Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 17. august 2007.
usikker En Google
G-mail-konto lader sig nemt aflytte.
Det har længe været velkendt, at kombinationen af en ukrypteret webforbindelse og et åbent og ukrypteret trådløst adgangspunkt ikke er nogen god ide, hvis man ønsker uaflyttet kommunikation.
Nu har sikkerhedseksperter imidlertid fundet en uhyre simpel måde at hacke sig ind på Gmail-konti.
G-mail er et af de mest udbredte webbaserede mailsystemer. Og det er også et af de nemmeste systemer at bryde ind i. Sådan lød meldingen nemlig fra sikkerhedseksperten Robert Graham fra firmaet Errata Security, da han demonstrerede den nemme indbruds-metode under den årlige Black Hat-konference i begyndelsen af måneden.
Sladrehanken hedder cookies
I al sin enkelhed går metoden ud på at kapre en brugers e-mail-konto ved at opsnappe de cookies, som Gmail genererer under en typisk brugersession. Når cookie-informationerne er afluret er det ikke engang nødvendigt at opsnappe loginnavn og password.
Robert Graham demonstrerede sit lille selvudviklede værktøj Ferret. Det er i stand til at indsamle cookies på et trådløst netværk. Et andet værkstøj, Hamster, er i stand til at importere de opsnappede cookies til angriberens browser, som derefter kan anvendes til at tilgå den ønskede e-mail-konto.
Firmaet Errata har gjort Ferret tilgængelsinvirksomhedens website og planlægger en lignende frigivelse af Hamster-programmet.
Vil man sikre sig mod den nemme aflytningsmulighed, gælder det fortsat, at det er nødvendigt at slå effektiv kryptering til ved forbindelse til et trådløst adgangspunkt. Supplerende eller alternativt kan webmailbrugere beskytte sig ved at bruge VPN-løsninger, som sørger for sikker afskærmning.
OriginalModTime: 20-08-2007 13:49:21
