แฮ็ก Facebook, Twitter เครื่องที่อยู่ในวง Wireless LAN ง่ายๆ ด้วย Firesheep
Tuesday 26 October 2010 4 Comments
ในงาน ToorCon เมื่อสุดสัปดาห์ 22-24 ตุลาคม 2010 ที่ผ่านมา Eric Butler ได้โชว์วิธีการแฮ็ก Facebook, Twitter, และ Social Networking sites อื่นๆ ด้วยวิธีที่ง่ายแสนง่าย เพียงแค่การลง Firefox addon ตัวหนึ่งที่เขาพัฒนาขึ้นมาเพื่อการนี้โดยเฉพาะ
ลองดูวิดีโอสาธิตข้างล่างนี้ (คนสาธิตในวิดีโอนี้ไม่ใช่ Eric Butler นะครับ)
Firesheep คือ Firefox addon ที่กรองหา cookie ที่ใช้เข้าล็อกอินเว็บไซต์ของคนอื่นๆ ที่อยู่ในวง Wireless LAN (Wifi) เดียวกัน ซึ่งเปิดโอกาสให้เราสามารถสวมรอยเข้าไปใช้ในล็อกอินนั้นได้ทันที ถ้าเรียกเป็นภาษาทางการหน่อยๆ เทคนิคนี้มีชื่อว่า “HTTP Session Hijacking” แต่ถ้าภาษาชาวบ้านก็คงจะเรียกประมาณว่า “ขโมย cookie” มั้ง เทคนิคนี้เป็นที่รู้จักกันมานานแล้ว แต่ก็ไม่ค่อยมีใครให้ความสำคัญมากนัก เพราะก่อนหน้านี้คนที่จะทำแบบนี้ได้ต้องมีความรู้ด้าน Network นิดหน่อย ไม่ใช่ง่ายขนาดว่าคลิกๆ ไม่กี่ทีแบบที่โชว์ในวิดีโอ อันนี้มันง่ายเว่อร์ เด็กอนุบาล 2 ข้างบ้านก็สามารถแฮ็ก Facebook คุณได้
อย่างที่ในวิดีโอบอกนะครับ การสาธิตนี้ไม่ใช่การสนับสนุนให้ไปใช้ในทางที่ผิด แต่เป็นการยกระดับให้คนทั่วไปตระหนักถึงปัญหาด้านความปลอดภัย ถ้าคุณไม่อยากโดน Firesheep (หรือโปรแกรมอื่นใดที่ทำงานคล้ายกัน) เล่นงาน Firefox addon อีกตัวหนึ่งที่ชื่อว่า HTTPS Everywhere ช่วยคุณได้ในระดับหนึ่ง เพราะมันจะเข้ารหัสทุกอย่าง ทุกเว็บที่คุณเข้าไปดู
สามารถดาวน์โหลด Firesheep มาลองทดสอบได้จาก http://codebutler.github.com/firesheep/ ตอนนี้ยังมีแค่เวอร์ชันสำหรับบน Windows และ Mac เท่านั้นนะครับ บน Linux รออีกหน่อย
ที่มา
เอ๊ะ แล้วแบบนี้ถ้าจะป้องกันไว้ใน server side ต้องทำยังไงบ้างครับ ?
เอ่อ ผมก็ไม่รู้เรื่องด้านนี้ด้วยสิครับ ^ ^
ลองอ่านตามลิงค์จาก Wikipedia ดูดีกว่าครับ น่าจะถูกต้องตามหลักวิชาการกว่าให้ผมมั่วเองแน่ๆ http://en.wikipedia.org/wiki/Session_hijacking#Prevention
ทำมัยโหลดโปรแกรมไม่ได้ค่ะfiresheepนะค่ะลองทำทุกขั้นตอนแล้วนะแต่เปิดไม่ได้
กด start capturing แล้วแต่ไม่เห็นมีอะไรขึ้นมาเลยครับ