Facebook, Twitter of Hyves? Wij loggen in op uw account!

Iedereen die een beetje zoekt op internet kan dit soort software vinden. Het nieuwste ‘hack’-hulpmiddel is Firesheep, een plugin voor de immens populaire Firefox-browser. Na het downloaden en installeren verschijnt er links een balk in Firefox met één knop: Start Capturing. Klik op deze knop en u ziet alle inlogpogingen van anderen op diensten als Gmail, Hotmail, Yahoo! mail, Facebook en Twitter op een onbeveiligd draadloos netwerk vanzelf voorbij komen. Firesheep belooft dat we door te dubbelklikken op zo’n gedetecteerde inlogpoging direct als die persoon op de betreffende webdienst kunnen inloggen.

We besluiten om onze laptop met daarop de plugin mee te nemen naar een McDonald’s in de buurt. Deze hamburgergigant biedt tegenwoordig gratis draadloos internet aan in zijn restaurants, wat natuurlijk ideaal is voor iedereen met lekkere trek die zijn mail wil checken. Zoals bij vrijwel alle aanbieders van gratis internet is het netwerk bij de Mac onbeveiligd. Dit is omdat men mensen wil lokken met deze gratis extra service. Als u eerst moet inloggen kost dit niet alleen meer moeite, veel mensen weten niet eens wáár ze het wachtwoord in moeten typen. Een open netwerk is voor iedereen simpel te gebruiken, wat frustratie voorkomt. Ook worden de medewerkers niet steeds lastig gevallen met vragen en klachten over het netwerk.

Onder het genot van  een cheese-burgermenu starten we Firesheep. En dat het werkt zoals beloofd, blijkt wel als langzaam de lijst met onderschepte cookies groeit. Cisco, Tumblr, Amazon, Cnet, Yelp, Facebook, Twitter, YouTube, Bit.ly en Four-Square; op al deze diensten wordt voor onze neus ingelogd. In een uur zien we 37 onveilige logins voorbij komen. Zouden wij nu ook doodsimpel op de accounts van anderen in kunnen loggen op de verschillende diensten? We klikken accounts aan van onder andere Facebook, Yahoo! mail en Twitter. In alle gevallen logt Firefox moeiteloos in met de onderschepte gegevens. In de mailboxen treffen we vooral bergen spam, een van de twitteraars blijkt geïnteresseerd in de Haagse politiek en de Facebook-gebruikers spelen fanatiek Farmville. Op de afbeeldingen ziet u een selectie van wat we aantroffen. Uiteindelijk hebben we éénmaal geklikt om Firesheep in te schakelen en een paar keer geklikt op een pictogram in een overzichtelijke lijst. Dit is letterlijk hacken voor dummy’s.

De twitteraar heeft gisteren kennelijk een leuk feestje gehad. Die schrijft: “Jeezus he vandaag onwijs brak” en “Gister wl gelache, joh. Als je dr niet bij was heb je wat gemist!!1”. Tenslotte worden de volgers op Twitter eraan herinnerd dat eten bij MacDonalds “Altijd lekkah!” is. De eigenaar van het account houdt verder vooral PVV- en VVD- tweets in de gaten. Ondertussen kijken wij rond; zou het die jongen van een jaar of zeventien met BlackBerry zijn of toch die jongedame die zo druk bezig is met haar smartphone? Een ander checkt intussen even zijn Hotmail. Hij blijkt vooral ‘humoristische’ mailtjes aan het bekijken en doorsturen. U kent ze vast wel, van die flauwe PowerPoints of ronduit vunzige plaatjes en filmpjes. We zouden deze mails kunnen doorsturen naar zijn vrouw (via het adresboek), maar iets zegt ons dat de man dat niet zou waarderen. De weinige mails die niet talloze malen zijn doorgestuurd, blijken vakantiefoto’s van de eigenaar van de mailbox. U kunt best wat vaker naar de sportschool gaan of wat minder snoepen, meneer!

