Взлом «Фейсбука» и «Твиттера»

[Гость Roswell]

Взлом «Фейсбука» и «Твиттера» Если у вас вайфай, оторвитесь от экрана и посмотрите вокруг: кто-то из них, возможно, только что получил доступу к вашему аккаунту в «Фейсбуке», «Твиттере» и еще на десятке сайтов. Сделать такое может каждый, используя плагин к «Файерфоксу»

http://codebutler.github.com/firesheep/. На картинке неполный список сайтов, которые взламывают с его помощью.

http://dl.dropbox.com/u/6260570/firesheep.jpg

Главное условие — незашифрованное вайфай-соединение. Например, дома, в кафе или аэропорту. Когда человек логинится в «Фейсбуке», сайт передет файл cookie для авторизации, и этот файл перехватывается плагином. Логин и пароль, слава богу, не раскрываются. Но злодей получает что-то вроде удаленного доступа к аккаунту, пока жертва не отключится.

В пятницу мы тестировали плагин на работе (Mac OS, версия браузера 3.6.12) — ничего не произошло. Вчера в нескольких кафе — то же самое. Но поскольку на работе вайфай охраняют злые собаки, а люди в кафе могли, ну вдруг, просто рассматривать картинки на диске, мы решили попробовать сегодня дома — фокус, увы, сработал и заставил домашних (мы предупредили) с визгом отключить «Фейсбук» и почту «Гугла».

Вот как выглядит захват и просмотр чужого аккаунта в «Фейсбуке». Слева — панель плагина, на ней кнопка захвата и список жертв: чужие фейсбук, твиттер и фликр. По клику справа открылся чей-то аккаунт в ФБ.

http://dl.dropbox.com/u/6260570/firesheep2.jpg

Плагин сделал случайный парень по имени Эрик Батлер (это его картинка). Сделал из лихости, чтобы показать, насколько хрупка пресловутая приватность в интернете. Мол, любой прохожий способен написать вашим друзьям и от вашего же имени гадости, пошутить в корпоративном блоге, который поручили вести, ну и много чего еще. Новость хоть и ужасная, но повода для серьезной паники нет: плагин работает не везде.

Подробности http://codebutler.com/firesheep в блоге Батлера. На всякий случай установите в «Файерфоксе» другой плагин — для шифрования HTTPS-сессий https://addons.mozilla.org/en-US/firefox/ad...PS%20Everywhere (кажется, это та самая важная штука для авторизации на сайте, данные о которой как раз и перехватываются в файле cookie).

[Feerun]

Сделал из лихости, чтобы показать, насколько хрупка пресловутая приватность в интернете.

Ога, а потом некоторые хакеры перехватят системы управления ракетами и нечаянно запустят, просто чтоб показать, какая там плохая защита >_<

[AlterEgo]

уж сколько раз твердили миру, не логиньтесь в личные аккаунты в общественных местах.

а это снова становится сюрпризом

[aler]

да туфта в Москве почти нет не зашифрованных сетей. а дома у меня лично ключ 16 символов.хотя его ломать можно и по другому.

[mistiman]

На такой случай у меня всегда есть впн-хост, пускай попробуют расшифровать) А беспроводка без шифрования снифается на раз, поймать печеньку от любого сайта проще некуда.