagar efter att han presenterat programmet på hackerkonferensen Toorcon hade det laddats ner mer än 200 000 gånger.

Det gav också snabba reaktioner i programmerarvärlden. Fireshepherd flödar nätverket med data som kraschar Firesheep. Idiocy spanar efter datorer som använder Twitter i osäkert läge och skickar en varning. Via Twitter, förstås.

Fakta Så skyddar du dig mot hackerattacken

Använd bara trådlösa nätverk som är krypterade. WPA och WPA2 är bäst.Har du inte tillgång till något sådant är det bästa alternativet att använda ett telefonmodem.
Https är den krypterade varianten av webbprotkollet. Använd https på alla webbsidor som stöder det. Om du är osäker om en viss tjänst klarar https kan du själv lägga till ett "s" till den vanliga webbadressen.
Det finns tillägg till flera webbläsare som, om möjligt, styr dig till https-versioner av sajterna. Ett exempel är HTTPS Everywhere för Firefox.

Fakta 8 snabba frågor om Firesheep

1. Hur fungerar Firesheep?
Programmet lyssnar på okrypterad trafik i öppna trådlösa nätverk. Det fångar upp cookies för olika webbsidor. De innehåller personlig information och inloggningsuppgifter.

2. Är Firesheep en risk på alla trådlösa nät?
Nej, nätverk man måste logga in på är säkra. Det går oftast att se i listan över tillgängliga nät vilka som är krypterade eller inte.

3. Vilka tjänster kan Firesheep öppna?
Programmet lyssnar efter cookies för 26 webbtjänster, bland annat Facebook, Twitter och Amazon.

4. Vilka webbplatser är säkra?
Alla anslutningar som använder https i stället för http är säkra, där krypteras trafiken hela vägen. Inte alla webbtjänster använder https, och många blandar krypterad och öppen trafik.

5. Varför krypterar inte alla webbtjänster sin trafik?
För en tjänst som Facebook eller Twitter innebär det stora kostnader. En krypterad anslutning med https använder tre gånger så mycket serverkraft som en okrypterad. Google har valt att föregå med gott föredöme: e-posttjänsten Gmail använder endast https.

6. Kan alla inom ett krypterat nätverk lyssna på varandra?
Nej. Trafiken krypteras mellan datorn och nätverksroutern.

7. Öppnar Firesheep min dator?
Nej. Firesheep hämtar all information från kommunikationen i det trådlösa nätverket.

8. Är Firesheep ett nytt säkerhetshot?
Programmet är ett slags debattinlägg. Alla hackingmetoderna är etablerade, men upphovsmannen vill visa hur enkelt det är att avlyssna trafik och kapa konton, för att pressa de som driver tjänsterna att gå över till https-krypterade alternativ.

Av: Niklas Dahlin
Mejla reportern

Ny Tekniks dagliga nyhetsbrev - Teckna nu, kostnadsfritt!

Kommentarer

Debattinlägg blir automatiskt tillgängliga för andra användare så snart den som skrivit ett inlägg har publicerat det. Var och en ansvarar själv för innehållet i sina inlägg.

Det går inte längre att kommentera denna artikel.

Startsidan
Guldregn över unga forskare

Guldregn över unga forskare

Fem får dela på Sveriges största forskningspris för unga forskare - 23 miljoner kronor. 3 kommentarer

Första ronden till Ericsson

Första ronden till Ericsson

I den senaste patentstriden mellan Ericsson och Apple har Ericsson vunnit första ronden. 2 kommentarer

Vem tog nya 3D-skrivaren?

Vem tog nya 3D-skrivaren?

Höganäs har nu sålt sin första egenkonstruerade metallpulverskrivare. Men kunden är hemlig. 17 kommentarer

Lufttankning spar bränsle i civilflyget

Lufttankning spar bränsle i civilflyget

Tanka flygplanet fullt först när det är i luften. Det spar 20 procent bränsle. 31 kommentarer

Kraftfull elmotor för flygplan

Kraftfull elmotor för flygplan

Siemens har utvecklat en elmotor för flygplansdrift som ger 260 kW men endast väger 50 kg. 12 kommentarer

Ladda elskotern på sex sekunder

Ladda elskotern på sex sekunder

Batteriautomat ger nytt drag i elskotern.

