Inte bara Facebook hotat

Sedan en amerikansk säkerhetsexpert släppt ett verktyg, Firesheep, som låter vem som helst sniffa trafiken i öppna trådlösa nätverk och med två klick kapa inloggningsuppgifter till olika sociala nätverk, har larmsignalerna ljudit allt starkare.

Firesheep utnyttjar sajternas cookies, kakor, som skickas i klartext även om sajten använder säker inloggning med till exempel ssl. För skydd mot Firesheep krävs antingen att sajten ifråga använder ssl på samtliga sidor – inte bara på inloggningssidan – eller att användaren är uppkopplad via en vpn-tunnel.

Det ska understrykas att sårbarheten enbart gäller i öppna trådlösa wi-fi-nät, av den typ som kan hittas på flygplatser, tåg, kaféer, bibliotek och skolor.

Rapporteringen har hittills mycket kretsat kring Facebook och Twitter, men på listan över helt eller delvis komprometterade sajter finns en rad företagstjänster. Bland dem som enligt Firesheeps skapare är helt öppna för verktyget märks samarbetstjänsten Basecamp, Ciscos onlinetjänst CCO och backuptjänsten Dropbox.

Till de delvis komprometterade hör Salesforce.com, Linkedin och Paypal.

Det har hävdats att tilläggsprogram som Force TLS till Firefox och KB SSL Enforcer till Chrome, program som tvingar sajter att skicka information krypterat, ska skydda mot Firesheep. Andra experter har varnat för att dessa kan ge en falsk säkerhet i och med att kakan med inloggningsuppgifterna hinner skickas innan krypteringen slår till.

Tills vidare är det generella rådet till företagsanvändare att alltid använda vpn i trådlösa nätverk utanför kontoret, och om ett öppet nät måste användas bör man helt undvika sajter som kräver inloggning.