NRK Meny
Normal

Så lett er det å hacke en Facebook-konto

Ny plugin avslører mangelfull trygghet på usikra trådløse nettverk.

Firesheep

Slik ser Firefox ut etter at Firesheep er installert, usikra nettsurfere i kolonna til venstre.

Foto: Eric Butler

Facebook kommer stadig vekk med nye personvernsoppdateringer for å tekkes brukere som vil ha kontroll på profilene sine. Dette hjelper lite når hvem som helst kan gå inn på Facebook-kontoen din hvis du surfer på et usikra trådløst nettverk.

Kaketyv i fåreklær

Eric Butler, en programutvikler fra Seattle, har nå avslørt hvor sårbare disse nettverkene er gjennom Firesheep - en ny plugin til nettleseren Firefox.

Firesheep gjør at du kan overvåke åpne nettverk, og få beskjed når noen logger seg på usikra sider som for eksempel Facebook eller Twitter. Når noen gjør det kommer det opp navn og bilde til venstre i nettleseren.

Dobbeltklikk, og vips - du er innlogga på den aktuelle brukerkontoen. Uten at vedkommende som eier kontoen vet det.

Når du surfer på usikra nettsider blir brukerinformasjon knytta til den aktuelle adressen lagra på såkalte cookies. Firesheep tar disse cookiene, og lar hvem som helst bruke dem til å late som de er kontoens rettmessige eier.

Ikke bare Facebook

Du trenger ikke være redd for å bruke nettbank. Disse sidene bruker end-to-end encryption (E2EE), som krypterer data sånn at det skal være trygt å bruke dem - også på usikra nettverk.

Sider du derimot bør være forsiktige med, er de usikra sidene som Firesheep er programmert til å gjenkjenne.

Dette gjelder Amazon.com, Basecamp, bit.ly, Cisco, CNET, Dropbox, Enom, Evernote, Facebook, Flickr, Github, Google, HackerNews, Harvest, Windows Live, NY Times, Pivotal Tracker, Slicehost, tumblr, Twitter, WordPress, Yahoo og Yelp.

I tillegg kan hvem som helst modifisere Firesheep til å gjenkjenne andre usikra nettsider.

– På tide å kreve et sikrere internett

I løpet av få timer etter at nyheten om Firesheep ble publisert på Hacker News, var programtillegget lasta ned over 1000 ganger. Flere har twitra med forskrekkelse om hvor lett Firesheep gjør hacking.

Skal vi tro Eric Butler er ikke hans mål å gjøre hverdagen lettere for nysgjerrigperer og identitestyver. På bloggen sin skriver han at nettsider har et ansvar for å beskytte brukerne sine.

– De har ignorert dette ansvaret for lenge, og det er på tide at vi krever et sikrere internett. Håpet mitt er at Firesheep vil hjelpe brukerne til å vinne.

Slik kan du stoppe de som vil snoke på din konto

På teknologi-bloggen Techcrunch har en av leserne kommet med tips til hvordan man kan unngå at andre kommer seg inn på ens Facebook - og Twitter-konto.

Ved å installere et program som heter HTTP Everywhere (for nettleseren Firefox) skal man kunne tvinge nettleseren til å bare velge krypterte sider, eller HTTPS, på de sidene du bestemmer.

Vil du være helt sikker på å ikke bli snoket på, bør du unngå åpne trådløse nett (som ikke krever innlogging). Disse finnes typisk på kaféer og i områder med tett befolkning.