Näin helposti Facebook-tilillesi murtaudutaan - katso videolinkki

Yhteisöpalvelu Facebookin käyttöön liittyvät tietoturvauhkat ovat olleet herkeämättä median hampaissa. Uusin uhka koskee Facebookin lisäksi myös monia muita sivustoja, joissa yhteyksien suojauksista ei ole huolehdittu riittävästi.

Firefox-selaimeen on nimittäin nyt julkisesti saatavilla Firesheep-lisäosa, jonka avulla julkisia Wi-Fi -verkkoja käyttäviä ihmisiä voi tehokkaasti vakoilla. Käytännössä vakoilu onnistuu suojaamattomien sivujen evästeiden (cookies) avulla.

Firesheep-lisäosa tunnistaa useita suosittuja sivustoja, jotka ovat alttiina hyökkäyksille julkisissa langattomissa verkoissa. TechCrunch teknologiasivusto kertoo, että tällaisia palveluita ovat Facebookin lisäksi mm. Twitter, Flickr, Tumblr sekä Yelp. Noin vuorokauden aikana Firesheepiä on ladattu yli satatuhatta kertaa.

Firesheepin kehittäjä Eric Butler kertoo olevansa häkeltynyt saamastaan huomiosta, vaikka hän kyllä odotti herättävänsä ohjelmallaan keskustelua. Hänen mukaansa vakoiluohjelman julkistamisen perimmäinen tavoite oli epäitsekäs: Butler toteaa, että krakkerit käyttivät jo entuudestaan hyväksi kyseistä haavoittuvuutta. Tekemällä vakoilun helpoksi myös tavalliselle netin käyttäjälle hän halusi nostaa asian kaikkien tietoisuuteen ja pakottaa sivustoja nostamaan tietoturvaansa. Butler kieltää, että hänen suosituksi ampaissut ohjelmansa muuttaisi viattomista tietokoneenkäyttäjistä pahoja verkkovakoilijoita.

Murtautuminen on äärimmäisen helppoa

Butler kertoo blogissaan miten helppoa salaamattomaan HTTP-yhteyteen murtautuminen on Firesheepin avulla:

Verkkopalveluihin kirjauduttaessa kirjoitetaan alkuun yleensä käyttäjänimi ja salasana, joka kyllä tapahtuu salatulla yhteydellä. Monet sivustot eivät kuitenkaan salaa yhteyttä tämän jälkeen. Tällöin palvelun lähettämä eväste (ja samalla käyttäjä) jää haavoittuvaksi hyökkäyksille.

HTTP-istunnon kaappauksessa hyökkääjä saa siis haltuunsa käyttäjälle tarkoitetun evästeen, jolloin hyökkääjä voi tehdä kyseisellä verkkosivulla mitä tahansa. Avoimissa langattomissa verkoissa evästeet kirjaimellisesti liitelevät ilmoilla, joten väliin on helppo päästä ja hyökkäys erittäin helppo toteuttaa.

Butler toteaa, että ongelma on laajasti tiedossa, mutta monet hyvin suositut sivustot eivät ole silti tehneet riittävästi töitä käyttäjiä suojatakseen. Butlerin mukaan ainoa tehokas ratkaisu olisi ottaa käyttöön palvelun alusta loppuun kattava HTTPS- tai SSL-salaus.

Markkinoilla on kuitenkin onneksi olemassa ohjelmia, jotka pakottavat suojaamattomatkin palvelut käyttämään salausta jatkuvasti eikä vain salasanojen lähettämisen aikana. Tällöin Firesheeppiä käyttävä vakoilija ei pääse tunkeutumaan tileille.

Osallistu keskusteluun

Palautelomake

ruusuja
risuja
kysymys
ehdotus

*

Kiitos palautteestasi!

Valitettavasti emme ehdi vastata jokaiseen viestiin henkilökohtaisesti.

Palautteen jättäminen ei onnistunut

Yritä hetken päästä uudelleen.