Varning: Ditt Facebook-konto kan enkelt kapas

2010-10-26 07:52  

(UPPDATERAD). Ett nytt program för att kapa kontouppgifter släpptes i helgen. Med det kan vem som helst logga in i ditt namn på Facebook, Twitter och en rad andra sajter. Lösningen är att undvika öppna trådlösa nätverk.

I dag är en bra dag att leta fram en nätverkskabel ur gömmorna, eller nöja sig med uppkoppling via 3g-modemet.

I helgen släppte programutvecklaren Eric Butler ett tilläggsprogram till webbläsaren Firefox, på hackerkonferensen Toorcon. Syftet är att visa hur lätt många stora webbplatser tar på användarnas säkerhet.

Uppsåtet lyckades.

Kombinationen av programmet och öppna trådlösa nätverk är riktigt dålig.

De flesta sajter, som Facebook och Twitter, skyddar sina inloggningssidor med kryptering, SSL, vilket bland annat syns genom att det står “https” istället för “http” före webbadressen.

Krypteringen är tänkt som ett skydd mot tjuvlyssning, ingen ska kunna snappa upp användarnas inloggningsuppgifter när de knappas in på datorn och skickas via nätet till webbtjänstens servrar.

Problemet, som Eric Butler vill rikta uppmärksamheten mot, uppstår när besökarna återvänder till webbplatsen.

För att underlätta för besökarna använder de flesta webbplatser så kallade cookies. En cookie är en liten datafil som webbläsaren sparar på datorns hårddisk.

En av möjligheterna med cookies är att automatiskt logga in återkommande användare, så att de slipper mata in sitt användarnamn och lösenord vid varje besök till sajten.

Vilket är en bra idé. Om den genomförs på ett bra sätt.

Men det är här slarvet sker: Många sajter, bland annat Facebook, Twitter, Flickr och Dropbox (en lista finns här), bryr sig inte om att kryptera förbindelsen när informationen i cookie-filen skickas.

Och på ett öppet trådlöst nätverk, som bland annat finns på många arbetsplatser och kaféer, är det då möjligt att använda programmet för att snappa upp innehållet i cookie-filerna och med en knapptryckning logga in som en annan användare.

Man kan notera fyra saker:

* Själva lösenordet är inte omedelbart tillgängligt i klartext, men cookiefilen fungerar ofta relativt länge för inloggning.

* Spionprogrammet används alltså som tillägg i Firefox, men alla webbläsare, även i mobiltelefoner, är sårbara för attacken.

* Sårbarheten, och tekniken som används i programmet, är i sig är inte nya. Den engelska termen är "sidejacking" eller "http session hijacking". Men Eric Butlers program gör attacken så enkel att vem som helst utan särskilda kunskaper kan genomföra den.

* Om man är ansluten till ett trådlöst nätverk som kräver inloggning är man inte direkt utsatt, även om den som har spionprogrammet är inloggad med samma lösenord. Nätverket är då skyddat, men man ska helst försäkra sig om att krypteringen som används är av den säkrare typen WPA/WPA2.

Som användare finns några saker man annars kan göra för att skydda sig.

* Surfar du hemma och är osäker på om du har ett öppet eller skyddad trådlöst nätverk är ett alternativ att leta fram gammal nätverkskabel i en låda och stänga av det trådlösa nätverket i datorn.

* Behöver du surfa på stan kan det vara en bra idé att välja bort kaféets trådlösa nätverk och istället köra med ditt eget 3g-modem.

* Ett mer avancerat alterantiv är att använda ett så kallat VPN, virtual private network. Det är en krypteringsteknik som ser till att datatrafiken som lämnar din dator är skyddad av ett krypteringslager.

Många företag gör den tekniken tillgänglig för sina anställda. För privatpersoner finns också VPN-tjänster att abonnera på. Till webbläsare som Firefox och Google Chrome finns också tilläggsprogram som försöker tvinga användningen av kryptering.

På sikt kan man nog räkna med att företagen bygger om sina webbplatser, så att större delar av dem skyddas av kryptering. Värt att notera är att riskerna varit kända länge, utan att något gjorts. Facebook är ett exempel. Där går alla interna länkar till en okrypterad sida, även om du startar på https://www.facebook.com.

Värt att tänka på är också att säkerhetshålet inte bara är en risk för dig, utan också för alla dina vänner på bland annat Facebook. Även om du inte tycker att du lägger ut något känsligt kan det finnas andra som resonerar annorlunda.

För dig som är sugen på att använda programmet, tänk på att du begår ett brott om du gör det.

- - - -

Texten är uppdaterad kl 10.55 med info om att alla webbläsare är sårbara, att lösenordet inte syns i klartext, att trådlösa nätverk som kräver inloggning ger skydd, samt att tekniken i sig inte är ny men nu extremt lättillgänglig.

Anders Thoresson

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Dagens viktigaste nyheter

Aktuellt inom

Debatt

COMSOL