maanantai 25. lokakuuta 2010

Firesheep räjäyttää evästeiden turvattomuuden silmille

Monien Internet-palveluiden käyttäjän istunnon eli käyttökerran hallinta tapahtuu sisäänkirjautumisen jälkeen evästeellä, englanniksi cookie-tiedostolla. Evästeiden tietoturvan puutteellisuus on jo kauan ollut asiantuntijoiden tiedossa. Nyt ajat ovat muuttuneet. Tietoturva-asiantuntija Eric Butler on eilen Toorcon 12 -tietoturvakonferenssissa julkaissut Firefox-selaimeen lisäosan nimeltä Firesheep.

Firesheep osaa kuunnella salaamattoman verkon, esimerkiksi salaamattoman WLAN-verkon liikennettä matalla tasolla ja tunnistaa siellä liikkuvasta datasta erilaisten Internet-palveluiden evästetiedostoja. Jos eväste löytyy Firesheepin ruutuun ilmestyy kyseisen tilin nimi ja käyttäjän avatar-kuva. Tiliä näpäyttämällä pääsee kirjautumaan sisään kyseisillä tunnuksilla.

Salaamattoman WLAN-verkon lisäksi ongelma on niissä verkoissa, joissa on vielä käytetty keskittimiä englanniksi hubeja työasemien kytkemiseen. Keskitin kaiuttaa kaiken sen läpi menevän liikenteen jokaiselle työasemalle, joten salakuunteleminen on mahdollista.

Olennainen ero aikaisempaan on se, että tämä menetelmä on vaatinut aiemmin syvää teknistä osaamista. Nyt tämä turva-aukko on kaikkien niiden käytettävissä, jotka osaavat asentaa Firefox-lisäosan.

Ladattava versio osaa tunnistaa seuraavien palveluiden evästeet: Amazon.com, Basecamp, bit.ly, Cisco, CNET, Dropbox, Enom, Evernote, Facebook, Flickr, Github, Google, HackerNews, Harvest, Windows Live, NY Times, Pivotal Tracker, Slicehost, tumblr, Twitter, WordPress, Yahoo, Yelp. Firesheepista Techcrunchiin kirjoitetussa artikkelissa kerrotaan lisäksi, että käyttäjällä on mahdollisuus muokata lisäosaa ja kirjoittaa uusia tunnistuskriteereitä.

Pikaisessa testissä en löytänyt kuitenkaan Twitteristä tätä ongelmaa: Suomen käyttäjiä näytetään palveltavan niin sisäänkirjautumisessa kuin varsinaisen istunnon (käytön) aikana salatulla https-protokollalla. Firesheep on kuitenkin riittävä motiivi tarkkailla entistä tarkemmin selaimen osoiteriviä: jos siellä ei koko aikaa lue https: -etuliitettä, on syytä miettiä, missä verkoissa palvelua käyttää. Oletusarvoisesti selainten pitäisi varoittaa kun siirrytään salatusta yhteydestä salaamattomaan. Jos kyseinen varoitus on kytketty pois päältä, se kannattaa kytkeä takaisin päälle tarkkailun helpottamiseksi.

Lue Eric Butlerin blogikirjoitus asiasta.

Miksi sitten kaikissa palveluissa ei ole salausta oletusarvoisesti salausta päällä? Syy on raha: salattujen yhteyksien toteuttaminen vaatii selvästi enemmän suorituskykyä käytettävältä palvelinkalustolta. Mainosrahoilla pelaaville, voittonsa maksimoiville, vastikkeetta käytettäville palveluille se näyttää olevan liikaa. Muun muassa Facebookissa on ryhmä, joka vaatii Facebookiin SSL-tukea.

1 kommentti:

Karri kirjoitti...

Googlen näkemys tuosta SSL:n lisäkuormasta: http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html