Op het web maakt u meestal gebruik van het http-protocol, een stel regels die bepalen hoe browsers en sites met elkaar moeten praten. Oorspronkelijk is het protocol niet bedacht met beveiliging in het achterhoofd. Omdat http geheel onbeveiligd is, is standaard communicatie met websites gemakkelijk af te luisteren. Als u de site van bijvoorbeeld Hyves voor u ziet, typt u uw gebruikersnaam en wachtwoord in en verstuurt deze informatie vervolgens met een druk op de knop. Uw inloggegevens gaan onversleuteld het world wide web over tot ze de webserver van Hyves bereikt hebben. Iedereen op hetzelfde onbeveiligde draadloze netwerk als u kan al het netwerkverkeer langs zien komen
én opslaan. Een kwaadwillende gebruiker die uw communicatie met een website afluistert (ook het antwoord van de webserver wordt opgevangen!) noemen we een man in the middle.

Een man in the middle is gemakkelijk voor te stellen als een wildvreemde die tussen u en een vriend van u gaat instaan terwijl u een persoonlijk gesprek voert. In de echte wereld zult u stoppen met praten tot de rare snuiter weer weg is, maar op een draadloos netwerk kunt u niet zien of er iemand meeluistert. Het afluisteren gebeurt namelijk (meestal) passief. Nou is afluisteren tot daar aan toe, maar de man in the middle heeft nog een smerige truc in zijn arsenaal; een replay-attack. De aanvaller heeft gezien hoe u contact maakte met een website en hoe u vervolgens uzelf identificeerde om toegang te krijgen tot beveiligde inhoud.

De aanvaller kan wat hij heeft opgevangen exact herhalen en zo probleemloos inloggen op bijvoorbeeld uw e-mailaccounts.Er zijn enkele manieren waarop een replay-attack kan worden voorkomen. Dat kan door in plaats van http-communicatie het versleutelde https-protocol te gebruiken. Goed opgezette webservers accepteren twee mogelijke manieren van communicatie; http-sessies en https-sessies. Zo’n beveiligde verbinding kunt u ook op een onbeveiligd netwerk aanvragen en gebruiken. En dat kan heel simpel; in plaats van bijvoorbeeld http://twitter.com typt u https://twitter.com. Uw browser herkent dat u een beveiligde https-verbinding wilt opzetten en stelt de server aan de andere kant op de hoogte. De browser en server bepalen samen wat de sterkst mogelijke versleuteling is en dan wordt er aan beide kanten een sleutel berekend.

Elke webserver die https ondersteunt heeft twee sleutels, grote getallen die ooit willekeurig zijn gegenereerd. De ene sleutel is publiek, de andere privé. Maakt u een beveiligde verbinding met de server, dan bedenkt uw browser een willekeurig getal en versleutelt dat met de publieke sleutel van de server. Het versleutelde getal wordt naar de server gestuurd, die het met zijn privésleutel ontcijferd.
Nu weet de server wat uw willekeurige getal is, maar een man in the middle niet, omdat die de privésleutel van de server niet kent. Het willekeurige getal dat uw browser bedacht heeft is vanaf nu de basis voor versleuteling. Dankzij de versleuteling kunnen anderen op uw netwerk de aard en inhoud van de communicatie niet meer zien. Ook uw logingegevens worden vóór ze het netwerk opgaan vervangen door een ogenschijnlijk willekeurige cijferbrij die (bijvoorbeeld) alleen Twitter kan omzetten tot wat u heeft ingetikt.

