מי מפחד מכבשת האש?

FireSheep היא הרחבה חדשה לדפדפן Firefox שעושה פעולה מסובכת בצורה פשוטה – מאפשרת לאנשים רגילים לעשות משימה שעד כה היתה גוזלת זמן גם ממומחי אבטחה מיומנים.

FireSheep עובדת בצורה הבאה – היא סורקת את הנתונים שעוברים ברשת האלחוטית, וברגע שהיא מוצאת חבילות מידע "מעניינות" היא שומרת אותן בצורה מקומית ומאפשרת למפעיל התוכנה להשתיל את ההזדהות של משתמשים אחרים ברשת על הדפדפן שלו, ובצורה זו לשלוח בשמם עדכונים בפייסבוק ובאתרים דומים. ההרחבה לא אמורה לשאוב את הססמאות שלכם באתרים, אבל קחו בחשבון שאם העברת המידע הזה אינה מוצפנת ייתכן מאד ואדם מיומן יושב ברגעים אלו ומאזין לססמאות שלכם.

מה כן אפשר לעשות בנידון?

  • לאתרים רבים ישנה אפשרות להתחבר ב־https. טוויטר, לדוגמה, יכול לעבוד עם ssl אם נכנסים אליו דרך הכתובת https://twitter.com, אבל כל עוד זו לא אפשרות ברירת המחדל רק מעטים ידעו על היתרונות של חיבור מוצפן לאתר, וגם טוויטר עצמם לא ממהרים להעביר את כל המערכות לחיבור מוצפן למרות הדרישה מהציבור. ישנן הרחבות דוגמת Force TLS ו־HTTPS everywhere שיכולות לסייע, אבל קחו בחשבון שהן טרם הותאמו לגרסה החדשה של פיירפוקס.
  • לא להתחבר לרשתות פתוחות. במידת האפשר, עדיף להימנע משליחת מידע פרטי ברשתות ציבוריות. אני, למשל, מחזיק פרופיל מיוחד של פיירפוקס עבור רשתות פתוחות, כדי להעביר מינימום מידע פרטי ברשתות אלו. במידה ויש לכם דיבור עם איש ה־IT של הארגון, אולי כדאי להביא את הנושא לידיעתו ולייעץ לו להצפין את תעבורת הרשת.
  • אם שום דבר אחר לא עוזר, ניתן תמיד לתעל את התקשורת דרך שרת מאובטח. השרת המאובטח יכול להיות אפילו המחשב שלכם בבית עם פרוקסי או חיבור VPN ישירות אליו. אפשר גם להשתמש ב־SSH בשביל לחסוך את עלויות הפריסה בהנחה שיש לכם שרת לינוקס נגיש.

5 תגובות בנושא “מי מפחד מכבשת האש?”

  1. אני חושב שהדרך הטובה ביותר, למי שיש מחשב מבוסס לינוקס בבית, היא לעבוד עם SSH. גם מאובטח, גם נוח הרבה יותר (כיוון שכל התוכנות/קבצים נמצאים כבר על המחשב הביתי) וגם אפשר להתחבר מלפטופ מבוסס לינוקס ומלפטופ מבוסס ווינדוס (באמצעות Xming). זה גם לא איטי במיוחד אם יש לך רוחב פס טוב.

    1. כנראה לא הייתי ברור מספיק, אבל לא התכוונתי להריץ תוכנות גרפיות מרחוק דרך ssh מאחר שזה עשוי לתת פתרון איטי במיוחד, אלא להשתמש ב־OpenSSH בתור שרת Socks Proxy פרטי עם הפרמטר ‎-D.

      -D [bind_address:]port
      Specifies a local “dynamic” application-level port forwarding. This works by allocating a socket to listen to port on the local side,
      optionally bound to the specified bind_address. Whenever a connection is made to this port, the connection is forwarded over the secure
      channel, and the application protocol is then used to determine where to connect to from the remote machine. Currently the SOCKS4 and
      SOCKS5 protocols are supported, and ssh will act as a SOCKS server. Only root can forward privileged ports. Dynamic port forwardings can
      also be specified in the configuration file.

      IPv6 addresses can be specified with an alternative syntax: [bind_address/]port or by enclosing the address in square brackets. Only the
      superuser can forward privileged ports. By default, the local port is bound in accordance with the GatewayPorts setting. However, an
      explicit bind_address may be used to bind the connection to a specific address. The bind_address of “localhost” indicates that the listen‐
      ing port be bound for local use only, while an empty address or ‘*’ indicates that the port should be available from all interfaces.

השאר תגובה