We use cookies to ensure that we give you the best experience on our website.

מדריך להרחת סיסמאות וקובצי Cookie (ואיך להגן על עצמך מפני זה)

לפני כשנה, כלי קראכבשת אשהכיר לרבים מאיתנו באיזו קלות אדם אחר באותה רשת שאתה יכול לחטט בסשן הגלישה שלך ואפילו להתחזות כמוך באתרים שדורשים התחברות, כמו, אולי בעיקר, פייסבוק. הנה מבט מקרוב עלכיצד פועל חטטנות ברשת וכיצד להגן על עצמך מפני זה.

זה פוסט ארוך, אז חילקתי אותו לשני חלקים. קפוץ לזה שהכי מעניין אותך:

איך להתחיל בתור סנופ ברשת

הרבה לפני ש- Firesheep הגיעה והפחידה את כולנו בכך שהפכה את זה לטריוויאלי לחטוף סשן של משתמש אחר בפייסבוק, כלי אחר וחזק יותר חוצה פלטפורמות בשםWiresharkכבר איפשר לכל אחד עם מעט ידע לרחרח שמות משתמש, סיסמאות וקובצי Cookie של אימות בכל מחשב המחובר לאותה רשת כמוך.

סקירה קצרה של איך המחשב שלך מדבר עם המחשבים האחרים (והאינטרנט)

כדי להבין מה Wireshark עושה, תחילה עליך להבין מעט על האופן שבו מחשבים מדברים זה עם זה ברשתות וכיצד הם משתמשים במידע הזה כדי, למשל, להיכנס לאתר אינטרנט. (אני לא מומחה ברשת, אז אל תדאג - אין לי ברירה אלא להפוך את זה לידידותי למתחילים.)

כאשר המחשב שלך מדבר עם אחר דרך רשת, כל אחד מהם שולח חבילות של נתונים הלוך ושוב בין אחד לשני. החבילות האלה עושות דברים כמו לנהל משא ומתן על החיבור, להעביר קובצי Cookie או סיסמאות לאימות, ובסופו של דבר לעשות את הדברים שאתה רוצה שהם יעשו - העברת קבצים, HTML שמרכיב דף אינטרנט, וכן הלאה.

מה Wireshark עושה

מה ש-Wireshark עושה הוא לרחרח את החבילות המועברות ברשת שלך - בין אם הן עוברות למחשב שלך או ממנו או למחשבים אחרים באותה רשת כמוך - ולאפשר לך לחטט בנתונים המועברים הלוך ושוב. החבילות הללו.

כאשר אתה נכנס לאתר אינטרנט, למשל, הדפדפן שלך שולח מה שנקרא בקשת POST לשרת אי שם באינטרנט. Wireshark יכול ללכוד את בקשת ה-POST, ואם אתה יודע איפה לחפש, אתה יכול למצוא את שם המשתמש והסיסמה שלךבטקסט רגיל- בהנחה שאתה נכנס לאתר שאינו משתמש בחיבור HTTPS מאובטח, שיצפין את המידע הזה כך שלא תוכל להבין אותו. (ראה שלנומדריך קודם מדוע כדאי לך לדאוג ל-HTTPS בפייסבוק ובאתרים אחריםלפרטים נוספים.)

כדי להילחם בזה, הרבה אתרים, כמו פייסבוק וג'ימייל, הפעילו HTTPS כברירת מחדל עבור כל התקשורת בין הדפדפן שלך לשרתים שלהם. אבל עדיין יש הרבה אתרי אינטרנט שם בחוץ שאינם מצפינים כניסות, ורבים שמשתמשים ב-HTTPS לכניסות אבל לאעוגיות.

עוגיות הן מחרוזות קטנות יחסית של טקסט המוגדרות בדפדפן שלך על ידי אתרי אינטרנט. ניתן להשתמש בקובצי Cookie כדי לעקוב אחר ההתנהגות שלך, הם יכולים לשמש כדי לשמור על ההגדרות שלך קבועות באתר אינטרנט, והכי חשוב עבור פוסט זה, הם יכולים לזהות לשרתים שאתהכבר מחובר— כלומר, אם אתה חוטף את העוגיה הנכונה, אתה יכול להתחזות למישהו אחר מבלי להזדקק לעולם לשם המשתמש או הסיסמה שלו. (זה מה ש- Firesheep עשתה.)

בדומה לאופן שבו הוא יכול ללכוד שמות משתמש וסיסמאות הנשלחות דרך חיבורי HTTP, Wireshark יכול גם ללכוד עוגיות עבורך (או לרחרח מרושע אחר) כדי לזלול לכל מטרה שתעדיף, כולל כדי לקבל גישה לחשבונות המקוונים שלך. כמו כן, בדומה למצב של שם משתמש/סיסמה, אם אתר משתמש ב-HTTPS עבור כל החיבורים שלו, לא תוכל לרחרח ולהשתמש ב-cookie שלו בהצלחה.

