Add-on pro Firefox odchytává cizí session-ID přes WiFi

PcWorld.com píše o zajímavém add-onu pro Firefox, který uživatelům umožňuje odchytávat session-ID přes nešifrované WiFi. Pro návštěvníky klubů a barů s nabídkou nešifrovaného WiFi připojení to může být velmi nepříjemná zpráva. Add-on je přednastaven pro nejpopulárnější stránky jako je Facebook, Yahoo apod. Po odchycení session-ID je možno jednoduše oklamat server a používat danou službu zcela neomezeně jako majitel účtu, tedy např. psát příspěvky na Facebook, odesílat e-maily a podobně. V jiném článku se píše o jedné z možností ochrany.

Komentáře

Když už mám shell na serveru ve vlastní síti, tak tam rozhodně nebudu kopírovat nějakou http proxy vhodnou tak leda pro browser ale udělám si tam rovnou vpnku a je to.

17.11.2010 00:04 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Nebo používat HTTPS… Třeba Facebook ho má, ale musí se tomu trochu pomoct (HTTPS-Everywhere od EFF). Stejně tak AbcLinuxu.

17.11.2010 20:53 Jaromír Svoboda | skóre: 9 | blog: netblog
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Nebo používat HTTPS… Třeba Facebook ho má

Jde v https připojeným facebooku chat na stránce? Mě ne, dole místo lišty s chatem je ikona výstražného trojúhelníku s popiskem "Chat není na této stránce povolen.", jinak v http verzi chat je funkční. Nefunkčnost chatu na stránce mi ale nevadí, mám na to v Pidginu XMPP účet facebooku s luxusem libnotify a lokální historií :-)

Tom & Jerry: # cat /dev/input/mouse0

17.11.2010 21:05 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Tak to netuším, FB nepoužívám. Jenom vím, že tam HTTPS šlo takhle zapnout.

26.11.2010 13:03 Jaromír Svoboda | skóre: 9 | blog: netblog
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Tak už jsem zjistil, že nefunkční chat na FB v HTTPS verzi je známá chyba při používání doplňku HTTPS-Everywhere od EFF, píše se o tom na stránkách EFF ohledně 0.9.x verze doplňku. https://www.eff.org/https-everywhere
Čeká se na to, až to FB opraví.

Tom & Jerry: # cat /dev/input/mouse0

17.11.2010 00:30 ElPraga
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Hm, ja treba mam shell na jednom stroji, ale VPN si tam asi nerozjedu. Me se to docela hodi..

V jiném článku se píše o jedné z možností ochrany.

Základní možnost ochrany: pokud server neumožňuje SSL, nebudu se tam přihlašovat v internetové kavárně (nebo pravděpodobněji: nebudu se tam přihlašovat vůbec)

Quando omni flunkus moritati

17.11.2010 11:36 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Ono by úplně stačilo používat HTTP DIGEST autentizaci přes HTTP. Jenže to je moc jednoduché a účinné, takže nikdo z výrobců HTTP serverů i klientů nemá potřebu to implementovat dobře a uživatelsky přívětivě.

18.11.2010 17:34 Libor Chocholaty | skóre: 12
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Coze? Mel jsem za to, ze tahle zakladni vec je normalne funkcni. Nikdy jsem se teda HTTP_DIGEST na apachi pouzit, ale ... vazne ne?

18.11.2010 19:46 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Používal jsem HTTP DIGEST se serverem Jetty, a žádný problém jsem nezaznamenal. Pak server přešel na Apache, a na některých počítačích jsou problémy s MSIE. Těžko ale říct, v čem je problém. Já jsem zaznamenal, že MSIE se zeptá na heslo a pak HTTP hlavičku nepošle, ale v jiných případech mohl být problém v něčem jiném – tenkrát jsem se o problému na jiném počítači jen dozvěděl, dělo se to prý opakovaně, ale když jsem to chtěl zkoumat, spravilo se to samo. Další problém je v tom, jakým způsobem prohlížeče prezentují přihlašovací okno, často třeba chybí odlišení toho, co posílá server (a co by si měl uživatel kontrolovat), je to všechno nasypané do jedné věty. Snad ve všech prohlížečích pak chybí možnost odhlášení. Prostě je na tom vidět, že je to sice ve standardu, každý to nějak implementuje, aby si mohl udělat čárku, ale ve skutečnosti nikoho nezajímá, jestli to funguje a je to použitelné.