Op zich is het een kleine moeite om voordat u ergens gaat inloggen een ‘s’ toe te voegen aan het adres, maar het kan nog gemakkelijker. Digitale burgerrechtenbeweging EFF heeft de Firefox-plug-in HTTPS Every-where uitgebracht. Zodra u een webserver wilt benaderen, probeert de plug-in daarvan een https-verbinding te maken. Lukt dit niet, dan krijgt u alsnog onbeveiligd toegang. Uiteraard zorgen de grote bedrijven achter bijvoorbeeld webmaildiensten en sites als Facebook en Twitter dat dit altijd wel lukt. U vindt de plug-in op https://www.eff.org/
https-everywhere. Op het moment van schrijven bestaat er helaas nog geen plug-in voor andere browsers.

Firesheep is geen hack-tool pur sang, maar bedoeld om mensen wakker te schudden. Ontwerper Eric Butler maakte de browser-plugin puur uit frustratie dat grote websites https nog steeds niet afdwingen, terwijl ze al jaren weten dat http in veel gevallen erg kwetsbaar is. De tool laat wachtwoorden bewust niet zien, maar beperkt zich tot het kopiëren van cookies. Nadat u bent ingelogd stuurt een website u een heel klein bestandje, een cookie in vaktermen. Als u de site een tijdje later opnieuw benadert, vraagt deze om het cookie als bewijs dat u zich al eerder succesvol heeft geïdentificeerd. Zo hoeft u niet opnieuw in te loggen. Firesheep verstuurt cookies die het van anderen heeft onderschept en logt op die manier in. Het lukte ons met wat kunstgrepen om niet-standaard ondersteunde, nieuwe websites aan Firesheep toe te voegen en zo konden we ook Hyves-accounts binnengaan. Hackers gebruiken nog veel geavanceerdere tools, dus u bent gewaarschuwd!

Op het moment van schrijven is Firesheep al bijna een miljoen keer gedownload. Ongetwijfeld zijn er veel mensen met kwade bedoelingen met de software aan de slag gegaan. Veel belangrijker is dat de plugin een enorme hoeveelheid negatieve publiciteit heeft veroorzaakt in computerkringen. Het duurde een tijdje, maar na ongeveer een maand hadden onder andere Gmail en Hotmail stilletjes hun http-loginpagina’s verwijderd. Als u dit leest, kunt u daar alleen nog maar uw mail checken via een https-verbinding. Ook verschillende andere diensten waarvan Firesheep de lakse veiligheid aantoonde hebben hun diensten – en dus uw gegevens – inmiddels beter beveiligd. We gaan nog een keer fastfood eten en loggen weer in op hetzelfde onbeveiligde netwerk. En zoals verwacht lukt het Firesheep in de meeste gevallen niet meer om cookies binnen te halen. Dit stemt ons in ieder geval hoopvol voor de toekomst, al blijken populaire diensten als Hyves, Twitter en Facebook nog altijd even kwetsbaar …

Een onbeveiligd draadloos netwerk is natuurlijk niet wenselijk. Voor uw eigen netwerk raden we met klem wpa(2)-versleuteling aan. Firesheep is een beperkte tool, echte hackers kunnen helaas veel meer. Maar ook op een onbeveiligd netwerk kunt u zelf voor beveiliging zorgen! Hieronder een aantal adviezen om met een gerust hart te kunnen genieten van gratis wifi onderweg.

- Maak gebruik van HTTPS Everywhere of type handmatig de extra s van https in als u gaat inloggen op een webdienst.

- Eventueel kunt u een Virtual Private Network aanmaken door vpn-software te gebruiken. Een vpn maakt het mogelijk om alle netwerkverkeer zeer sterk te versleutelen. Een simpele te gebruiken, gratis aanbieder is Hotspot Shield.Hier kunt u een programma downloaden dat op commando een in principe onkraakbare verbinding maakt met de servers van HotSpot Shield.U surft dan als het ware vanaf die server en vermijdt zo het onbeveiligde netwerk en eventuele nieuwsgierige aagjes daarop.

- Zorg ervoor dat zowel Windows als uw anti-viruspakket volledig up-to-date zijn met de allernieuwste programma-updates.

- Gebruik altijd een firewall en zorg dat deze goed is ingesteld.