Eric Butler programozó egy olyan Firefox kiegészítőt fejlesztett ki, amelyről annyi már biztosan elmondható, hogy igencsak híressé vált az elmúlt napokban. Az interneten rengeteg helyen tárgyalják a Firesheep nevű add-on jellemzőit, tulajdonságait, az általa felszínre hozott problémákat és a kockázatcsökkentési lehetőségeket. Azonban mindenképpen meg kell említenünk - amit egyébként maga Eric Butler is hangsúlyozott -, hogy valójában nincs szó nagy újdonságról, legalábbis ami a kiegészítő által kihasznált sebezhetőséget, biztonsági gyengeségeket illeti.
A Firesheep ugyanis elsősorban az úgynevezett "HTTP Session hijacking" technikával él, amelyről már 2004 környékén jelentek meg tanulmányok, és az OWASP (Open Web Application Security Project) projekt is kiemelten foglalkozik a sérülékenységgel az autentikáció és a session kezelés kapcsán. Egy olyan sebezhetőségről van szó, amelyet bizonyos körülmények között eddig is ki lehetett használni, és számos alkalmazás volt elérhető az ilyen jellegű támadások végrehajtásának megkönnyítéséhez.
A Firesheep tehát egy régóta ismert problémát igyekszik kihasználni annak érdekében, hogy tulajdonképpen bárki, különösebben mély informatikai ismeretek nélkül is játszva megszerezhessen olyan adatokat, cookie-kat, melyek révén mások nevébe bejelentkezhet egyes webes szolgáltatásokba. Ebből a szempontból sebezhető lehet a Facebook, a Twitter, az Amazon, a Foursquare, a Github, a Flickr és a Windows Live (Hotmail) is.
A támadónak vagy a kíváncsiskodó felhasználónak nincs más dolga, mint titkosítatlan internetkapcsolaton keresztül a Firesheep segítségével leskelődni. Amikor letölti a Firefox kiegészítőt, akkor a böngészőben egy új oldalsáv jelenik meg, amelyről egy hálózati szkennelés kezdeményezhető. Ekkor feltérképezésre kerülnek a nyilvános Wi-Fi hálózathoz csatlakozó felhasználók által éppen igénybe vett fiókok, amelyekre kattintva átvehetővé válhat az azok feletti irányítás.
A jelenleg Windows és Mac OS X operációs rendszerekhez elérhető Firesheep kizárólag akkor működőképes - a legstabilabban egyébként Mac OS X alatt -, ha nincs megfelelő titkosítás. Vagyis akkor jelenthet problémát, amikor a webes szolgáltatások üzemeltetői nem alkalmaznak titkosítási technológiákat (SSL, HTTPS, stb.) vagy azokat nem megfelelően implementálják, és a felhasználók nyilvános, titkosítatlan vezeték nélküli hálózatokon keresztül férnek hozzá az online megoldásokhoz. Eric Butler szerint a nem teljes körű titkosításra jó példa a Facebook Like gombja is. További kockázatot jelenthetnek a kijelentkeztetést szolgáló funkciók esetleges hiányosságai is. Mindezekből következik, hogy ha egy szolgáltatás titkosítással teljes körűen védett, akkor e Firefox kiegészítő nem képes ellátni a feladatát. Ugyancsak csökkentheti a kockázatokat a HTTPS-Everywhere és a Force-TLS add-onok használata. A Firesheep méregfoga VPN segítségével is "kihúzható".
Végül elmondható, hogy a meglehetősen nagy port kavar Firesheep nem az általa alkalmazott módszerek miatt jelent igazán újdonságot, hanem azzal, hogy egy régóta ismert sérülékenység kihasználását tulajdonképpen bárki számára karnyújtásnyi közelségbe hozta. A kiegészítő szélesebb felhasználói csoportok számára tette kézzelfoghatóvá a titkosítás és a nem körültekintő számítógép-használat kockázatait, miközben a szolgáltatók számára egy újabb intő jelét adta annak, hogy az SSL/HTTPS megfelelő implementálására különös hangsúlyt kell helyezni.
A cikk testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.