אז עכשיו כשאתם יודעים את היסודות, בואו נקפוץ לזה:

כיצד לרחרח שמות משתמש וסיסמאות עם Wireshark


בסרטון בראש הפוסט, תוכלו לראות אותי מדגים כיצד לרחרח שם משתמש וסיסמה כאשר אני מנסה להיכנס ל-Lifehacker (שלצערי, אינו משתמש ב-HTTPS). הנה, ריכזתי עוד כמה סרטונים מפורטים יותר המדגימים כיצד להשתמש ב-Wireshark כדי לרחרח שמות משתמש וסיסמאות (כנראה שתרצו לעבור למסך מלא בסרטון).

הערה: אם אתה מצלם דרך Wi-Fi, תצטרך להפעיל את Wiresharkבמצב מופקרכך שהוא ירחרח את כל החבילות השונות ברשת שלך (כולל אלה שמגיעות ממחשבים של אנשים אחרים). תהליך זה משתנה בהתאם למכשיר שלך, כך שייתכן שתצטרך לבצע ציד קטן.

איך לרחרח עוגיות עם Wireshark


סרטון זה מדגים כיצד לרחרח עוגיות, ובעוד האתר שהוא מדגים את התהליך עבורו (פייסבוק) משתמש כעת ב-HTTPS כברירת מחדל, אותה שיטה בסיסית תעבוד עבור אתרים שאינם משתמשים ב-HTTPS.

כיצד להגן על עצמך מפני רחרוח ברשת

סוג הרחת הרשת המודגם כאן הוא משהו שכל אחד יכול לעשות בלי הרבה ניסיון. כפי שמציין מייק מסרטון הסיסמה: "טכנולוגיה היא כמו אקדח. אתה יכול להשתמש בה לטוב, לצוד עבור המשפחה שלך, או שאתה יכול להשתמש בה לרעה, לשדוד חנות." הנתיחה הזו של Wireshark מכוונת לחינוך, אבל העובדה היא שכל מי שמעוניין להשתמש ב-Wireshark למטרות מטומטמות צריך רק להשקיע כמה דקות ב-YouTube כדי לחפור את אותו המידע.

אז עכשיו, כשיש לך מושג טוב יותר על כמה קל זה יכול להיות עבור כל אחד באותה רשת כמוך לחטט בסביבה ואולי לרחרח את הסיסמאות, העוגיות שלך וכן הלאה, מה אתה יכול לעשות בנידון? הנה סקירה מהירה של כמה מההימורים הטובים ביותר שלך, מהפחות מעשיים או יעילים ועד לאפקטיביים ביותר.

  • הימנע מעבודה על אותה רשת עם אנשים שאתה לא סומך עליהם:סוג ההרחה ברשת שהדגמנו כאן יכול להיעשות רק על ידי אנשים באותה רשת כמוך. זכור שזה אפילו לא חייב להיותלִפְתוֹחַרשת Wi-Fi - עמיתים לעבודה ברשת העבודה המוגנת בסיסמה שלך יכולים לרחרח את החבילות שלך באותה קלות כמו מישהו בבית הקפה המקומי שלך.

  • המלכוד:אתה כנראה לא רוצה להיות מוגבל לשימוש רק באינטרנט כשאתה בבית או ברשת שבה אתה סומךכֹּל אֶחָד.

  • השתמש תמיד ב-HTTPS:הרבה אתרים - כמו פייסבוק וג'ימייל - הפכו את HTTPS לחיבור ברירת המחדל, וכפי שהסברנו קודם, רחפת מנות לא תגלה את הסיסמה או העוגיות שלך בחיבורי HTTPS מוצפנים כהלכה. אתרים אחרים תומכים ב-HTTPS אבל לא הופכים אותו לברירת המחדל, מה שאומר שלעתים קרובות אתה צריך להקליד באופן ידניhttps://לפני שאר כתובת האתר שלך. חלק מאותם אתרים, כמו טוויטר, מאפשרים לך להגדיר את החשבון שלך כך שישתמש תמיד ב-HTTPS (עבור טוויטר, עבור אלהגדרות חשבוןוסמן את תיבת הסימון השתמש תמיד ב-HTTPS בתחתית העמוד).

  • חלק מהאתרים אינם מציעים הגדרה 'השתמש תמיד ב-HTTPS', וזה המקום שבו הרחבות דפדפן הכופה HTTPS נכנסות לתמונה. הפופולרי ביותר הוא כנראהתוסף HTTPS Everywhereעבור Firefox (נכתב על ידי Electronic Frontier Foundation). תוסף זה מפנה אוטומטית את הדפדפן שלך לגרסת HTTPS של למעלה מ-1,000 אתרים. הקאץ' עם HTTPS Everywhere הוא שהוא מפנה רק אתרים ברשימה שלו, כך שאם אתה רוצה להיות מסוגל להפנות כל אתר ל-HTTPS, אולי תרצה לבדוקForce-TLSעבור Firefox אוHTTPS בכל מקוםעבור Chrome. שתי ההרחבות הללו מאפשרות לך להוסיף אתרים חדשים להפניה אוטומטית של HTTPS.

