Artikel top billede

DK-CERT: Undgå at blive offer for Firesheep

Firefox-udvidelsen Firesheep gør det let at misbruge usikre trådløse netværk til at hacke sig ind på andres konti. Brug SSL og VPN til at beskytte dig mod angreb, skriver Shehzad Ahmad fra DK-CERT.

Da Firesheep dukkede op i slutningen af oktober, vakte det megen opmærksomhed i sikkerhedskredse.

Ganske vist afslører programmet ingen nye sikkerhedshuller. Men det gør det ekstremt nemt at misbruge den manglende sikkerhed i åbne trådløse lokalnet.

Når man har installeret programmet i Firefox, klikker man på en knap. Hvis man sidder på et aktivt trådløst netværk, går der ikke længe, før den første bruger dukker op med navn og foto på skærmen.

Hvis man vil logge ind som vedkommende på fx Facebook, skal man bare klikke på profilbilledet.

Så let er det.

Som nævnt er det velkendt, at data sendt på et ukrypteret trådløst net kan opsnappes af alle andre på nettet. Men hidtil har det krævet en vis teknisk viden at få noget ud af data.
Med Firesheep kan enhver, der kan installere en udvidelse til Firefox, hacke andres konti.

Det gør det ikke lovligt. Det er stadig i strid med lovgivningen at få adgang til it-systemer, som man ikke er autoriseret til at bruge.

Brug kryptering

Hvad kan man gøre for at beskytte sig?

Den enkleste løsning er naturligvis at undlade at benytte trådløse netværk uden kryptering.

Desværre er det ikke altid en mulighed. Hvis man har brug for at være online, og den eneste mulighed er den lokale cafes netværk, så må man bruge det.

Næste mulighed er så kun at benytte websteder, der anvender SSL (Secure Sockets Layer) til at kryptere kommunikationen mellem browser og server. Det kræver blot, at udbyderen af tjenesten understøtter SSL (eller HTTPS, som er webtrafik over SSL).

Dette råd kom mange sikkerhedsfolk med, da Firesheep blev kendt.

Derfor virker det ikke altid i praksis

Desværre kunne en sikkerhedsforsker ved navn George Ou oplyse, at den løsning ikke altid virker i praksis.

Han har nemlig opdaget, at mange websteder ikke bruger SSL til al kommunikation.

Der skal blot et lille hul til, før beskyttelsen er værdiløs.

Blandt dem, der ikke bruger SSL effektivt, er Facebook og Twitter.

Abonner på VPN

En tredje løsning kræver, at man har forberedt sig hjemmefra: Man skal have adgang til et VPN (virtuelt privat netværk), som man kan kommunikere igennem.

Så krypteres al kommunikation mellem pc'en og VPN-serveren.

Mange virksomheder tilbyder medarbejderne VPN. Desuden kan man abonnere på VPN-tjenester, både gratis og mod betaling.

En fremtidig løsning

Hele problemet ligger i, at det er svært at forene sikkerhed og brugervenlighed. Det gode ved et åbent netværk er, at det er ligetil at bruge.

Sikkerhedsfolk har derfor overvejet, om man kan finde en måde at give adgang til kryptering, uden at alle skal kende det samme password.

Takehiro Takahashi og Tom Cross fra IBM Internet Security Systems foreslår, at man implementerer en SSL-lignende løsning til trådløs kommunikation: Et access point udstyres med et certifikat, der beviser, at det har retten til at udbyde et bestemt SSID (Service Set Identifier).

Man kunne for eksempel lade SSID'et være det samme som et domænenavn, så ejeren af computerworld.dk også har certifikat på SSID'et af samme navn.

Det er endnu for tidligt at sige, om ideen bliver til virkelighed. Forskerne regner med at offentliggøre mere om den i løbet af et par måneder.

Indtil da er mit råd, at du bruger VPN, når du anvender usikre trådløse lokalnet.

Jeg er klar over, at det kan være et svært råd at følge for brugere uden it-ekspertise.

Men som det fremgår ovenfor, er alternativerne desværre ikke effektive.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed.

DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet. DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.
Shehzad Ahmad opdaterer hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere