לאחרונה שוחרר תוסף לפיירפוקס שנקרא Firesheep. התוסף מאפשר פריצה לחשבונות כגון אי מיילים, פייסבוק וכו' כל כך בקלות כך שלא צריך להיות האקר מיומן כדי לעשות את זה. כך זה עובד: המשתמש מתקין את התוסף Firesheep על המחשב שלו ויוצא ל"צייד" במקומות בהם ישנה רשת אלחוטית לא מאובטחת כגון בתי קפה, שדות תעופה וכו'. ה Firesheep "מרחרח" באותה רשת לא מאובטחת, וכשהוא מוצא קבצי cookies (קבצים אשר שומרים נתונים מסוימים בזמן הגלישה) לאתר ספציפי כגון פייסבוק, טויטר או אמזון, הוא מעתיק אותם ומאפשר למשתמש בו את הגישה לחשבון הלגיטימי של גולש אחר.
לדוגמא, אתה גולש ברשת אלחוטית חינמית (שלא מצריכה שם משתמש וסיסמא) בבית קפה ואתה נכנס לחשבון הפייסבוק שלך. אני יושב בשולחן שלידך באותו בית קפה ומריץ את ה Firesheep. עכשיו יש לי גישה לחשבון שלך, אני יכול לשלוח הודעות בשמך, ולראות את כל מה שאתה רואה כולל רשימת החברים וכו'. אם אתה משתמש בטויטר, אני יכול "לצייץ" בשמך. רוב האתרים שמצריכים שם משתמש וסיסמא יכולים להיפרץ על ידי שימוש ב Firesheep.
זמן קצר אחרי שהתוסף Firesheep שוחרר, אדם אחר כתב תוכנה אחרת וקרא לה Idiocy (אידיוטיות). בעיקרון Idiocy עושה בדיוק את אותו הדבר רק שהיא מוגבלת לחשבונות טויטר בלבד. אחרי שהתוכנה זיהתה את קבצי ה cookies של הגולש היא שולחת הודעה שאומרת "גלשתי בטויטר בצורה לא מאובטחת ברשת ציבורית, וכל מה שקיבלתי הוא 'ציוץ' עלוב".
הרעיון שעומד מאחורי Firesheep ו- Idiocy הוא העלאת המודעות לבעיות המהותיות של אבטחה ופרטיות. אתרים כמו פייסבוק, טויטר, יאהו, אמזון וכל אתר אחר שדורש סיסמא צריך להשתמש בפרוטוקול https כל הזמן, לא רק במסך הכניסה.
ישנה גם השאלה החוקית והאתית בשימוש בתוכנות כאלו. החוק משתנה ממדינה למדינה ואפילו יכול להשתנות בין מדינות בתוך ארה"ב. אני מנחש (לא מבטיח) שלא בלתי חוקי להשתמש ב Firesheep כדי להעתיק קבצי cookies. אך ברגע שעשיתם דאבל-קליק על תמונת המשתמש כדי להיכנס לחשבון שלו, קרוב לודאי שעברתם על החוק. כרגע המומחים בנושא החוק ואבטחת המידע עדיין חלוקים בדעתם לגבי חוקיות השימוש בתוסף. באופן אישי אני לא יתקין את התוכנה Idiocy כיוון שבאופן אוטומטי היא תבצע חדירה בלתי חוקית לחשבון אחר.
לפני שאתה מתקין ו/או משתמש ב Firesheep בדוק את החוקים המקומיים שמתייחסים לכך. יש סיכוי גבוה שבעצם התקנת התוכנה אתה עובר על החוק. באופן אישי אני חושב שזה לא יהיה אתי לעשות את זה, אפילו מתוך הכוונה הטובה ביותר של להזהיר את חבריך מפני הסכנות שבגלישה לא בטוחה.
ובלי קשר, Firesheep הפכה את השימוש ברשתות ציבוריות למסוכנות יותר מבעבר. ניתן לקרוא מידע נוסף על התגוננות ברשתות ציבוריות במאמר Fly-by-Wireless.
רנדי אברמס הצטרף ל- ESET ביולי 2005 בתפקיד הדירקטור לחינוך טכנולוגי. במסגרת תפקידו מעביר רנדי הדרכות לעובדי ומפיצי ESET בכל העולם.
לפני שהצטרף ל- ESET עבד רנדי בחטיבת אבטחת המידע של מיקרוסופט במשך 12 שנים בפיתוח תהליכים שמטרתם למנוע ממיקרוסופט לשחרר תוכנות נגועות.