  • המלכוד:ראשית, הרבה אתרים עדיין לא תומכים ב-HTTPS בכלל, ואחרים תומכים בו רק לכניסות (כלומר שהסיסמה שלך בטוחה, אבל קובץ ה-cookie של ההפעלה שלך לא). בנימה טכנית נפרדת, אריק באטלר (המפתח של Firesheep) ציין זאת בשנה שעברהחלק מהאתרים לא תומכים בצורה נכונה ב-HTTPS בכל מקרה, ובאתרים אלה, כדי לקבל את מלוא היתרונות של HTTPS, תצטרך להקליד באופן ידני אתhttps://חלק בכל פעם שאתה מבקר:

  • חלק מהאתרים תומכים בהצפנה מלאה בכל מקום, אך אינם מיישמים אותה כראוי על ידי אי הגדרת הדגל "מאובטח" בקובצי Cookie של אימות, שוללים את רוב היתרונות ומשאירים את המשתמשים בסיכון. המשמעות היא שבכל פעם שאתה מקליד את כתובת האתר (למשל "manage.slicehost.com") בדפדפן האינטרנט שלך (מבלי להקליד מפורשות https:// מראש, מה שאנשים עושים לעתים רחוקות), אתה תדליף בטעות את קובצי העוגיות שלך עם הבקשה הראשונה. , לפני ההפניה לדף HTTPS. Slicehost ו-Dropbox הם דוגמאות טובות לטעות הזו.

  • השתמש ב-VPN או פרוקסי SSH (האופציה הטובה ביותר):מנהרת VPN או SSH ישמשו כמתווך בין המחשב שלך לשרתים המאובטחים בצורה מפוקפקת באינטרנט, כך שכל מה שנשלח בין המחשב שלך לשרת ה-VPN או ה-SSH שלך יוצפן - למעשה מצפין את כל התעבורה שמישהו ברשת הנוכחית שלך עלול להצפין רוצה לנסות לרחרח. אני לא הולך להראות לך איך להגדיר שרת VPN או SSH כאן, אבל אני אכוון אותך לכיוון של כמה אפשרויות טובות של עשה זאת בעצמך:

  • אם אתה כבר משלם עבור גישה לשרת אינטרנט שאליו יש לך גישת SSH, אתה יכול להשתמש בזה כדיהצפין את הפעלת הגלישה שלך באינטרנט עם פרוקסי SSH SOCKS. אם לא בא לך לשלם, אתה יכולהגדר שרת SSH ביתי אישי משלך. אם אתה מוכן לשלם רק מעט, אתה יכולקבל מופע של אמזון EC2 עם גישת SSH בסביבות $0.50 לחודשאוֹלשלם $1 פעם אחת עבור גישה אל Silence is Defeat.

  • לאפשרות חינמית נוספת, עיין במדריך שלנו לגלישה מאובטחת ומוצפנת באינטרנט ברשתות ציבוריות עם Hamachi ו-Privoxy.

  • משתמשי אנדרואיד צריכים לעיין במדריך שלנוהצפנת כל השימוש באינטרנט בטלפון אנדרואיד שלך.


  • אם אתה על מק, אני ממליץ בחום להתקיןשהוזכר קודם לכן לַעֲקוֹף. האפליקציה מנתבת מחדש את התנועה שלך באופן אוטומטי דרך פרוקסי מאובטח בכל פעם שאתה מתחבר לרשת Wi-Fi פתוחה, ותוכל גם להפעיל אותה בכל עת שתרצה מהתפריט הנפתח שלה בשורת התפריטים של Mac.

  • המלכוד:החור הגדול ביותר באפשרות זו הוא שבשלב מסוים לאורך הקו, ה-VPN או ה-SSH Proxy שלך צריך להגיש את הגרסה הלא מוצפנת של בקשה לשרת האינטרנט, כך שאם היה מישהו מרחרח מנות באותה רשת כמו ה-VPN או SSH שלך שרת, הם יכולים לרחרח את הנתונים הלא מוצפנים שעוברים בין המתווך לשרת האינטרנט.

עדיין יש לך חששות אבטחה אחרים לשקול אם תרצה בכךהישאר בטוח ברשתות Wi-Fi ציבוריות, אבל האפשרויות לעיל יכולות לעשות את כל ההבדל לאבטחת הגלישה שלך. התרחיש הטוב ביותר הוא למעשה מחוץ לשליטתך: אתרי אינטרנט ושירותים מיישמים כולם HTTPS כברירת מחדל עבור כל מידע שעלול להיות רגיש.תמונה רמיקס מאנטון פראדו/Shutterstock.

של Lifehackerשבוע הרשעעוסק כולו בנושאים כמו פיצוח סיסמאות, פריצה חברתית ועוד טריקים מפוקפקים כדי לוודא שאתה יודע. ידע הוא כוח, והאם אתה משתמש בכוח הזה לטוב או לרע הוא בידיים שלך.

אתה יכול ליצור קשר עם אדם פאש, מחבר הפוסט הזה, ב-לְצַפְצֵף,Google+, ופייסבוק.

Related Posts