Yhteisöpalvelu Facebookin käyttöön liittyvät tietoturvauhkat ovat olleet herkeämättä median hampaissa. Uusin uhka koskee Facebookin lisäksi myös monia muita sivustoja, joissa yhteyksien suojauksista ei ole huolehdittu riittävästi.
Firefox-selaimeen on nimittäin nyt julkisesti saatavilla Firesheep-lisäosa, jonka avulla julkisia Wi-Fi -verkkoja käyttäviä ihmisiä voi tehokkaasti vakoilla. Käytännössä vakoilu onnistuu suojaamattomien sivujen evästeiden (cookies) avulla.
Firesheep-lisäosa tunnistaa useita suosittuja sivustoja, jotka ovat alttiina hyökkäyksille julkisissa langattomissa verkoissa. TechCrunch teknologiasivusto kertoo, että tällaisia palveluita ovat Facebookin lisäksi mm. Twitter, Flickr, Tumblr sekä Yelp. Noin vuorokauden aikana Firesheepiä on ladattu yli satatuhatta kertaa.
Firesheepin kehittäjä Eric Butler kertoo olevansa häkeltynyt saamastaan huomiosta, vaikka hän kyllä odotti herättävänsä ohjelmallaan keskustelua. Hänen mukaansa vakoiluohjelman julkistamisen perimmäinen tavoite oli epäitsekäs: Butler toteaa, että krakkerit käyttivät jo entuudestaan hyväksi kyseistä haavoittuvuutta. Tekemällä vakoilun helpoksi myös tavalliselle netin käyttäjälle hän halusi nostaa asian kaikkien tietoisuuteen ja pakottaa sivustoja nostamaan tietoturvaansa. Butler kieltää, että hänen suosituksi ampaissut ohjelmansa muuttaisi viattomista tietokoneenkäyttäjistä pahoja verkkovakoilijoita.
Murtautuminen on äärimmäisen helppoa
Butler kertoo blogissaan miten helppoa salaamattomaan HTTP-yhteyteen murtautuminen on Firesheepin avulla:
Verkkopalveluihin kirjauduttaessa kirjoitetaan alkuun yleensä käyttäjänimi ja salasana, joka kyllä tapahtuu salatulla yhteydellä. Monet sivustot eivät kuitenkaan salaa yhteyttä tämän jälkeen. Tällöin palvelun lähettämä eväste (ja samalla käyttäjä) jää haavoittuvaksi hyökkäyksille.
HTTP-istunnon kaappauksessa hyökkääjä saa siis haltuunsa käyttäjälle tarkoitetun evästeen, jolloin hyökkääjä voi tehdä kyseisellä verkkosivulla mitä tahansa. Avoimissa langattomissa verkoissa evästeet kirjaimellisesti liitelevät ilmoilla, joten väliin on helppo päästä ja hyökkäys erittäin helppo toteuttaa.
Butler toteaa, että ongelma on laajasti tiedossa, mutta monet hyvin suositut sivustot eivät ole silti tehneet riittävästi töitä käyttäjiä suojatakseen. Butlerin mukaan ainoa tehokas ratkaisu olisi ottaa käyttöön palvelun alusta loppuun kattava HTTPS- tai SSL-salaus.
Markkinoilla on kuitenkin onneksi olemassa ohjelmia, jotka pakottavat suojaamattomatkin palvelut käyttämään salausta jatkuvasti eikä vain salasanojen lähettämisen aikana. Tällöin Firesheeppiä käyttävä vakoilija ei pääse tunkeutumaan tileille.
Uusimmat
-
12:06
Suora lähetys kello 13: Tuoreimmat tiedot Israelin ja Iranin räjähdysherkästä tilanteesta
-
12:00
Liigaviikko: Aaltonen, Savinainen ja Kontiola mainittu – liigafinaalien konkaritähdet nostettiin esiin kriittisessä valossa
-
11:56
EK3: Ott Tänakin hermot koetuksella, tallitoveri jyrää – MTV seuraa Kroatian MM-rallia
-
11:55
Kirjeenvaihtajan kommentti: CIA:n johtajalta kylmäävä varoitus – Ukrainan kohtalo riippuu yhdestä Trumpia tukevasta republikaanista
-
11:47
Tähän nopeusrajoitukseen suhtaudutaan liikenteessä piittaamattomimmin – "Ei voi ajaa fysiikan lakeja karkuun"
-
11:45
Valtteri Bottakselta hieno veto – sade väritti F1-sprintin aika-ajoja
-
11:44
Hälytysajossa ollut ambulanssi ajoi traktorin perään Siikajoella: Törmäys niin kova, että traktori kaatui
-
11:35
Rallitähden autosta tuli silmänräpäyksessä ruohonleikkuri – "Kaikki tuurit käytetty!"
-
11:20
Allman Brothers Bandin perustaja Dickey Betts on kuollut
-
11:15
Lunta luvassa: Ilmatieteen laitoksen mukaan maastopalokausi kuitenkin alkanut
-
10:49
Lumipyry vyöryy Suomeen ja ensi viikolla lunta tulee lisää – Pekka Pouta: "En muista eläessäni"
-
10:45
Venäjä tehnyt suuren ilmahyökkäyksen – Ukraina kertoo ampuneensa alas pommikoneen
-
10:44
Nappaa talteen ensimmäisessä Olet mitä syöt -jaksossa nähdyt reseptit
-
10:38
Teemu Suniselta työn vienyt kuski tuli kuviin, MM-ralliselostamosta parahdus – "Pistää karvaalla tavalla sanattomaksi"
-
10:35
Iranilainen uutistoimisto: Maahan ei hyökätty ulkomailta
-
10:22
SM-liigassa säväyttänyt SHL-hyökkääjä palaa Suomeen
-
09:58
Miljoonat jäävät suomalaisilta lunastamatta – miksi panttipullo jää palauttamatta?
-
09:53
Öljyn hinta pompannut selvään nousuun Iraniin tehdyn iskun seurauksena – hermoilu tarttunut pörsseihinkin
-
09:49
Taylor Swift yllätti faninsa
-
09:40
Päivi Räsänen homoseksuaaleja koskevan kirjoittelunsa oikeuskäsittelystä: Jatkan taistelua sananvapauden puolesta
-
Lataa lisää