Firesheep

Tämä on tarkoitettu ainoastaan informaatio ja opetustarkoitukseen, älä käytä mitään oppimaasi pahantahtoisesti tai lakia rikkoen.

Aina välillä tulee vastaan jotain, joka herättää muutkin kuin tietoturva-alan ammattilaiset siihen vaaraan, joka salaamattoman internetin käytössä on hyvinkin todellinen.

Aina välillä tulee vastaan jotain, joka herättää myös meidät tietoturva-alan ammattilaiset muistuttamaan näistä vaaroista ja kertomaan kuinka helppoa vaikka Facebook istunnon kaappaaminen evästeen avulla on.

Tänään Toorcon 12 messuilla Eric Butler julkaisi työkalun nimeltä Firesheep, kyseinen työkalu mahdollistaa salaamattomassa verkossa aktiivisen istunnon kaappaamisen tuplaklikkauksella. Jos se kuulostaa monimutkaiselta, selitän hetken päästä kuvilla. Ensin kuitenkin kyseisen tuotteen toimintaperiaatteesta hieman:

Kirjautuessa webbipalveluun (Facebook, Twitter, Amazon jne), käytetään käyttäjätunnus ja salasana paria, jonka olemassaolon webbipalvelin tarkastaa tietokannastaan ja vastaa evästeellä. Selain käyttää kaikkiin kirjautumista seuraaviin kyselyihin tuota evästettä tai keksiä(cookie). On hyvin yleistä, että tämä alustava kirjaantuminen salataan, jotta salasana ei joutuisi vääriin käsiin ja palvelun käyttäjä olisi turvassa. Tämän jälkeen palvelut usein palaavat salaamattomaan HTTP yhteyteen. Tämä jättää käyttäjän keksin suojaamattomaksi ja avoimissa verkoissa mahdollistaa niin kutsutut Sidejacking (HTTP session hijacking) hyökkäykset, jossa hyökkääjä nappaa vaikka ilmaisen wlanin yli heiteltävät keksit omaan, usein pahantahtoiseen, käyttöönsä. Käytännössä antaen hyökkääjälle kaikki uhrin oikeudet käytettävään palveluun.

Tämä on laajalti tiedossa oleva ongelma enkä ota siihen kantaa muuten, kuin toteamalla että ainoa toimiva keino suojautua hyökkäysmenetelmää vastaan on täysi point-to-point salaus, netissä paremmin tunnettu HTTPS ja SSL protokollina.

Nyt päästään lupaamiini kuviin, Firesheep on siis Firefoxiin asenettava sivupalkki joka tunnistaa samassa verkossa liikennöivät keksit, ja demoaa kätevästi kuinka vakavasta ongelmasta on kyse:

Firesheep dem

Firesheep asentuu kenelle tahansa Firefoxin käyttäjälle joka osaa asentaa lisäosan. Start Capture napin painamisen jälkeen se tunnistaa pitkän listan* webbipalveluita joista tämä kekseihin perustuva heikkous löytyy. Tunnistaessa tuetun palvelun se tuo kirjautuneen käyttäjän kuvan ja palvelun tiedot näkyviin sivupalkkiin.

Firesheep running

Tuplaklikkaamalla käyttäjän kuvaa ja nimeä, kirjaudutaan kyseessä olevaan palveuun, kyseisenä käyttäjänä. Jonka jälkeen hyökkääjä on vapaa tekemään tilillä mitä haluaa.

Firesheep logged in

Jokainen voi miettiä vaikka että Firesheepin asentanut henkilö kävelisi ilmaista wlania tarjoavaan kirjastoon tai kahvilaan ja pitäisi tuota käynnissä vaikka 15 minuuttia, kuinkakohan moni pahaa aavistamaton kannettavan käyttäjä olisikin yhtäkkiä identiteettivarkauden uhri?

Pysykää turvassa ja käyttäkää salattuja yhteyksiä, avoimet wlanit on taas näin paljon turvattomampia eikä sidejacking hyökkäyksen tekemiseen tarvita enään juurikaan taitoa.

* Firesheepin skouppi on hämmästyttävän laaja, se on kirjoitettu ymmärtämään keksejä seuraavista Amazon.com, Basecamp, bit.ly, Cisco, CNET, Dropbox, Enom, Evernote, Facebook, Flickr, Github, Google, HackerNews, Harvest, Windows Live, NY Times, Pivotal Tracker, Slicehost, tumblr, Twitter, WordPress, Yahoo, Wow – ja se on vasta oletusasetuksilla. Kaikki osaavat voi kirjoittaa omaan plugariinsa lisää sääntöjä.

Facebook kutsu kaikki kaverit ryhmään: Maaliskuu 2011 päivitys

Update: Vanha puukotus ei enään toiminut, eikä uusikaan toimi HTTPS salauksen ollessa päällä.

 

Lisää väärinkäyttö ohjeita, mua ainakin on facebookissa useasti ärsyttänyt se että kaikkia kavereita ei voi kutsua ryhmään tai tapahtumaan mukaan. On tilanteita jossa valitse kaikki mahdollisuus yksinkertaisesti helpottaisi elämää huomattavasti.