Takze v kolik je ten sraz na ruzynskem letisti? ;-)

17.11.2010 11:06 Jakub Suchy | skóre: 22 | Praha
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Free wifi na ruzynskem letisti pro jistotu blokuje port 443, takze o to to bude jednodussi :) (Funguje tam pouze port 80, ani maily si clovek nestahne).

Drupal

17.11.2010 11:08 vlastikroot | skóre: 24 | blog: vlastikovo | Milevsko
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

By mě zajímalo, kterýho debila to napadlo :-D

We will destroys the Christian's legion ... and the cross, will be inverted

17.11.2010 16:12 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Na letišti se ve dne v noci bojuje za mír^w^wproti terorismu: šifrování používají teroristi → na letišti je třeba jej zakázat.

17.11.2010 19:08 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

A pak objevili GNU httptunnel.

18.11.2010 00:03 gtz | skóre: 27 | blog: gtz | Brno
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Pokud mají dokonalý FW což myslím mají, pak to odmítne spojení. Pokud mají něco jako je Fortinet Firewall/Gate pak je to celkem na nic. Ty mašiny dokáží celkem hodně sofistikovaně prolézat protokoly a vše ostatní. Jak mi říkal známý i ICQ, který forwardoval přes 80 tak tam nechodilo.

- nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude

18.11.2010 00:21 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Ale ten HTTP tunnel by měl vypadat jako kdyby někdo lezl po webu a vyplňoval do formulářů různá data. Jediný rozdíl je ve kvantitě.

18.11.2010 09:49 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Ale ten HTTP tunnel by měl vypadat jako kdyby někdo lezl po webu a vyplňoval do formulářů různá data. Jediný rozdíl je ve kvantitě.

No, on takový html formulář s vyplněnými hlavičkami ostatních protokolů je také dost podezřelý :)

18.11.2010 11:19 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Tak ono není problém tohle pak případně šifrovat, že..

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

18.11.2010 12:26 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

To sice ne, nicméně vememe-li v úvahu, že máme wifi hotspot pro BFU, tak rozpoznat od sebe HTML stránky s textem a HTTP posty plné nesmyslného balastu nebude pořád až tak moc těžké... prostě ve chvíli kdy ten fw začne koukat i dovnitř, tají se to podstatně hůře...

18.11.2010 12:50 gtz | skóre: 27 | blog: gtz | Brno
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

a ty mašiny se dívají hodně dovnitř. Dokáží i takové prasárny jako číst IM komunikaci bez problémů.

- nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude

17.11.2010 11:32 AsciiWolf | skóre: 41 | blog: Blog
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

lol

No, stejně nechápu jednu věc a sice, proč naprostá většina webů nemění "session-id" po každém kliknutí?

17.11.2010 16:18 Jary | skóre: 30 | blog: Jary má blog | Dům
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Nevim. Kvůli tlačítku Zpět? Když se stiskne Zpět, tak se imho pošle úplně stejný požadavek, jako před chvílí. Se starým SID by mě to vyhodilo.

Navíc, proč to dělat? Čemu to pomůže?

.sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky. GitHub

18.11.2010 00:07 Blut
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Pokud mas napriklad session ID v odkazech, nemuzes odkaz otevrit v dalsim okne/tabu a pokracovat dal v puvodnim (popr. dve a vice dalsich oken/tabu), protoze v tu chvili uz bys odesilal neplatne session ID, coz jde ponekud proti smyslu hypertextu.

