Firesheep פורץ לכם לפייסבוק
אתם יודעים שאסור לגלוש ברשת WiFi פומבית ולא מוגנת, כי כולם רואים לכם את הסיסמאות, נכון? מה, לא ידעתם? אם כך, מישהו עם פיירשיפ כבר נמצא לכם בפייסבוק
את פיירשיפ כתב אריק באטלר, מתכנת שנמאס לו מההפקרות של השירותים הגדולים ומחוסר הידע של הגולש, וידע שרק בכוח אפשר להגיע ללב הגולש. פיירשיפ, מאוד בקצרה, מאפשר לכם לקבל גישה לחשבונות של מי שגולש איתכם באותה רשת.
לאלו חשבונות אפשר להגיע? פייסבוק, פליקר, טוויטר, חשבון הגוגל שלכם ועוד - כל מי שלא טורח להצפין אצל הגולש את הקובץ הנשתל אצלו בכל פעם שהוא מתחבר לשירות (או session cookie). האשמה היא אצל השירותים, לא אצלכם: גוגל ופייסבוק מדברים הרבה על פרטיות הגולש, אבל לא טורחים לתת לו הגנה נאותה, ולהצפין את החיבור של הגולשים.
פיירשיפ, צילום מסך. משמאל: התוכנה תופסת חשבונות גוגל, פייסבוק, טוויטר ופליקר
הרעיון של באטלר קצת יצא מידי שליטה. ההתראה עבדה - אבל בדרך התגלה שפיירשיפ היא כלי שימושי ביותר בידי מי שרוצה לעשות נזק. באטלר השיק את התוסף שלו ב-24 באוקטובר, בכנס האבטחה Toorcon; תוך יומיים הורידו אותו 220 אלף גולשים, לפי דיווחים (פיירשיפ לא נכלל באתר ההורדות הרשמי של מוזילה לפיירפוקס).
איך מתגוננים?
מה שכן נכלל באתר הרשמי של מוזילה הוא BlackSheep, תוסף שמראה לכם אם מישהו אחר ברשת משתמש בפיירשיפ. אם כן, תצא הודעה כזו:
בלאקשיפ הוא שירות נחמד - אבל הוא יגן עליכם רק מפני פיירשיפ. כל האקר יכול לכתוב כלי אחר, שיעשה עבודה יותר טובה (מי שהתגלה כהאקר כזה היה גוגל, שבטעות או שלא בטעות אספה מידע וסיסמאות של אלפי משתמשים כשצילמה את הרחובות בניידת ה-StreetView שלה. גוגל התנצלה על המקרה. אבל לא כולם גוגל).
פיתרון שני - וחכם מאוד - הוא לא להתחבר לשום שירות מוגן בסיסמה ברשת ציבורית. הפיתרון הזה מרגיז, כי הכי כיף לגלוש לפייסבוק בזמן הרצאה משעממת באוניברסיטה, או במקום לעבוד בבית הקפה - אבל הוא יגן עליכם גם אם אתם לא מוכנים להשקיע ידע ומאמץ בהגנה חכמה יותר.
מהי הגנה חכמה יותר? לעשות את מה שהאתרים לא עושים, ולהצפין את התקשורת שלכם איתם. התוסף Force-TLS מכריח אתרים מסוימים לעבוד עם פיירפוקס בתקשורת מוצפנת (כלומר בפרוטוקול HTTPS, זה שגורם לדפדפנים מסוימים להציג לוגו של מנעול ליד כתובת האתר). זה, מן הסתם, לא תמיד יעבוד.
הפיתרון הרציני יותר הוא שירות VPN, שמאפשר לכם ליצור "צינור בטוח" ביניכם ובין האתרים שאתם גולשים אליהם על ידי הצפנת המידע שאתם שולחים החוצה. הרבה חברות משתמשות בשירותי VPN לתיבות הדואר האלקטרוני שהן מספקות לעובדים שלהן - אבל אתם יכולים להתחבר לשירות VPN פרטי לכל עניין. חלקם ניתנים בחינם, וחלקם עולים כמה דולרים בודדים בחודש. (עוד יתרון הוא הצפנה של תקשורת ה-P2P, שירותי הורדות קבצים כמו ביטורנט ואימיול, כך שהספקיות לא יוכלו לדעת מה עובר ברשת שלכם). הנה רשימה אחת כזאת, אבל ynet מחשבים לא ממליץ על שירות ספציפי - הרשת מלאה בהם.
פיתרון נוסף, בטוח מאוד, אבל בינתיים יקר מדי, הוא לרכוש מספקיות הסלולר מודם סלולרי ולהשתמש בו כשאתם גולשים במקומות ציבוריים. המהירות תסבול - לא תצליחו להוריד סרטים ומוזיקה באמצעות השירות הזה - אבל הרווח הוא גלישה בטוחה הרבה יותר.
אחרית דבר
ביום שני נערך במרכז הבינתחומי בהרצליה כנס שעסק בטרור קיברנטי. נכחה שם הצמרת הבטחונית של ישראל, מומחי האבטחה שלה, וכן לא מעט האקרים, האקרים חובבים, ואלו שהיו רוצים להיות האקרים. הבלוגר Brian Of London משתייך לקבוצה הלפני-אחרונה, של האקרים חובבים. הוא הריץ את Firesheep בכנס. במושב הראשון הוא הרוויח חמישה חשבונות. במושב השני המצב השתפר: המספר עלה לתשעה. (לדיווח של בריאן בבלוג שלו).
צילום התוצאה, באדיבות Brian of London מהכנס. חלק מהפנים המטושטשות מוכרות לציבור