网络安全 频道

技术分享:企业如何抵御Firesheep攻击

  安全专家近日提出一些方法可以帮助用户抵御Firesheep攻击,这个新的Firefox浏览器插件可以让业余攻击者拦截用户到Facebook、Twitter和其他主流服务的访问。

  Firesheep向Firefox浏览器添加了一个侧边栏以显示当有人从开放网络(例如咖啡店的无线网络)访问不安全网站。简单的双击就能让攻击者即时访问到已经登录的网站。

技术分享:企业如何抵御Firesheep攻击

  自研究人员Eric Butler近日推出Firesheep以来,该插件的下载次数已经达到22万次。

  “我今天在咖啡店,看到有人在用Firesheep,”旧金山安全公司nCircle Security公司的安全业务主管Andrew Storms表示,“只有是十个人在那里,但却有一个人在使用Firesheep。”

  但用户并不是毫无办法进行抵御的,Storms和其他专家表示。

  专家近日表示,用户可以保护自身免受Firesheep的攻击的一个方法就是避免使用公共无线网络,这种网络通常都没有被加密,并且仅使用一个密码就能登录。

  然而,Security Innovation公司的高级安全工程师Ian Gallagher表示,“虽然开放无线网络是Firesheep的主要发生地,但这并不是问题所在,这并不是无线网络存在漏洞,而是用户所使用的网络缺乏安全性,”Gallagher是日前在圣地亚哥会议上演示Firesheep的两名研究人员之一。

  免费的公共无线网络被很多人理所当然地认为是问题的根源,但实际上这并不是问题。用户可以在公共无线网络登录互联网做很多低风险的活动,包括阅读新闻或者查找附近的餐馆地址等。

  杀毒软件供应商Sophos公司的高级安全顾问Chet Wisniewski表示,最好的防御方法就是当在飞机场或者咖啡厅连接到公共无线网络时,使用虚拟专用网络(VPN)。

  虽然很多企业员工在企业外部时,使用虚拟专用网络连接到他们的办公网络,但他们往往对于互联网连接,缺乏安全“渠道”意识。

  “有些你可以订阅的VPN服务5美元到10美元一个月,可以帮助阻止运行Firesheep的人拦截你的会话,”Wisniewski表示。

  供应商Strong VPN表示,其服务价格为每月7美元起或者每年55美元起。

  然而,Gallagher警告说,VPN并不是功能较多的解决方案,“这只是将问题推到VPN或者SSH终端,”他表示,“你的流量随后将离开那个服务器,就像离开你的笔记本一样,所以任何运行Firesheep或者其他工具的人都能够以同样的方式访问你的数据。”

  “关于使用虚拟专用网络的建议并不能解决这个问题,并且可能只是提供了虚假的安全感,”他表示。

  Strong VPN公司并不同意这种说法,他们的发言人表示:“我们的服务器位于一个安全的数据中心,所以没有人能够‘嗅探’进来或者出去的流量,例如,所有来自你的笔记本的流量在进入我们的服务器时都将被加密。

  Storms回应了Strong VPN公司的说法,“我明白Gallagher的观点,即VPN不能解决根本问题,根本问题在于服务端,”他表示,“但是虽然当流量离开VPN服务器时确实是纯文本格式,也不太可能会有人能够窥探流量。”

  F-Secure公司的安全顾问Sean Sullivan认为Comodo公司(该公司为F-Secure的竞争对手,其服务售价为每个月7美元以及每年50美元)的TrustConnect产品只是一个虚拟专用网络,只是名称不同而已。

  如果“免费”是问题的关键,那也有很多选择, Wisnieswski、Sullivan和Gallagher表示,他们所指的是强迫浏览器在访问某些网站时使用加密连接的免费Firefox插件。

  其中一个插件由电子前沿基金会(EFF)提供的HTTPS-Everywhere,只能适用于某些网站,包括Twitter、Facebook、PayPal和Google搜索引擎等。

  另外的选择就是Force-TLS,与EFF的插件提供相同的功能,但是可以让用户来选择执行加密的网站。

  但是,其他网站,例如微软的IE和谷歌的Chrome都缺乏类似的插件,让用户举步维艰。

  “我预计Firesheep将会刺激电子前沿基金会或者其他机构,也许是开源社区,来开发额外类似插件,”Sullivan表示。

  这可能需要几个月事件。在此期间,Sullivan有另外的主意,“一个可以加密流量的MiFi设备,用户可以随身携带用于无线热点连接。”

  但MiFi并不便宜,例如,Verizon免费赠送硬件,但是每个月收取40美元到60美元的3G网络使用费用。

  最终,通过用户来弥补Firesheep造成的漏洞将会是徒劳无功的,Butler和Gallagher认为这个插件的问题在于缺乏全面的加密,而只有网站和服务能够解决这个问题。

  “这里真正的问题不是Firesheep的成功,而是类似的东西可能出现,”Butler表示,“展望未来,Firesheep的成功指标将很快从它获得的关注度转移到采取适当安全措施的网站的数量,真正的成功将会是:Firesheep无法在作恶多端。”

  但就目前而言,很多安全专业人士对此都忧心忡忡。“我现在正在机场,我想知道是否有人在这里使用Firesheep,也许我应该四处看看是否有人在运行,”Wisniewski表示。

0
相关文章