Samozrejme, session ID v URL je trosku problematicke, protoze se muze s referrerem dostat ven, ale session ID v cookies take, i kdyz opacnym zpusobem; muze se dostat dovnitr s podvrzenym linkem, napriklad kdyz nekdo na foru postne obrazek a jako src uvede link na logout.

Navic, dynamicke session ID ti moc nepomuze, slidil by mohl stejne dobre odchytit session ID z odezvy serveru (tj. platne) jako z zadosti (tj. uz neplatne). Jen si vsimnes, kdyz ho zacne pouzivat (odlogne te).

20.11.2010 01:34 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

No, stejně nechápu jednu věc a sice, proč naprostá většina webů nemění "session-id" po každém kliknutí?

Spoustu věcí by to rozbilo, například prohlížení v tabech.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

Tohle je známý problém. Zvláště úsměvné je to v případě facebooku, který nechává většina uživatelů laptopů přihlášený neustále, čili session ID je stále platné...

Ten addon jsem nezkoušel, nedávno kolem něj byl velký humbuk ale to ještě neexistovala verze pro linux. Ovšem například wireshark a pokročilý editor cookies ve FF dokáže to samé, a jako bonus je možné odchytit opravdu jakoukoli službu, ne jen tu kterou firesheep zná... hrál jsem si s tím už dávno..

18.11.2010 11:06 Matlák
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

jinak je jasné, že hlavní problém v tomto případě je IPv4/NAT :-)

prostě server nemůže rozlišovat podle IP... já osobně už celá léta (po tom co jsem si tyhle "vychytávky" vyzkoušel ve školních WiFi sítích) používám minimálně dynamický SSH tunel či (častěji) rovnou VPN.

18.11.2010 11:11 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Podle IP by server neměl rozlišovat nikdy, IP adresa se může měnit. Hlavní problém je, že se pro autentizaci používají cookie, když přitom protokol HTTP má definovánu bezpečnou metodu autentizace (HTTP DIGEST).

18.11.2010 23:32 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Podle IP by server neměl rozlišovat nikdy, IP adresa se může měnit.

Tak teoreticky se ta IP nebude měnit tak často, takže když se právoplatný uživatel bude muset přihlásit při změně, nebude to pro něj tak velká zátěž. Čistě prakticky tu máme GPRS a spol., kde se IP mění dokonce snad podle toho, s jakou BTS si telefon povídá (jistě to nevim, ale rozhodně se mění často)

Hlavní problém je, že se pro autentizaci používají cookie, když přitom protokol HTTP má definovánu bezpečnou metodu autentizace (HTTP DIGEST).

Protokol HTTP se dá zašifrovat pomocí SSL a kdyby lidi nezdržovali s přechodem na IPv6, nebylo by potřeba řešit nic jiného.

Quando omni flunkus moritati

19.11.2010 00:56 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Tak teoreticky se ta IP nebude měnit tak často, takže když se právoplatný uživatel bude muset přihlásit při změně, nebude to pro něj tak velká zátěž. Čistě prakticky tu máme GPRS a spol., kde se IP mění dokonce snad podle toho, s jakou BTS si telefon povídá (jistě to nevim, ale rozhodně se mění často)

Tak BTS se může při pohybu v autobuse nebo vlaku měnit třeba každou půlminutu. Ale podle mě když už se mění, tak by se měla měnit s opuštěním svazku buněk řízených jedním BSC, ale o GSM toho zas tak moc nevím. Nicméně i tak to může být klidně každých pět minut. Takže proč znepříjemňovat uživateli život, když je efekt na bezpečnost nulový? To je jak s těmi aplikačními firewally, změnou hesla každé dva měsíce nebo zakazováním přihlášení na roota - když to tak otravuje, tak to určitě musí zvyšovat bezpečnost, ne snad?

