sunnuntai 31. lokakuuta 2010

Tulilammas tekee tietoturvahyökkäyksestä kansanhupia

Fire Sheep on selainlaajennos, joka tekee kauan tunnetun tietoturvaongelman (HTTP session hijacking) hyväksikäytöstä niin helppoa, että se mahdollistaa tietoturvahyökkäykset avoimissa WLAN-verkoissa kelle tahansa.

Avoimia WLAN-verkkoja tarjoavat yleisesti kaupat, kauppakeskukset, elokuvateatterit, kahvilat jne. Kun liityt tällaiseen verkkoon, kaikki koneeltasi lähtevä liikenne on muiden samassa verkossa olevien koneiden nähtävissä. Vaikka valtaosa nettipalveluista käyttää kirjautumistoimintoihin salattua https-yhteyttä, silti usein muuta surffailua palvelussa ei salata. Tämä mahdollistaa yhteyden kaappaamisen toiselle koneelle, joka on yhteydessä samassa tukiasemassa. Aiemmin tällaisen hyökkäyksen tekeminen on vaatinut osaamista, mutta ei enää. Fire Sheep on ohjelma, jonka kuka tahansa voi asentaa koneelleen ja tehdä helposti edellä kuvatun kaappauksen. Ohjelma on ollut saatavilla vajaan viikon ja sitä on ladattu jo lähes 500 000 kertaa.

Käytännössä fire sheep tarkoittaa seuraavaa:
1) Jos liityt tietokoneellasi tai kännykälläsi langattomaan verkkoon, jossa ei käytetä WPA-salausta, olet vaarassa
2) Jos kotitukiasemassasi ei ole salaus päällä, olet vaarassa

Vaarassa oleminen tarkoittaa sitä, että kun käytät esim. Facebookkia, Twitteriä, Flickriä tms. palvelua, johon kirjaudutaan käyttäjätunnuksella/salasanalla, kuka tahansa muu voi kaapata kirjautumisesi ja nähdä kaiken sisältösi, tehdä statuspäivityksiä, muuttaa suojausasetuksia jne. Myös salasanan voi muuttaa, mikäli palvelu ei pyydä salasanavaihdossa vanhaa salasanaa.

Fire Sheepin käyttö on tehty helpoksi: Selaimen vasempaan laitaan ilmestyy lista henkilöistä, jotka käyttävät palveluita samassa verkossa. Jopa heidän valokuvansa näytetään sivupalkissa. Jos tuplaklikkaat henkilöä, pääset käyttämään palvelua heidän nimissään.

Mistä tiedän, olenko turvassa?
Jos käytät langallista nettiä tai langatonta verkkoa jossa on WPA-salaus (kone kysyy salasanaa verkkoon liityttäessä, ei webbisivulla), olet turvassa.

Jos käytät verkkopalvelua, joka toimii kaiken aikaa osoitteessa “https://”, olet turvassa. Tällaisia palveluita ovat mm. Googlen sähköposti, kaikki verkkopankit ja verkkokaupoista esim. Stockmann.com.

Miten tässä näin kävi?
Jo netin alkuaikoina tunnistettiin tarve tietoturvalle ja kehitettiin perus-http-protokollan rinnalle turvallinen liikenteen salaava https-yhteystapa. Siihen aikaan salaus oli tietokoneille (sekä palvelin että käyttäjä) raskas toimenpide, joten oli yleinen tapa suojata vain sisäänkirjautumistoiminnot ja jättää “perussurffailu” ilman salausta. Jotta järjestelmä tietää, kuka on kirjautunut palveluun, kirjautumistoiminto lähettää käyttäjän koneelle tunnistekeksin (cookie), minkä käyttäjän selain lähettää jokaisella sivuhaulla, myös salaamattoman sivuhaun yhteydessä. Jos selainta käytetään verkossa, jossa myös muut käyttäjät näkevät liikenteen, voidaan tämä tunnistekeksi kaapata ja ottaa käyttöön toisessa koneessa. Juuri tämän fire sheep tekee.

Mitä voin tehdä?
Jos olet langattoman verkon käyttäjä, älä liity avoimiin verkkoihin tai jos liityt, käytä VPN-ohjelmaa, jolla salaat kaiken liikenteesi. Tiedota tukiaseman omistajaa, että hänen kannattaisi kytkeä WPA-suojaus päälle. Huom! WPA tai WPA2 on ok, WEP-suojaus ei auta.

Jos omistat langattoman verkon jolla jaat nettiyhteyden esim. asiakkaillesi, kytke WPA-salaus päälle. Voit käyttää helppoa salasanaa ja ilmoittaa sen julkisesti, esim. “netti”, “kahvila” tms. Jos sinulla on useita tukiasemia eri paikoissa, voit käyttää kaikissa samaa nimeä ja salasanaa, jolloin tukiasemien hallinta ja niistä tiedottaminen on helppoa.

Jos teet tai suunnittelet tietojärjestelmiä, joissa käyttäjät kirjautuvat sisään, käytä https:ää kaikkeen. Piste. Yleisesti edelleen vallitsee myytti, että tarvitset hirmuserverin, mutta se ei pidä paikkaansa. Kytke vain se https päälle. Laita samalla lähettämiisi cookie-tiedostoihin secure-merkintä päälle, niin missään tilanteessa keksiä ei lähetetä salaamattoman verkkoyhteyden yli.

Kello käy. Arvaan, että kuukauden sisään nähdään tämän suuntaisia liikkeitä ainakin joidenkin suurien verkkopalveluiden osalta, koska tulilammas on irti!

EDIT 31.1.2011: Kellot voi nyt pysäyttää ainakin FaceBookin osalta. Tänään julkaistiin optio, jolla käyttäjä voi kytkea Facebookinsa pysyvästi HTTPS-käyttöön. Facebookilta meni siis kutakuinkin 3 kuukautta tähän. Työ oli siis suurempi kuin osasin odottaa, mutta toisaalta hajautetussa järjestelmässä tämä on ymmärrettävää.
Tänään Firesheeppiä on ladattu jo yli 1,1 miljoonaa kertaa.