安全专家周二表示,火狐用户可以保护自己免受Firesheep的攻击。Firesheep是一款新的浏览器插件,业余爱好者可以通过它劫持用户访问Facebook、Twitter和其他流行服务。
安全专家今天提出了火狐用户保护自己免受Firesheep攻击的方法。Firesheep是一款新的浏览器插件,可以让业余爱好者劫持用户访问Facebook、Twitter和其他流行服务。
Firesheep在Mozilla的Firefox中添加了一个侧栏浏览器当开放网络上的任何人——比如咖啡店的Wi-Fi网络——访问一个不安全的网站时。
一个简单的双击就能让黑客立即访问登录的网站推特和脸谱网钻头。ly和Flickr。
自研究人员埃里克·巴特勒(Eric Butler)周日发布Firesheep以来,该插件已被下载近22万次。
总部位于旧金山的nCircle security公司的安全运营总监安德鲁·斯道姆(Andrew Storms)说:“我今天在一家皮特咖啡馆,发现有人在用Firesheep。”“里面只有10个人,还有一个在用!”
但storm和其他几位专家认为,用户并非毫无防备。
专家周二说,他们保护自己免受Firesheep流氓用户攻击的一种方法是避免使用未经加密、只有密码才能使用的公共Wi-Fi网络。
然而,安全创新公司(security Innovation)的高级安全工程师伊恩•加拉格尔(Ian Gallagher)认为,这是把洗澡水和婴儿一起倒掉。加拉格尔是上周在圣地亚哥会议上首次亮相Firesheep的两位研究人员之一。
“虽然开放Wi-Fi是Firesheep的主要试验场,但这不是问题,”加拉格尔在一份博客周二早些时候。“这不是Wi-Fi的漏洞,而是你使用的网站缺乏安全性。”
免费、开放的Wi-Fi不仅被许多人认为是理所当然的,而且也不是问题所在。在公共热点地区,人们可以在互联网上做很多低风险的活动,包括阅读新闻或查找附近餐馆的地址。
那么,如果Wi-Fi继续存在,用户该怎么办?
杀毒软件供应商Sophos的高级安全顾问Chet Wisniewski说,最好的防御是在机场或咖啡店连接公共Wi-Fi时使用VPN(虚拟专用网)。
虽然许多业务人员在路上使用VPN连接到他们的办公室网络,但消费者通常缺乏安全的互联网“隧道”。
Wisniewski说:“但是有一些VPN服务,你可以以每月5到10美元的价格订阅,这将防止有人运行Firesheep来‘劫持’你的会话。”
VPN对电脑(比如机场门口的一台笔记本电脑)和整个互联网(包括容易被Firesheep劫持的网站)之间的所有通信进行加密。“这是最好的解决方案,”Wisniewski说,“真的,和使用加密Wi-Fi没有什么不同。”
一个供应商,强大的VPN该公司将其服务的起价定为每月7美元或每年55美元。
然而,Gallagher警告说,VPN并不是一个完整的解决方案。“这只是把问题推到VPN或SSH终端,”他说。“然后你的流量就会离开服务器,就像它离开你的笔记本电脑时一样,所以任何运行Firesheep或其他工具的人都可以以同样的方式访问你的数据。”
“盲目地建议‘使用VPN’并不能真正解决问题,可能只是提供一种虚假的安全感,”他说。
强大的VPN不同意。“我们的服务器位于一个安全的数据中心,所以没有人能够‘嗅探’进出的流量,”该公司的一位发言人反驳道。“例如,所有来自你在旧金山的笔记本电脑的流量,在进入我们的美国服务器时都是经过加密的。”
Storms回应了Strong VPN的断言。他说:“我能理解(Gallagher的观点),VPN并不能解决根本问题,也就是服务端的问题。”“但是,尽管当它离开VPN服务器进入网站时,流量是明文的,但不太可能有人窥探这些流量。”
F-Secure的安全顾问肖恩·沙利文(Sean Sullivan)推荐科莫多TrustConnect作为“一个VPN,除了名字”。F-Secure的竞争对手科摩多(Comodo)以每月7美元或每年50美元的价格出售这项服务。
Wisniewski、Sullivan和Gallagher说,如果目标是免费的话,也有很多选择。他们指出,Firefox有两个免费插件,可以迫使浏览器在访问某些网站时使用加密连接。
其中一个火狐插件,https everywhere电子前沿基金会(Electronic Frontier Foundation, EFF)提供的这一服务只与特定的网站合作,包括Twitter、Facebook、PayPal和谷歌的搜索引擎。
另一种选择,Force-TLS,与EFF的扩展功能相同,但允许用户指定在哪个网站上执行加密。
然而,其他浏览器,如微软谷歌(Google inc .)的ie浏览器和谷歌的Chrome浏览器都没有类似的附加组件,让用户受到冷落。
Sullivan说道:“我希望Firesheep能够激励EFF或者其他开源社区的开发者去开发一些附加组件,也许是将这些扩展移植到Chrome上。”
这可能需要数月时间。与此同时,沙利文有了另一个主意。他说:“MiFi设备可以加密(流量),所以有了它,你就可以随身携带自己的Wi-Fi热点。”
然而,MiFi并不便宜。例如,威瑞森(Verizon)免费提供硬件,但对其3G网络的接入每月收取40至60美元。
最终,用户为了堵住Firesheep暴露的漏洞而采取的行动只是权宜之计。巴特勒和加拉格尔在为该插件的发布进行辩护时表示,一个显而易见的问题是缺乏完整的加密。只有网站和服务可以解决这个问题。
巴特勒周二在他的博客中写道:“真正的故事不是火羊的成功,而是这样的事情是可能的。”“展望未来,衡量Firesheep成功的标准将很快从它获得的关注数量,转变为采用适当安全措施的网站数量。真正的成功是Firesheep不再工作的时候。”
但就目前而言,就连安全专家也感到担忧。“我现在在机场,”Wisniewski告诉Computerworld。“我想知道这里是否有人在使用Firesheep。也许我应该稍微浏览一下肩膀,看看是否有人在运行它。”
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
阅读更多关于网络安全的信息在计算机世界的网络安全主题中心。
这个故事,“如何防范火羊攻击”最初是由《计算机世界》 。