Firefox add-on สวมรอยผู้ใช้ Facebook

รายงานข่าวล่าสุด โปรแกรมเสริมการทำงาน (aad-on) ที่แจกฟรีสำหรับ Firefox ตัวหนึ่งยอมให้เข้าถึงบัญชีผู้ใช้ และพาสเวิร์ดที่ไดรับการป้องกันในโซเชียลเน็ตเวิร์ก และเว็บไซต์ต่างๆ ได้อย่างง่ายดาย โดยไม่ต้องขโมยรายละเอียดที่ใช้ในการล็อกอินแต่อย่างใด

Eric Butler ผู้สร้าง add-on ชื่อว่า Firexheep ทีทำงานร่วมกับ Firefox เวอร์ชันบน Windows และ Mac OS X หวังว่า สิ่งที่เขาพัฒนาขึ้นมานี้จะทำให้ Facebook และเว็บไซต์อื่นๆ จะได้แก้ไขระบบรักษาความปลอดภัยให้ดีขึ้น ซอฟต์แวรืดังกล่าวได้ถูกเปิดเผยในงานประชุมแฮคเกอร์ Toorcon ที่จัดขึ้นในซานดิเอโกเมื่อวันอาทิตย์ที่ผ่านมา Butler อธิบายว่า Firesheep จะใช้ข้อได้เปรียบของเทคนิค "sidejacking" ในการเข้าถึงช่องโหว่ของการทำงานของระบบรักษาความปลอดภัยบน เว็บไซต์

เมื่อผู้ใช้ล็อกอินเข้าไปในเว็บไซต์ที่มีระบบรักษาความปลอดภัย พวกเขาจะถูกร้องขอให้พิมพ์ username และ password จากนั้นเซิร์ฟเวอร์จะตรวจสอบว่า บัญชีผู้ใช้ตรงกับ username ที่มีอยู่บนเซิร์ฟเวอร์หรือไม่ หากพบว่ามีก็จะตรวจอสบพาสเวิร์ดว่าตรงกัน หรือเปล่า ซึ่งหากคำตอบทั้งสองอันคือ yes เซิร์ฟเวอร์จะส่ง "cookie" กลับไปยังคอมพิวเตอร์ของผู้ใช้ ซึ่งบราวเซอร์จะใช้ข้อมูลที่ระบุตัวตนที่เป็นหนึ่งเดียวนี้ในการร้องขอ ข้อมูลทุกอย่างจากเซิร์ฟเวอร์ด้วยเซสชั่นที่เกิดขึ้น

ปัญหาที Butler ได้ชี้ให้เห็นก็คือ แม้ข้อมูล password และ login จะปลอดภัยเนื่องจากมีการเข้ารหัสขณะส่งไปยังเซิร์ฟเวอร์ แต่ cookies ที่ส่งกลับมาให้คอมพิวเตอร์ของผู้ใช้กลับไม่ได้มีการป้องกันใดๆ ดังนั้น หากแฮคเกอร์สามารถดักจับ "cookie" นั้นได้ เขาก็จะสามารถทำทุกอย่างได้เช่นเดียวกับยูสเซอร์คนนั้น ตราบใดที่เขายังไม่ได้ log-out ออกจากระบบ และหากผู้ใช้ล็อกออนผ่านเครือข่ายไร้สายที่เปิดให้บริการสาธารณะ "cookie" ที่ว่านี้ก็จะกระจายอยู่ในอากาศ ซึ่งทำให้การโจมตีด้วยวิธีดังกล่าวทำได้ง่ายขึ้นไปอีก

เมื่อ แฮคเกอร์ติดตั้ง Firesheep บน Firefox มันจะมีบาร์ด้านข้างโผล่ขึ้นมาในบราวเซอร์ สิ่งที่แฮคเกอร์ต้องทำก็คือ เชื่อต่อเครือข่ายไร้สาย Wi-Fi สาธารณะ และคลิกปุ่ม "Start Capturing" เพื่อเก็บเกี่ยว cookies ของผู้ใช้แถวนั้น และสวมรอยการใช้งานได้ทันที Butler ออกเครื่องมือนี้มา เพื่อแสดงให้เห็นว่า เขาพบช่องโหว่ของระบบรักษาความปลอดภัยที่อันตรายมากๆ และหวังว่า เว็บไซต์ต่างๆ จะได้แก้ไขปัญหานี้ โดยเฉพาะการเข้ารหัส SSL กับบราวเซอร์แบบ end-to-end

"Facebook มีการพัฒนาคุณสมบัติสำหรับการรักษาความเป็นส่วนตัว (privacy) ใหม่ๆ ให้กับผู้ใช้ตลอดเวลา เพื่อปลอบใจผู้ใช้ที่รู้สึกไม่แฮปปี้" Butler โพสต์ไว้ในบล็อก "แต่มันไม่ได้มีประโยชน์อันใดเลย ในเมื่อใคร(ที่ใช้ Firesheep หรือใช้ช่องโหว่ดังกล่าว) ก็สามารถแทนที่บัญชีผู้ใช้ได้เต็มๆ"

Facebook & Twitter security FAIL (& how you can stay safe)

[อัพเดตเมื่อเวลา 13:25 น. วันที่ 26 ตุลาคม 2553] รายงาน ข่าวล่าสุด ภายใน 24 ชม. มีการดาวน์โหลด Firesheep ปลั๊กอิน"มหาภัย"ไปแล้ว 104,000 ครั้ง โดยคาดว่า น่าจะมาจากแฮคเกอร์ตัวจริง และผู้ใช้ที่อยากทดลองว่า มันทำได้จริง หรือไม่? งานนี้เจ้าตัวผู้พัฒนา เลยทำคลิปสาธิตการทำงานให้เห็นกันจะๆ ไปเลย