Idag är en bra dag att leta fram en nätverkskabel ur gömmorna, eller nöja sig med den långsamma hastighet som 3G-modemet erbjuder. Ett nytt program för att kapa kontouppgifter släpptes i helgen. Med det kan vem som helst logga in som dig på Facebook, Twitter och en mängd andra sajter. Lösningen är att undvika öppna trådlösa nätverk.
Utvecklaren Eric Butler visade upp Firesheep, ett tilläggsprogram till webbläsaren Firefox, på hackerkonferensen Toorcon i söndags. Syftet är att visa hur lätt många stora webbplatser tar på användarnas säkerhet.
Uppsåtet lyckades.
Kombinationen Firesheep och öppna trådlösa nätverk är en riktigt dålig kombination.
De flesta sajter, som Facebook och Twitter, skyddar sina inloggningssidor med kryptering, SSL, vilket bland annat syns genom att det står “https” istället för “http” före webbadressen.
Krypteringen är tänkt som ett skydd mot tjuvlyssning, ingen ska kunna snappa upp användarnas inloggningsuppgifter när de knappas in på datorn och skickas via nätet till webbtjänstens servrar.
Problemet, som Eric Butler vill rikta uppmärksamheten mot, uppstår när besökarna återvänder till webbplatsen.
För att underlätta för besökarna använder de flesta webbplatser så kallade cookies. En cookie är en liten datafil som webbläsaren sparar på datorns hårddisk. En av möjligheterna med cookies är att automatiskt logga in återkommande användare, så att de slipper mata in sitt användarnamn och lösenord vid varje besök till sajten.
Vilket är en bra idé. Om den genomförs på ett bra sätt.
Men det är här slarvet sker: Många sajter, listan på webbplatser vars användaruppgifter är möjliga att komma åt med hjälp av Firesheep är lång och innehåller bland annat Facebook, Twitter och Dropbox, bryr sig inte om att kryptera förbindelsen när informationen i cookie-filen skickas. Och på ett öppet trådlöst nätverk, som bland annat finns på många arbetsplatser och kaféer, är det då möjligt att använda Firesheep för att snappa upp innehållet i cookie-filerna och med en knapptryckning logga in som en annan användare.
Som användare finns några saker man kan göra för att skydda sig. Surfar du hemma och är osäker på om du har ett öppet eller skyddad trådlöst nätverk är ett alternativ att leta fram gammal nätverkskabel i en låda och stänga av det trådlösa nätverket i datorn. Behöver du surfa på stan kan det vara en bra idé att välja bort kaféets trådlösa nätverk och istället köra med ditt eget 3G-modem.
Ett mer avancerat alterantiv är att använda ett så kallat VPN, virtual private network. Det är en krypteringsteknik som ser till att datatrafiken som lämnar din dator är skyddat av ett krypteringslager. Många företag gör den tekniken tillgänglig för sina anställda. För privatpersoner finns också VPN-tjänster att abonnera på. Till webbläsare som Firefox och Google Chrome finns också tilläggsprogram som försöker tvinga användningen av kryptering.
På sikt kan man nog räkna med att företagen bygger om sina webbplatser, så att större delar av dem skyddas av kryptering. Värt att notera är att riskerna varit kända länge, utan att något gjorts. Facebook är ett exempel. Där går alla interna länkar till en okrypterad sida, även om du startar på https://www.facebook.com.
Värt att tänka på är också att säkerhetshålet inte bara är en risk för dig, utan också för alla dina vänner på bland annat Facebook. Även om du inte tycker att du lägger ut något känsligt kan det finnas andra som resonerar annorlunda.
För dig som är sugen på att använda programmet, tänk på att du begår ett brott om du gör det.