Annons

Japanskt universitet satsar på kall fusion

Tohoku University i Japan inleder ett forskningsprojekt kring LENR eller "kall fusion". 45 kommentarer

Optimala algoritmen: Så sågar du ett krokigt träd

Optimala algoritmen: Så sågar du ett krokigt träd

Professorns patenterade matematisk algoritm får sågklingan att luta. Resultatet blir mer plank och mindre spån. 6 kommentarer

McLaren superbil

Nya superbilen från McLaren – till lågpris

TEKNIKSVEPET. Här är ett urval av de senaste tekniknyheterna.

Tjocka kan få skydd mot diskriminering på jobbet

Ser Sverige som skräckexempel

De norska facken varnar för risken att få en ”svensk situation” på den inhemska arbetsmarknaden.

Australien nobbar svenska ubåtarna

Australien nobbar svenska ubåtarna

Australiensiska motsvarigheten till FMV ger svenska FMV-chefen Lena Erixson svar på tal i ubåtsfrågan: Vi är inte intresserade av era ubåtar! 32 kommentarer

Stoppa bränderna utan
vatten eller kemikalier

Stoppa bränderna utan vatten eller kemikalier

Ny uppfinning ska släcka eldsvådor med hjälp av ljudvågor. 18 kommentarer

Lättare hitta försvunna plan

Gps utan satelliter

USA utvecklar ett nytt gps-system som ska bli mer tillförlitligt än det som nyttjas nu.

Datorer

Jobben som datorer kommer att slå ut

Allt fler jobb sköts av datorer, men det inte är låglönejobb som i första hand försvinner. 59 kommentarer

Så kopierade sig
mobiljätten upp
till världstoppen

Så kopierade sig mobiljätten upp till världstoppen

På mindre än fem år har företaget blivit en av världens största tillverkare av smarta telefoner. 27 kommentarer

Kinesiska tillverkare växer mest

Samsung och Apple får kämpa hårt. 1 kommentar

Världens längsta flytbro ritas i Norge

Världens längsta flytbro ritas i Norge

De djupaste och bredaste fjordarna längs kustvägen E39 i Norge ska förses med broar och tunnlar. 6 kommentarer

Växer med lyxlastbil

Växer med lyxlastbil

Mercedes lanserar lätt lastbil som ett sätt att växa på en mättad lyxbilsmarknad. 1 kommentar

Atomubåt

Så nedmonteras atomubåtarna

TEKNIKSVEPET. Atomubåtar måste hanteras varsamt vid nedmontering. Här är ett urval av de senaste tekniknyheterna. 7 kommentarer

Stämpelur

Lockande trixa med arbetstid

KARRIÄR. Kan du reglerna kring din arbetstid? 7

Topplista

Senaste quizen

Alla våra quiz
Svenska snittbordet blir bolag

Svenska snittbordet blir bolag

Succén med visualiseringsbordet fortsätter.

Mobilt bredband i Nepal

Mobilt bredband i Nepal

Telia Sonera lanserar reklam-finansierat mobilt bredband i Nepal. 3

”Rymdbyrån nästan som högskolan”

”Rymdbyrån nästan som högskolan”

KARRIÄR. Robotikutvecklaren bloggar om jobbet på ESA.

Anställd som gömmer sig på jobbet

Göm dig inte för chefen

KARRIÄR. Därför är det bättre att ta ansvar när chefen är arg på dig.

Hatts råd till Baylan

Hatts råd till Baylan

Före detta energiministern
tipsar den nye. 8

Roboten blir din personliga tränare

Roboten blir din personliga tränare

Vässar formen på elitidrottare. 2

Orolig chef

Framtidens chef – var beredd på turbulens

KARRIÄR. Psykologens tips till chefer: Släpp kontrollbehovet. 1

Mapillarys karttjänst

Dom ger Mapillary rätt ta bilder som Google

Malmöbolaget får rätt i Förvaltningsrätten.

Amazon

Robotar ska välja varor i Amazons tävling

I slutet av maj är det premiär för Amazon Picking Challenge.

Planeten Mars.

Kväve upptäckt på Mars

Stärker hypotesen att liv kan ha funnits. 8

Drönare blir hjälpsamma smycken

Drönare blir hjälpsamma smycken

Ser ut som smycken men fungerar som räddare i nöden. 5

8 nya teknikåkommor – och hur du undviker dem

8 nya teknikåkommor – och hur du undviker dem

KARRIÄR. Sätt stopp för mobilnacke, sms-tumme och laptopknä.

jobb161 st

Utvalda lediga IT-jobb

Annons
Annons

Senaste videoklippen

Drönaren som vallar får

Visa alla

Hitta konsulten

Sök bland tusentals konsulter på nya Konsultguiden.se