Ikke surf på åpne, trådløse nett!

Logger du inn uten at nettet er kryptert, kan andre kapre kontoen din.

Via et nettlesertillegg og et dobbeltklikk fikk artikkelforfatter logget inn på Facebook som en kollega. Skremmende.
Via et nettlesertillegg og et dobbeltklikk fikk artikkelforfatter logget inn på Facebook som en kollega. Skremmende. Vis mer
Publisert
Sist oppdatert
kanskje det sterkeste argumentet vi har sett for hvorfor du aldri, aldri, aldri bør koble deg på et ukryptert trådløst nettverk


Hvis du ikke har kryptert det trådløse nettet ditt hjemme (se faktakboks nederst i artikkelen), er du nødt til å gjøre det pronto, for etter en runde med den lille nettleserutvidelsen Firesheep sitter hele redaksjonen skrekkslagne tilbake.

Jeg har nemlig nettopp logget inn på Facebook som kollega Øivind Idsø. Fra min maskin.

Uten at jeg visste passordet hans.

I et kontrollert forsøk koblet vi oss begge opp på samme trådløse nettverk; et ukryptert sådan. Øivind logget seg så på Facebook på sin maskin, og i løpet av tideler fikk jeg beskjed i min nettleser om at Øivind hadde logget seg på Facebook. Et dobbeltklikk senere var jeg logget på Facebook - som Øivind.

Twitter funket like fint. Faktisk fungerte det enda bedre, for da Øivind logget seg ut av Facebook, fikk jeg ikke lenger brukt Facebook-sesjonen hans. Twitter, derimot, ser ikke ut til å destruere sesjonen på en like god måte, så han angrer fælt på å ha blitt med på forsøket, siden jeg fortsatt kan poste hva jeg vil fra Twitter-kontoen hans, endre brukernavnet hans til noe morsomt eller lese alle direktemeldingene hans.

SÅ ille kan det faktisk gå.
SÅ ille kan det faktisk gå. Vis mer


- Det er det verste jeg har sett, sa Øivind, som på tro og ære lover å kryptere det trådløse nettet sitt når han kommer hjem i ettermiddag.

Ikke surf på åpne, trådløse nett!


Kaprer andre sesjoner

Firesheep forenkler prosessen med å kapre andres sesjoner til det latterlige, og er kanskje det sterkeste argumentet vi har sett for hvorfor du aldri, aldri, aldri bør koble deg på et ukryptert trådløst nettverk. Å kapre en sesjon vil si at du kopierer informasjonen som lagres mellom en nettjeneste og brukeren slik at du kan fremstå som den samme brukeren overfor nettjenesten.

Firesheep er en utvidelse til Firefox som fungerer på Windows og OS X (Linux-versjon er rundt hjørnet). Når du starter det, får du opp en kolonne ved siden av nettleservinduet der du kan trykke start capturing-knappen. Da begynner maskinen din å sniffe etter datapakker fra andre maskiner i det samme trådløse nettverket. Merk at det kun fungerer dersom nettverket ikke er kryptert, og også bare dersom forbindelsen til nettstedet informasjonen sendes til ikke er kryptert (altså via http:// og ikke via https://).

Så fort noen logger seg på Facebook, Twitter, Google, Flickr, Amazon eller hva det måtte være (disse er inkludert i listen fra start, men du kan også legge til egne nettsteder), får du beskjed om det i sidestolpen, og i løpet av et dobbeltklikk er du innlogget som stakkaren som gikk med på eksperimentet.

Det er kanskje unødvendig å presisere det, men sitter noen med Firesheep kjørende på en café e.l. med et åpent, trådløst nett, kan de rett og slett kapre sesjonen til en hver som logger seg inn rundt om på nettet. Ikke at det er nytt, for så vidt - mulighetene har vært der lenge, men vi har sjelden sett det implementert så elegant som her.


Ikke bli neste offer

Så - hva kan du gjøre for å unngå å bli et bytte?

  • Bruk alltid https:// - Sørg for at forbindelsen til nettstedet du logger på er kryptert. Mange nettsteder har støtte for SSL-forbindelse selv om de ikke bruker det default - med andre ord; bruk f.eks. https://facebook.com i stedet for http://facebook.com osv.
  • Til Firefox finnes HTTPS Everywhere, som alltid bruker https-forbindelse når det er tilgjengelig. Chrome-brukere kan teste ut Secure Login Helper.
  • Ikke bruk ukrypterte, trådløse nettverk - Dersom du skal bruke et trådløst nettverk, bør du påse at dette er kryptert; som regel illustrert med et lås-ikon, en nøkkel e.l. avhengig av operativsystem og programvare du eventuelt bruker for å logge deg på. Da vil ikke Firesheep kunne gjøre jobben sin. Dog finnes det andre teknikker for å fange opp nettverkstrafikk (og ikke nødvendigvis bare mellom deg og ruteren), så du er aldri sikker når du sender ukrypterte data (altså via http://) til en nettjeneste.
Trenger du å overbevise noen, kan du demonstrere med Firesheep (OSX/Windows).

Men vær grei, da!

(Vil du være ekstra grei bruker du "del saken"-knappen under så budskapet blir spredd til så mange som mulig.)

Er nettet kryptert?

  • I et trådløst nettverk kommuniserer de ulike enhetene med ruteren via radiosignaler.
  • Disse kan enten være krypterte eller ikke krypterte.
  • I et kryptert nett trenger du et passord for å få koblet deg på nettet.
  • Når du oppgir riktig passord, opprettes det en hemmelig nøkkel mellom ruteren og enheten som logger seg på.
  • Trafikk i mellom de to blir så kryptert slik at tredjeparter ikke kan fange opp data som utveksles mellom enheten og ruteren.
  • Denne artikkelen omhandler ukrypterte nett, altså der du ikke trenger et passord for å logge deg på selve nettet. Dette er uavhengig av om tilbyderen av nettet krever visakortbealing for å få bruke nettet etc. Så lenge du får koblet deg på uten å oppgi et passord, er forbindelsen ukryptert. Dette er ganske vanlig på hoteller, kafeer o.l.
  • Merk at ikke alle krypteringer er sikre. Blant annet er det ganske lett for en hacker å finne WEP-passordet dersom du har valgt denne krypteringsmetoden.
  • Les mer: WEP eller WPA?
  • Merk også at det sikreste er å bruke https://-oppkoblinger. Selv om nettet bruker WPA-kryptering finnes det andre metoder for avlytting dersom du sender data i klartekst til en nettjeneste.

  • Vi bryr oss om ditt personvern

    dinside er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

    Les mer