แฮ็ก Facebook, Twitter เครื่องที่อยู่ในวง Wireless LAN ง่ายๆ ด้วย Firesheep


ในงาน ToorCon เมื่อสุดสัปดาห์ 22-24 ตุลาคม 2010 ที่ผ่านมา Eric Butler ได้โชว์วิธีการแฮ็ก Facebook, Twitter, และ Social Networking sites อื่นๆ ด้วยวิธีที่ง่ายแสนง่าย เพียงแค่การลง Firefox addon ตัวหนึ่งที่เขาพัฒนาขึ้นมาเพื่อการนี้โดยเฉพาะ

ลองดูวิดีโอสาธิตข้างล่างนี้ (คนสาธิตในวิดีโอนี้ไม่ใช่ Eric Butler นะครับ)

Firesheep คือ Firefox addon ที่กรองหา cookie ที่ใช้เข้าล็อกอินเว็บไซต์ของคนอื่นๆ ที่อยู่ในวง Wireless LAN (Wifi) เดียวกัน ซึ่งเปิดโอกาสให้เราสามารถสวมรอยเข้าไปใช้ในล็อกอินนั้นได้ทันที ถ้าเรียกเป็นภาษาทางการหน่อยๆ เทคนิคนี้มีชื่อว่า “HTTP Session Hijacking” แต่ถ้าภาษาชาวบ้านก็คงจะเรียกประมาณว่า “ขโมย cookie” มั้ง เทคนิคนี้เป็นที่รู้จักกันมานานแล้ว แต่ก็ไม่ค่อยมีใครให้ความสำคัญมากนัก เพราะก่อนหน้านี้คนที่จะทำแบบนี้ได้ต้องมีความรู้ด้าน Network นิดหน่อย ไม่ใช่ง่ายขนาดว่าคลิกๆ ไม่กี่ทีแบบที่โชว์ในวิดีโอ อันนี้มันง่ายเว่อร์ เด็กอนุบาล 2 ข้างบ้านก็สามารถแฮ็ก Facebook คุณได้

อย่างที่ในวิดีโอบอกนะครับ การสาธิตนี้ไม่ใช่การสนับสนุนให้ไปใช้ในทางที่ผิด แต่เป็นการยกระดับให้คนทั่วไปตระหนักถึงปัญหาด้านความปลอดภัย ถ้าคุณไม่อยากโดน Firesheep (หรือโปรแกรมอื่นใดที่ทำงานคล้ายกัน) เล่นงาน Firefox addon อีกตัวหนึ่งที่ชื่อว่า HTTPS Everywhere ช่วยคุณได้ในระดับหนึ่ง เพราะมันจะเข้ารหัสทุกอย่าง ทุกเว็บที่คุณเข้าไปดู

สามารถดาวน์โหลด Firesheep มาลองทดสอบได้จาก http://codebutler.github.com/firesheep/ ตอนนี้ยังมีแค่เวอร์ชันสำหรับบน Windows และ Mac เท่านั้นนะครับ บน Linux รออีกหน่อย

ที่มา

4 Responses to แฮ็ก Facebook, Twitter เครื่องที่อยู่ในวง Wireless LAN ง่ายๆ ด้วย Firesheep

  1. เอ๊ะ แล้วแบบนี้ถ้าจะป้องกันไว้ใน server side ต้องทำยังไงบ้างครับ ?

    • akedemo says:

      เอ่อ ผมก็ไม่รู้เรื่องด้านนี้ด้วยสิครับ ^ ^

      ลองอ่านตามลิงค์จาก Wikipedia ดูดีกว่าครับ น่าจะถูกต้องตามหลักวิชาการกว่าให้ผมมั่วเองแน่ๆ http://en.wikipedia.org/wiki/Session_hijacking#Prevention

  2. my do sola says:

    ทำมัยโหลดโปรแกรมไม่ได้ค่ะfiresheepนะค่ะลองทำทุกขั้นตอนแล้วนะแต่เปิดไม่ได้

  3. dew says:

    กด start capturing แล้วแต่ไม่เห็นมีอะไรขึ้นมาเลยครับ

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: