maanantai 25. lokakuuta 2010

Firesheep räjäyttää evästeiden turvattomuuden silmille

Monien Internet-palveluiden käyttäjän istunnon eli käyttökerran hallinta tapahtuu sisäänkirjautumisen jälkeen evästeellä, englanniksi cookie-tiedostolla. Evästeiden tietoturvan puutteellisuus on jo kauan ollut asiantuntijoiden tiedossa. Nyt ajat ovat muuttuneet. Tietoturva-asiantuntija Eric Butler on eilen Toorcon 12 -tietoturvakonferenssissa julkaissut Firefox-selaimeen lisäosan nimeltä Firesheep.

Firesheep osaa kuunnella salaamattoman verkon, esimerkiksi salaamattoman WLAN-verkon liikennettä matalla tasolla ja tunnistaa siellä liikkuvasta datasta erilaisten Internet-palveluiden evästetiedostoja. Jos eväste löytyy Firesheepin ruutuun ilmestyy kyseisen tilin nimi ja käyttäjän avatar-kuva. Tiliä näpäyttämällä pääsee kirjautumaan sisään kyseisillä tunnuksilla.

Salaamattoman WLAN-verkon lisäksi ongelma on niissä verkoissa, joissa on vielä käytetty keskittimiä englanniksi hubeja työasemien kytkemiseen. Keskitin kaiuttaa kaiken sen läpi menevän liikenteen jokaiselle työasemalle, joten salakuunteleminen on mahdollista.

Olennainen ero aikaisempaan on se, että tämä menetelmä on vaatinut aiemmin syvää teknistä osaamista. Nyt tämä turva-aukko on kaikkien niiden käytettävissä, jotka osaavat asentaa Firefox-lisäosan.

Ladattava versio osaa tunnistaa seuraavien palveluiden evästeet: Amazon.com, Basecamp, bit.ly, Cisco, CNET, Dropbox, Enom, Evernote, Facebook, Flickr, Github, Google, HackerNews, Harvest, Windows Live, NY Times, Pivotal Tracker, Slicehost, tumblr, Twitter, WordPress, Yahoo, Yelp. Firesheepista Techcrunchiin kirjoitetussa artikkelissa kerrotaan lisäksi, että käyttäjällä on mahdollisuus muokata lisäosaa ja kirjoittaa uusia tunnistuskriteereitä.

Pikaisessa testissä en löytänyt kuitenkaan Twitteristä tätä ongelmaa: Suomen käyttäjiä näytetään palveltavan niin sisäänkirjautumisessa kuin varsinaisen istunnon (käytön) aikana salatulla https-protokollalla. Firesheep on kuitenkin riittävä motiivi tarkkailla entistä tarkemmin selaimen osoiteriviä: jos siellä ei koko aikaa lue https: -etuliitettä, on syytä miettiä, missä verkoissa palvelua käyttää. Oletusarvoisesti selainten pitäisi varoittaa kun siirrytään salatusta yhteydestä salaamattomaan. Jos kyseinen varoitus on kytketty pois päältä, se kannattaa kytkeä takaisin päälle tarkkailun helpottamiseksi.

Lue Eric Butlerin blogikirjoitus asiasta.

Miksi sitten kaikissa palveluissa ei ole salausta oletusarvoisesti salausta päällä? Syy on raha: salattujen yhteyksien toteuttaminen vaatii selvästi enemmän suorituskykyä käytettävältä palvelinkalustolta. Mainosrahoilla pelaaville, voittonsa maksimoiville, vastikkeetta käytettäville palveluille se näyttää olevan liikaa. Muun muassa Facebookissa on ryhmä, joka vaatii Facebookiin SSL-tukea.

keskiviikko 6. lokakuuta 2010

Ubuntu 10.10. julkaisutapaaminen @Demola, Tampere

Linux-jakelu Ubuntun uusi versio julkaistaan ensi sunnuntaina. Versio ja julkaisupäivä ovat sama numerosarja: 10.10.

Koska sana "ubuntu" merkitsee näkemystä, jonka mukaan voimme elää ihmisinä vain toisten kanssa yhteisössä, toteutamme ajatusta kokoontumalla.

Tervetuloa ihmettelemään Ubuntun uutta versiota 10.10., koodinimi Maverick Meerkat, Tampereelle Demolaan, Väinö Linnan aukio 15 sunnuntaina 10.10. kello 17 alkaen. Luvassa ei ole mitään isoja juhlallisuuksia tai pönötystä vaan ihan kotikutoinen teknologiaorientoitunut tilaisuus Ubuntu-käyttäjille, jotka haluavat nähdä toisiaan myös elävässä elämässä.

Näin löydät Demolaan.


Olen valmistautunut esittelemään uutuuden ominaisuuksia myös netissä - verkkolähetys päästään aloittamaan kello 18. Lisään osoitteen tähän blogiin ja Vapaasuomi.fi:ssä olevaan ilmoitukseen kun käytettävä väline on selvillä.

Lisätietoja: elias.aarnio@innopark.fi, IRC: elias_a (IRCnet + Freenode-verkot)

Tervetuloa!