loop99
@loop99
軽く説明すると『Firesheep』とはFirefoxのアドオンで、これを利用すると同じワイヤレスネットワークで接続しているPCからアクセスしているgoogleやtwitter、facebook等の主要なwebサービスの他人のアカウントに簡単に成りすましができるというもの。
2010-10-27 04:34:58
loop99
@loop99
Windowsだと別途WinPcapというアプリケーションを入れなくてはいけないのでちょっと面倒だが、MACだとほぼ1クリックじゃないの?って言うくらいサクッと成りすまし環境が整ってしまう。
2010-10-27 04:37:47
loop99
@loop99
なんとなく面倒な代物である事は伝わったかと思うのですが、外で仕事をする自分にとっては非常に厄介。せっかく至る所に無線LAN環境が整い、仕事をする場所を自由に選択できるようになったのにこれでは落ち着いて仕事が出来ない。という事で調べてみたのです。
2010-10-27 04:46:54
loop99
@loop99
まずは、自宅の無線LAN環境でチェック。使用しているセキュリティ的要素としては、WEPキーのみ。MACのFirefoxにFiresheepをインストール。Windowsでいつも通りにwebにアクセス。それをMACにインストールしたFiresheepでCapturing。
2010-10-27 04:56:01
loop99
@loop99
結果は、デフォルトでCapturingが可能なwebサービスの内、いつも自分が使用しているサービスgoogle、twitter、facebook、foursquare全てで綺麗にアカウントの情報が抜かれてしまった。1クリックでそのアカウントへのログインが可能に。
2010-10-27 05:00:53
loop99
@loop99
はっきり言ってビックリしましたよ。MACのFirefoxのサイドバーには、ご丁寧に画像付きでそれぞれのwebサービスのそれぞれのアカウントへの成りすましが可能なリンクが表示される。こんな簡単に成りすましが出来るとは。
2010-10-27 05:08:08
loop99
@loop99
とりあえず感心していてもしょうがないので、一般的な対策としてログインをする際パスワード等の入力をSSL通信に変更して再トライ。結果はログイン時はかわせるもののリダイレクトされたトップページで情報を抜かれてしまい結果は同じ。
2010-10-27 05:11:48
loop99
@loop99
その後少し調べてみると、Firefoxのアドオンを利用してブラウザからの通信を強制的にHTTPSにて行わせる事が出来るとの事。ひとつは『Force-TLS』、もうひとつが『HTTPS Everywhere』。
2010-10-27 05:21:22
loop99
@loop99
『Force-TLS』はHTTPSで通信するドメインを入力するタイプ、『HTTPS Everywhere』は主要webサービス一覧の中からHTTPSで通信をするwebサービスを選ぶタイプ。個人的にたくさんアドオンを入れるのは嫌いなので、どっちか一つにしたかったのですが、
2010-10-27 05:24:20
loop99
@loop99
twitter.comにて確認したところ、『Force-TLS』のみだと最初のアクセス時にHTTPでの通信になってしまい、あえて一度トップ画面を読み込ませるのが面倒、『HTTPS Everywhere』のみだとTLの新規更新件数読み込み時にHTTPで通信されてしまう。
2010-10-27 05:28:49
loop99
@loop99
しかしこの方法も万能なわけではなく、あくまで全てのページでHTTPSの通信が可能なwebサービスのみ適用できる方法なのです。自分が普段利用しているwebサービスの内foursquareについては、HTTPSで通信をしようとしてもHTTPにリダイレクトされるので不可能ということに。
2010-10-27 05:35:47
loop99
@loop99
とりあえず自宅の無線LAN環境で応急処置的な対応をした後、PCを持って街へ出てみた訳です。それがまさかあんな光景を見ることになるとは…
2010-10-27 07:00:11
loop99
@loop99
向かった場所は、自宅近くのWIRED CAFE.。入り口近くには無料のPCが置いてあり、電源の利用も可能。さらにフリーの無線LANも完備、WEP等のセキュリティーも無し。入り口から一番奥の席に座るまでの間に持ち込んでいる自分のPCを開いている人を3人確認。
2010-10-27 07:06:46
loop99
@loop99
全員が無線LANに接続しているかどうかはわからないものの、ミーティング等でこの場所を使う人が多い事からも、結構な人数が無線LANを使用している事が伺える。とりあえず席を確保してPCを立ち上げてみると、既にfacebookのアカウントが一人丸見え状態に。
2010-10-27 07:11:09
loop99
@loop99
そのまま3時間近くPCを放置したところ、twitterアカウントが3つ、facebookアカウントが2つ、googleアカウントが1つ丸見えになっていた。さすがになりすまし行為はせずにそのまま情報はクリアしたのですが、まさかたった3時間でこんなに情報が筒抜けになるとは。
2010-10-27 07:14:14
loop99
@loop99
とにかく公衆無線LANを使う機会がある方は、何らかの応急処置はとっておいた方がよいかと。『Force-TLS』と『HTTPS Everywhere』位は入れておいてね。
2010-10-27 07:24:04
loop99
@loop99
とりあえず、二つのアドオンをインストールして起きた今のところの不具合としては、USTREAMのソーシャルストリームの書き込みが出来なくなった事くらい。理由は今のところ全く不明。まぁ別のブラウザを立ち上げれば、USTREAMの問題は大した事ないですからね。
2010-10-27 07:28:52
loop99
@loop99
ただこの『Firesheep』、スクリプトによる追記が可能なので、デフォルトではサポートされていないwebサイトも今後はぶっこ抜く事が出来るようになる可能性があります。例えばmixiとか。よく見るサイトが全体的にHTTPSで接続される構造になるまではいたちごっこな感じですかね。
2010-10-27 08:01:26
Toshihiro TAKAHASHI
@takahasix
@loop99 そのニュースみたよ。そこまで気になるなら、サーバー立ててネットワークの全アクセスをVPN経由でやればいいんでね?それが駄目ならSSLトンネル作って家のサーバーへ接続してからネットみるとかかなぁ。
2010-10-27 05:33:55
loop99
@loop99
@takahasix 基本的にはブラウザで出来る応急処置で大丈夫だと思ってる。まぁ、どうしてもってなった時の為にVPN用のサーバーたててもいいかなぁ位は思ってるけど。それよりも今回の件で話題になってる、サイト側はどこ迄を、HTTPSで通信するべきかって事の方が気になるかも。
2010-10-27 06:11:00
Toshihiro TAKAHASHI
@takahasix
@loop99 むーGoogleとかyahooとか他のサイトの認証にも使われるような大手は、基本全部HTTPSでやってほし気もするなぁw
2010-10-27 06:27:47