Hur man undviker att få sin Facebook kapad

Det smarta pluginet firesheep skapar kaotisk oro. I sedvanlig ordning krävs det att någon tillverkar ett användarvänligt litet program för att säkerhetsproblem som länge varit kända ska ”avslöjas”.

Den större bilden är lite mera slukande. En halv miljard digitala liv skickas okrypterat över internet, för vem som helst att fånga upp på vägen. Inte bara din retsamma granne på det trådlösa nätverket.

Kör vi programmet traceroute på facebook.com passerar trafiken Sveriges gränser här:

8 se-fre.nordu.net (109.105.102.9)
9 dk-ore.nordu.net (109.105.97.6)

Om jag var FRA skulle jag ha en så kallad samverkanspunkt nånstans mellan Göteborg och Danmark, och här är det fritt fram att direkt kopiera all okrypterad trafik. Hett gratistips till Lovön!

Hur går man då runt facebooks mycket klantiga säkerhetsproblem? Det är ju ganska lätt att fixa det, bara att installera krypterad https på webservern (”bara” är kanske ett relativt begrepp på så stora sajter).

Just att bli sniffad på öppna trådlösa nätverk är enkelt. Man använder sig av en VPN-tjänst, exempelvis ipredator eller den mycket säkrare Air VPN. Ipredator skyddar dock inte mot FRA då dess servrar står i Sverige, och trafiken ändå skickas i klartext över gränsen. Däremot Air vpn står i Frankrike, men sen går det ändå okrypterat därifrån till USA.

Någonstans här träffar vi på MI6 och NSA:

10 uk-hex.nordu.net (109.105.97.29)
11 linx.br02.lhr1.tfbnw.net (195.66.225.121)

Trafiken hoppar över Storbritannien innan den når tfbnw.net som ägs av facebook. Den enda vettiga lösningen är att trafiken krypteras från din dator, till facebooks serverhall. Men då måste vi be facebook om nåder, likt digitala slavar ber om sin frihet. Starta en grupp kanske…

Andra sätt att undvika att bli sniffad av grannen är exempelvis att använda TOR eller att sätta upp en Linuxserver hemma som man SSH-tunnlar sin webtrafik genom när man sitter på öppna trådlösa nätverk.

Oavsett om det nu är kontorsgrannen eller FRA man nojar över, är det alltid lika trevligt när paranoia leder till att man får chansen att prata kryptering.

*Picture unrelated.
Uppdatering 1: Ungefär samma saker, fast i mera detalj, framkommer i Eric Butlers mycket läsvärda bloggpost om ämnet.
Uppdatering 2: Idg.se skriver vidare om bla. varför inte HTTPS everywhere hjälper i alla situationer.
Uppdatering 3 Blev intervjuad av radio Metropol om saken och pratar lite allmänt om kryptering. För er med fria operativsystem har jag lagat till en OGG-fil (i Win/MacOS får man ladda hem VLC player el. dyl)… okej… en mp3 också då…

15 svar på “Hur man undviker att få sin Facebook kapad”

  1. vigge_sWe: Jag testade med mitt hemliga spionkonto och visst svarar facebook på login på https. Men den växlar genast över till okrypterad anslutning när man börjar surfa runt. Alltså borde cookies fortsätta att skickas i klartext.

    Har för mig att det finns ett annat plugin till firefox som tvingar att använda https… men kommer inte på vad det heter. Oavsett vilket är det en mycket ohållbar lösning när sajten när som helst växlar över till okrypterat läge.

  2. Precis, hallå? Varför nämner du inte HTTPS?

    Och ja, det finns ett firefox addon som tvingar om till HTTPS om det finns, fungerar utmärkt på facebook, dock kan man ej använda chatten då.

    Går även på google, men då är bildsök och andra funktioner disableat.

  3. Tillägget till Firefox som ”tvingar” till användning av https på en mängd sajter/tjänster heter HTTPS Everywhere. Leder, som sagt, bara till säkerhetsteater när det gäller Facebook, men för till exempel Gmail och Wikipedia fungerar det bra.

  4. Japp. Https everywhere var det jag fumlade efter 😀 Bra plugin, även om det är ett fulhack ovanpå en bristfällig säkerhetslösning.

    Anders: Ändrar. Att skriva länkar ur minnet är inte alltid så smart har jag insett 😀

  5. Utan att ha gjort ngn större undersökning så tyckte jag noscript plugin til ff verkar bättre. (på min dator gjorde httpseveryw. en http-request innan den växöade till https.)

  6. Problemet med HTTPS everywhere är den initala handskakningen samt att cookiesarna måste ha secure-flag för att det ska funka hundraprocentigt. Men det är åtminstone en bit på vägen. Se länken under ”Uppdatering 1” i bloggposten ovan.

  7. Christopher: All form av kryptering är fulhack emm. I en perfekt värld skulle ingen behöva kryptera, för ingen skulle försöka läsa någon annans medelanden. Men eftersom vi inte lever i en perfekt/buggfri värld måste vi kryptera vår kommunikation.

    Jag brukar jämföra det med att man gör ett fulhack för att komma runt en bugg i ett framework (heter det ramverk på svenska?). Det är inte snygt, det är inget att rekommendera men man är tvungen att göra det för att få saker att fungera.

  8. Christopher, precis, därför valde jag NoScript istället, som innehåller en massa nyttigt inklusive att den tvingar på https för specade domäner. Så vitt jag kan se gör den ingen http-request alls.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Time limit is exhausted. Please reload CAPTCHA.