Thai Netizen Network

(โดน) สวมรอยบน Facebook ด้วย Firesheep – และการป้องกัน

ปรับปรุงล่าสุดเมื่อ 27 ตุลาคม 2553 – เพิ่มข้อมูลเกี่ยวกับชุดคำสั่ง Idiocy

ความปลอดภัยของข้อมูลบนอินเทอร์เน็ตนั้นถูกท้าทายอยู่ตลอดเวลา เมื่อเร็ว ๆ นี้ Eric Butler นักพัฒนาซอฟต์แวร์ชาวอเมริกันได้เผยแพร่ซอฟต์แวร์ที่ช่วยให้การ “สวมรอย” เป็นผู้อื่นในเว็บไซต์สังคมออนไลน์อย่าง Facebook หรือ Twitter นั้นง่ายเพียงคลิกเมาส์

Firesheep เป็นส่วนเสริม (add-on) ของ Firefox เว็บเบราว์เซอร์ยอดนิยม มันทำหน้าที่ “ดักฟัง” (sniff) ข้อมูลในระบบเครือข่ายเดียวกัน และกรองข้อมูลเพื่อหา “คุกกี้” (cookie) ของเว็บไซต์ต่าง ๆ เพื่อใช้ในการสวมรอย

หลักการทำงาน

คุกกี้ คือข้อมูลสั้น ๆ ที่เว็บไซต์จะส่งมาเก็บไว้ในเว็บเบราว์เซอร์หลังจากที่เราล็อกอินเข้าระบบ โดยทำหน้าที่เป็นใบผ่านทางในการเชื่อมต่อกับเว็บไซต์นั้นอีกภายหลัง หากไม่มีการเข้ารหัสข้อมูลแล้ว เราสามารถดักจับข้อมูลคุกกี้ของผู้อื่นในระบบเครือข่ายเดียวกัน และใช้คุกกี้หรือใบผ่านทางนี้สวมรอยเข้าสู่ระบบเว็บไซต์ได้ วิธีนี้มีชื่อเรียกว่า session hijacking

อันตราย

แม้ว่าเว็บไซต์ชื่อดังส่วนมากจะมีการเข้ารหัสการล็อกอินเข้าใช้งาน แต่การรับส่งข้อมูลส่วนที่เหลือ – รวมถึงการติดตั้งคุกกี้ – มักไม่ถูกเข้ารหัสโดยปริยาย จึงเป็นช่องโหว่ให้การสวมรอยด้วยวิธีนี้ และเมื่อสามารถสวมรอยเข้าสู่ระบบเว็บไซต์ได้แล้ว ผู้สวมรอยสามารถโพสต์หรือลบข้อมูลต่าง ๆ ได้ สามารถแก้ไขการตั้งค่าความเป็นส่วนตัวได้

ข้อจำกัด

เราสามารถดักจับข้อมูลในระบบเครือข่ายได้โดยง่ายหากมีการใช้ Hub เป็นจุดเชื่อมโยงคอมพิวเตอร์ทั้งหมดเข้าด้วยกัน การเปลี่ยนไปใช้ Switch หรือ Switching Hub จะทำให้การดักจับและเปิดอ่านข้อมูลยากขึ้น แต่ก็ยังเป็นไปได้ และหากมีการเข้ารหัสการรับส่งข้อมูลด้วย SSL (สังเกต https ก่อนที่อยู่เว็บไซต์) การเปิดอ่านข้อมูลนั้นก็แทบจะเป็นไปไม่ได้

นอกจากนี้ หากผู้ใช้ล็อกเอาท์จากระบบหลังสิ้นสุดการใช้งาน ระบบจะลบข้อมูลการอยู่ในระบบของผู้ใช้ และผู้อื่นจะไม่สามารถใช้วิธี session hijacking เข้าไปสวมรอยได้

วิธีการป้องกัน

นอกจากนี้ เราควรระลึกอยู่เสมอว่า เว็บไซต์ที่ไม่มีบริการเข้ารหัส (ไม่มี https) นั้นจะส่งรหัสผ่านของเราออกไปอย่างไม่ปลอดภัย และง่ายต่อการถูกดักฟังกลางทาง

(เพิ่มเติม) ช่วยเตือนผู้อื่นด้วย Idiocy

หลังจากที่ Firesheep กลายเป็นข่าวใหญ่ (คนดาวน์โหลดถึงหลักแสนครั้งใน 24 ชั่วโมง) ก็มีนักพัฒนาซอฟต์แวร์อีกรายคือ Jonty Wareing เผยแพร่ชุดคำสั่งชื่อ Idiocy เพื่อใช้เตือนผู้ที่ลงทะเบียนเข้าใช้เว็บไซต์ทวิตเตอร์อย่างไม่ปลอดภัย

Idiocy เป็นชุดคำสั่งภาษา Python ที่ใช้หลักการเดียวกับ Firesheep คือขโมยคุกกี้ของผู้อื่นมาใช้สวมรอย แล้วส่งทวีตในชื่อผู้ใช้คนนั้นพร้อมลิงก์ไปยังหน้าเว็บที่ให้คำแนะนำเรื่องความปลอดภัย ขณะนี้ Idiocy ยังสามารถช่วยเตือนผู้ใช้ทวิตเตอร์ได้เท่านั้น แต่ผู้ที่รู้ภาษา Python สามารถดาวน์โหลดโค้ดต้นฉบับมาแก้ไขเพิ่มเติมได้

บทความนี้มิได้มีจุดประสงค์เพื่อสนับสนุนการสวมรอยเป็นผู้อื่น แต่เพื่อให้ความรู้และป้องกันการกระทำไม่พึงประสงค์บนอินเทอร์เน็ต การเข้าใช้งานเว็บไซต์ด้วยบัญชีของผู้อื่นโดยไม่ได้รับอนุญาตและการใช้ซอฟต์แวร์ Firesheep โดยมิชอบอาจเป็นการกระทำความผิดตามมาตรา 7 มาตรา 8 และมาตรา 9 แห่งพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

Exit mobile version