Kaikkien valitseminen onnistuu suhteellisen vaivattomasti kun vaan muistaa että facebook on suureksi osaksi koodattu javalla. Tämä mahdollistaa javascript puukotukset suoraan selaimen URL kentästä. Boratin sanoin, Great success.

Pienen pohtimisen jälkeen päädyin seuraavanalaiseen koodipätkään tuon valitse kaikki toiminallisuuden toteuttamiseksi.

Versio 1:

javascript:elms=document.getElementsByName(“checkableitems[]”);for (i=0;i<elms.length;i++){if (elms[i].type=”checkbox” )elms[i].click()};

Ohjeet asiaan vihkiytymättömille, alku olettaa että olet jo valmiiksi ryhmässä tai eventissä johon haluat kutsua ihmisiä.

1. Valitse invite friends to event kotimaisella kielelläsi.

2. Scrollaa alas asti, facebook ei lataa kuin 100 ensimmäistä kaveria alkuun.

3. Tyhjennä selaimen URL rivi

4. Liitä tältä sivulta kopioimasi koodinpätkä URL  kenttään

5. Odota hetki, tuon suorittamiseen voi mennä eri paljon aikaa riipuen kavereiden määrästä.

6. Lähetä kutsu kaikille kavereille.

Versio 2:

javascript:javascript:var elms=document.getElementsByName(“checkableitems[]”);for(var count=0;count<elms.length;count++){var t = setTimeout(“elms[“+count+”].click()”,100)

Tuon tulisi ohittaa sadan ensimmäisen kaverin ongelma, ja mahdollistaa kaikkien valitsemisen ilman scrollausta.

Facebook chat, hymiöt.

Facebookin chätissä on jonkun verran “piilotettua” toiminallisuutta. Käytänössä facebookin kehittäjät ei esim mainosta missään mitkä hymiöt siellä toimivat. Keräsin alle tuon tiedon siitä kiinostuneille. Toivottavasti näistä on muillekin hyötyä.

:) – Hymynaama
:( – Surunaama
:P – Kielisuusta
:D – Nauraa
:O – omg
;) – wink wink
8) – cool
8| – Aurinkolasit
B) – Silmälasit
>:( – Vihainen
: – eh
:'( – Kyynel
3:) – Paholainen
O:) – Enkeli
:-* – Pusu
<3 – Sydän (toimii muussakin kun chätissä)
^_^ – Onnellinen
-_- – Aasialainen / Unelias
O.o – W00t
>:o – Suuttunut
:v – pac man
:3 – Yrittää pidätellä naurua/ paha olo
:|] – Robotti
:putnam: – Random Dude (Chris Putnam*)
(^^^) – Haikala
<(“) – Pingu
:42: – vastaus kysymykseen elämästä, maailmankaikkeudesta ja kaikesta muusta sellaisesta
(y) – Peukku ylös

*Chris Putnam

Pyöritti aikoinaan internet tv kanavaa GBStv ja kirjoitti madon joka muutti facebookin, FaceSpace:ksi, halvaksi myspace kopioksi. Mark Zuckerberg:in ja kumppaneiden huomatessa ne päätti ottaa sen töihin.  Nykyään mies todenäköisesti kylpee rahassa.

Ja muu toiminallisuus:

Sanoja saa boldattua sijoittamalla tähden sanan kummalekkin puolelle. (esim. *bold*)
Alleviivaus tulee alaviivasta sanan kummalakin puolella. (esim. _underline_)

Kaverin naamasta hymiö:

1. Avaa chat-ikkuna.
2. Kirjoita ikkunaan esimerkiksi [[tietoisuus]] (tuplahakasulun sisään kirjoitetaan siis proofilin nimi tai numero)
3. Lähetä viesti
4. Keskustelussasi on nyt minun profiilikuvani.

Ominaisuus ei toimi puhelimella Facebookia käyttäessä eikä päivityksissä tai seinällä.

Omien kasvojen käyttöä hymiönä ei voi estää mitenkään.

Tässä muutamia ideoita hymiöiksi:
Tissit [[194168580637787]]
(Chuck Norris) [[46637413257]]
[[WilliamShakespeare1]]
[[CaptainJackSparrow]]
[[barackobama]]
(Ryan Gosling) [[246631252031491]]
[[JustinBieber]]
[[BobMarley]]
[[simoncowell]]
[[VinDiesel]]
[[Zuck]]
[[DonaldTrump]]
(David Hasselhoff) [[123670240998921]]
[[TheMagicOfSantaClaus]]
[[Nickelback]]
[[CharlieSheen]]
Fry from Futurama [[[278104690058]]
Poker face [[129627277060203]]
Forever Alone [[227644903931785]]
OK guy [[100002752520227]]
Me Gusta [[164413893600463]]
Lol guy [[189637151067601]]
Fuck Yeah [[105387672833401]]
Problem? [[171108522930776]]

Boonuksena vaikka nuotit jotka saa alt+13 (♪) ja alt+14 (♫) yhdistelmillä.

Jos tykkäsit, älä unohda kiittä.

Update: Lisätty facebookin sivuista hymiöiksi muokkaaminen.