Sarim in curtea HTTPS

Eliberarea, in data de 24 octombrie, a add-on-ului Firesheep pentru Firefox a starnit controverse in lumea online pentru ca permite accesarea conturilor neprotejate si este la limita legalitatii, afirma Computerworld.com.

Creata de catre Eric Butler, dezvoltator de aplicatii web din Seattle, SUA, aceasta utilitate permite scanarea retelelor Wi-Fi neprotejate de parola si interceptarea fisierelor cookie, pentru ca mai apoi sa afiseze toate conturile de Facebook, Twitter, Google, Yahoo si din alte retele.

Diferitele experimente realizate de catre Sharon Machlis, de la Computerworld si de catre Leo Laporte, detinatorul retelei “TWiT – This Week In Tech”, au relevat faptul ca neprotejarea retelelor Wi-Fi din fast-food-uri poate duce la violarea intimitatii datorita faptului ca Firesheep permite accesul la conturi, ca Facebook, unde se pot face modificari ale status-ului, dar nu si schimbari de parole.

Steve Gibson, realizatorul podcastului “Security Now” a afirmat ca una dintre cele mai simple metode de protectie este folosirea criptarii WPA, respectiv a unui user si a unei parole, chiar daca se acceseaza internetul de la un local public. In consecinta localurile publice ar urma sa afiseze userul si parola intr-un loc accesibil utilizatorilor.

Aceasta precautie ar fi necesara pentru ca Firesheep nu intercepteaza datele care sunt transmise folosind WPA.

Phil Malone, directorul scolii de Legislatie Cibernetica de la Centrul Berkman pentru Internet si Securitate, afirma ca instalarea si folosirea Firesheep este legala, dar accesarea conturilor personale ale altora fara voia lor este o ilegalitate.

Accesarea conturilor se datoreaza interceptarii fisierelor cookie care detin informatiile de logare pe diferite websituri de socializare. Practic, cine intra in posesia unui cookie si il foloseste este vazut de catre sistem ca fiind utilizatorul originar si ii permite accesul la cont. Websiturile de socializare ofera protectie cand se face logarea, dar nu si pe tot parcursul prezentei in retea.

Datorita recentelor accesari de conturi realizate cu Firesheep, Facebook a anuntat ca dureaza cateva luni pana va trece la oferirea serviciilor folosind in permanenta standardul HTTPS, varianta securizata a internetului din zilele noastre. HTTPS este folosit pentru criparea datelor la accesarea conturilor foarte sensibile unde se cer date personale si parole.

Conform Google, folosirea in permanenta a protocoluli securizat nu necesita infrastructura noua si nici nu realizeaza consum semnificativ de resurse, astfel ca ar putea fi folosit la scara larga de catre toate websiturile.

Din 24 octombrie pana acum s-au facut mai bine de 400 000 de descarcari de pe internet ale acestui add-on si este de asteptat ca rezultatele folosirii acestuia sa nu fie tocmai placute. Din fericire, pe langa metodele WPA si a folosirii HTTPS, un student islandez, pe nume Gunnar Sigurdsson, a creat FireShepherd, un program care inunda Firesheep cu o multime de pachetele de date nefolositoare pentru a nu-i permite accesul la conturi.

Este de asteptat ca si infractorii cibernetici sa foloseasca acesata utilitate ca sa testeze noi metode de a fura date confidentiale. Este evident faptul ca este pe cale sa devina un risc legat de securitate.

Ca si masura de protectie atunci cand folositi retele wireless din localuri publice este de preferat sa nu accesati conturile de pe websiturile de socializare. Detinatorii de localuri publice unde se ofera acces Wi-Fi ar trebui sa protejeze accesul cu parola pe care apoi sa o ofere clientilor.

Desi HTTPS este folosit cu precadere pentru conturi unde se afiseaza informatii confidentiale acest standard va fi pus in aplicare pentru uzul de zi cu zi in perioada urmatoare, in mod gradual. Lumea online avea nevoie de imboldul dat de Firesheep, care a pus pe jar o comunitate ingrijorata de securitatea pe internet.

Tags: browser web, cookie, firefox, Firesheep, Fireshepperd, HTTPS, internet, protectie, website, WPA