ReadWriteWeb: At a Cafe? I Can Hack Your Facebook, Twitter, Etc…With a Firefox Extension
TechCrunch: Firesheep In Wolves’ Clothing: Extension Lets You Hack Into Twitter, Facebook Accounts Easily
CNET: Researchers hack toys, attack iPhones at ToorCon
Original website:
http://codebutler.github.com/firesheep/
Firesheep (โดย Ian Gallagher) : Add-on ปลั๊กอินบน Firefox ที่สามารถดักจับข้อมูลที่ไม่ได้เข้ารหัส ที่วิ่งผ่าน Wifi และขโมยข้อมูล cookie ของเวปนั้น เพื่อนำมาใช้ login ได้ทันที
แถมวิธีทำก็ไม่ต้องยุ่งวุ่นวาย
เพียงแค่เปิดปลั๊กอินตัวนี้ทิ้งไว้
รอให้มันดักจับข้อมูลซักครู่
และคลิ๊กที่ user ใดก็ได้ที่ดักจับได้
เพียงแค่นี้ Firefoxก็จะเปิดหน้าแรกของบัญชีนั้นให้เสร็จสรรพเลย
แต่น่าเสียดาย ตอนนี้ยังรับรองแค่ Windows , Mac OS X (อยากให้เอาลง Linux จังจะได้ลองมั่ง)
(screenshot จาก http://codebutler.com/firesheep)
ที่ Toorcon 12 San Diego - October 2010
(กดลูกศรซ้ายขวาเพื่อเลื่อนดู)
อธิบายช่องโหว่ในที่ hacker ใช้ในการโจมตี
และอธิบายวิธีการต่างๆ ที่สามารถใช้ป้องกันตัวได้
นอกจากนั้นหลายคน เสนอวิธี VPN เพื่อสร้าง secure channel ก่อนจะออกอินเตอร์เน็ต
ซึ่งควรจะเป็นวิธีดีที่สุด ... แต่แพง
และอีกวิธีนึงคือ ใช้ HTTPS Everywhere (https://www.eff.org/https-everywhere)
หรือ ForceTLS (https://addons.mozilla.org/en-US/firefox/addon/12714/)
ทั้งคู่เป็น add-on ของ firefox เพื่อสร้าง TLS/SSL ครอบข้อมูลเพื่อเข้ารหัส จะได้ไม่ถูกดักจับและใช้ได้เลยเหมือน HTTP
update: เผลอแป๊ปเดียวมีคนทำ review-tutorial ไว้เพียบเลย นี่เป็นหนึ่งในนั้น
No comments:
Post a Comment