19.11.2010 01:01 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Ještě k tomu IPv6 - nemyslím si, že by třeba Facebook nebo Seznam e-mail běžely na sdílené IP(v4) s jinými weby. Přesto se muselo (nevím, jak teď) HTTPS explicitně vynutit.

A ani u sdílených hostingů na té jedné IP podle mě dost často neběží ani alespoň ten jeden HTTPS host. Jestli to nebude spíš o lenosti než o nedostatku IP…

19.11.2010 09:15 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Ono s SSL je to také trochu těžké... autority, které své certifikáty už protlačili alespoň někam, z toho mají dobrý byznys a každý přiblblý certifikát stojí fúru peněz... pravda, u věcí jako seznam nebo facebook je to šumák, u menších webů už zase tolik ne... jak mi tak přišlo, tak dobrý byznys z toho mají i autoři sw, co to používá, takže takové protlačení cacertu taky není úplně jednoduché. No a když se použije certifikát, jehož CA není přítomno v systému uživatele? Většina se pak na nějaký import CA (natož nějaké další ověřování) vykašle a přidá si výjimku... čímž se celý bezpečnostní efekt SSL ztrácí...

19.11.2010 13:48 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Tak třeba StartCom už má své certifikáty leckde.

Nicméně přijde mi lepší šifrovat i v případě, kdy nemůžeme ověřit identitu druhé strany. MitM útok je přeci jen složitější než prostý odposlech a oběť se o tom po skončení útoku alespoň dozví.

19.11.2010 14:46 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Proč by se o tom oběť měla dozvědět? Do porovnávání složitosti MitM útoku a odposlechu bych se taky nepouštěl, záleží na okolnostech. Pro odposlech potřebujete přístup k trase mezi obětí a původním serverem (třeba zachycení WiFi komunikace), MitM můžete udělat třeba posláním falešné DNS odpovědi, což můžete udělat z druhého konce světa. Takže by se dalo říct i to, že MitM je jednodušší než odposlech…

19.11.2010 15:09 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Proč by se o tom oběť měla dozvědět?

Protože jí prohlížeč zařve, že se změnil certifikát protistrany, ne?

19.11.2010 15:13 vlastikroot | skóre: 24 | blog: vlastikovo | Milevsko
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Jako by někdo ty certifikáty řešil :-D

Většinou to lidi odkliknou a neřešej.

We will destroys the Christian's legion ... and the cross, will be inverted

19.11.2010 21:31 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Prohlížeč neřeší změnu certifikátu. Zkoumá jenom to, zda certifikát podepsala některá z autorit, které má v seznamu důvěryhodných.

20.11.2010 11:49 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Řekl bych že řeší... tedy ve chvíli, kdy CA pro certifikát není dostupný a uživatel odklikne tu výjimku, tak si to pamatuje jen ten konkrétní certifikát a na změnu to přijde...

20.11.2010 11:58 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Záleží na prohlížeči. Každopádně pokud uživatel potvrdí důvěryhodnost nějakého pochybného certifikátu, je problém především v tom. Myslím, že pak klidně odklikne i hlášku o tom, že se certifikát změnil.

19.11.2010 11:00 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

Prakticky se ta IP adresa může měnit s každým spojením, takže se uživatel ani nepřihlásí. Kontrola IP adresy je typický příklad chybného zabezpečení – útočníkovi to v ničem nezabrání, jenom to otravuje uživatele.

18.11.2010 13:42 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

A že si s tou IP fakt pomůže… Uživatele by to akorát štvalo při cestování mezi sítěmi a útočník si po odpojení uživatele jeho adresu klidně nastaví.

18.11.2010 15:10 Matlák
Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

jo, to je fakt.. mnohem lepším řešením by byl zmiňovaný http/digest nebo rovnou ssl. Spíš jsem myslel to že z pohledu serveru je útočník na wifi a oběť jeden stroj- není možné určit ze kterého stroje byla autentizace heslem provedena (pokud vůbec byla, pravda, uživatelé jsou líní se odhlašovat a přihlašovat)