V októbri 2010 vystrašila mnohých používateľov internetu malá aplikácia Firesheep, ktorá sa dokázala “nabúrať” do vašich účtov na stránkach sociálnych sietí. Prišla v podobe plug-inu pre Firefox a v momente dokázala odchytiť vašu Facebook, Twitter, Flickr alebo Amazon reláciu (session), ak ste boli pripojení cez nezabezpečenú wifi sieť.
S podobným konceptom však teraz niekto prišiel do sveta mobilných telefónov v podobe Android aplikácie FaceNiff. Táto aplikácia funguje na rovnakom princípe ako jej predchodca pre PC – po pripojení na sieť aplikácia nájde identifikátory relácií (session IDs) a získa vďaka ním prístup k vašim Facebook, Twitter a YouTube účtom. Aplikácia síce funguje iba na niektorých telefónoch a pre svoje spustenie potrebuje rootnutý Android telefón, ale to už pre mnohých dnes nie je prekážkou. Podľa všetkého aplikáciu nezastaví ani zabezpečenie wifi siete, a poradí si aj so zabezpečením WEP, WPA a WPA2.
Aplikácie ako FaceNiff nútia stránky sociálnych sietí, aby zabezpečili svoje internetové služby protokolom SSL, ktorý znemožní špehom prezerať vaše dáta lietajúce hore-dole na wifi sieťach. Facebook aj Twitter už možnosť použitia zabezpečeného protokolu pridali do svojich nastavení, ale mnohí o nich nevedia. Ako na to?
Zapnutie HTTPS na Facebooku
Od 26. januára 2011 Facebook ponúka možnosť používať web stránku a iné služby s ochranou protokol HTTPS. Nad zapnutím tejto možnosti by ste mali pouvažovať, ak chodíte často na Facebook cez verejné internetové siete, napr. v kaviarňach, na letiskách, v knižniciach, či v školách. Túto možnosť nájdete v sekcii “Bezpečnosť účtu”, kam sa dostanete po kliknutí na “Účet” v pravom hornom rohu stránky a v zobrazenom menu kliknete na “Nastavenia účtu”. Musíte zaškrtnúť voľbu “Zabezpečené prehliadanie (HTTPS)”. Viac o bezpečnosti Facebooku na Facebook blogu.
Zapnutie HTTPS na Twitteri
Na Twitteri si zapnete vynútenie zabezpečeného pripojenia HTTPS tak, že v pravom hornom rohu kliknete na svoje meno, z menu, ktoré sa ukáže vyberiete “Settings,” a na zobrazenej stránke zaškrtnete možnosť “Always use HTTPS,” ktorá sa nachádza na spodku stránky. Toto zvýši zabezpečenie vášho účtu a informácií pri používaní Twitteru cez nezabezpečené internetové pripojenie, ako verejná wifi sieť, kde môže niekto pomocou správnych nástrojov sledovať vašu aktivitu. V budúcnosti chce Twitter zapnúť toto nastavenie pre všetkých používateľov. Viac na Twitter blogu.
Ak ste o týchto nastaveniach doteraz nevedeli alebo ste si mysleli, že nie sú také dôležité, tak vám odporúčame si ich zapnúť. Je pravda, že takéto zabezpečenie trošku spomalí komunikáciu so serverom, ale to bežný človek ani nepocíti, a určite to stojí za ochranu údajov o vašom súkromí. Na nasledujúcom videu si môžete pozrieť ako sa dá ukradnúť vaša Facebook relácia pomocou aplikácie FaceNiff, a napríklad pridať komentár vo vašom mene.
Viac o krádeži relácií: http://www.abclinuxu.cz/blog/zatial_bez_mena/2007/7/xss-plus-session-hijacking-hack-abclinuxu.cz
Zdroj: The Next Web
