Het is verbazingwekkend dat er nog geen *grote* rel ontstaan is over de Firefoxplugin Firesheep. Met het stuk software is het kinderspel om in te loggen op de Facebook-, Twitter- en Hotmailaccounts van mensen die op hetzelfde, onbeveiligde draadloze netwerk zitten. Inmiddels is de plugin bijna een half miljoen keer gedownload. Een perfecte plek om het uit te proberen is de Coffee Company. Alle vestigingen van de koffieketen bieden (onbeveiligd) draadloos internet aan, en altijd zitten er wel een paar hipsters te Facebooken. Zo ook in de Coffee Company waar ik nu deze post schrijf. Na het installeren van Firesheep (1 minuut werk) en het aanklikken van de “Start Capturing”-knop (0,1 seconde werk) verschijnt na een paar seconde een foto in de zijbalk van Firefox. Naast de foto staat een naam (A. de B.) en het Facebook-logo. Eenmaal dubbelklikken opent de Facebook-account van A. zoals hij deze zelf op zijn laptop open heeft. Ik weet dat, omdat ik 3 meter naast hem zit. Hij heeft geen idee dat ik alle berichten in zijn inbox kan lezen. Later logt T. B. in. Hij blijkt net jarig geweest te zijn (te zien aan alle felicitaties op z’n wall), en is een vriend van een vriend van me. Ik kan zijn Twitter in en zijn Tumblr-blog bewerken. Ook kan ik alle bestellingen die hij ooit bij Amazon plaatste zien. In een kwartier kan ik op de Twitter, Windows Live, Amazon, Tumblr en Facebook-accounts van 3 verschillende personen inloggen. Een half uur later zijn er nog 3 mensen met verschillende accounts per persoon bijgekomen. WTF. Waar blijft die rel? Update: zo bescherm je je ertegen. Is nog niet eens zo makkelijk. Update2: en zo ga je om met eikels als ik. Update3: dit zal ook wel in Nederland gelden: Firesheep is in veel landen illegaal. Update4: Dit is een goeie invalshoek voor journalisten: wie in de buurt van Den Haag loopt ff langs alle ministeries met een laptop om te checken op open wifi? (Voormalig) Ministerie van Sociale Zaken zou sowieso open zijn (tippie). Hartstikke leuk! Lekker makkelijk ambtenaren afpersen met persoonlijke info. (ironieteken) Update5: Reactie internetjurist Arnoud Engelfriet:  Firesheep gebruiken om te kijken wat je uit de lucht kunt plukken, lijkt me legaal. Inloggen op andermans account is twijfelachtig, hoewel dat sterk afhangt van wat je doet. Inloggen, zien dat het werkt en weer afmelden moet geen probleem zijn. Inloggen en het profiel defacen levert een strafbaar feit op. Je gebruikt immers andermans credentials om toegang te krijgen tot een beveiligd computersysteem, en dat is computervredebreuk. In de praktijk verwacht ik niet dat Justitie iets zal doen tenzij je dus dingen stuk gaat maken of andere mensen schade berokkent op andere wijze na ingelogd te zijn. Hou je het bij inloggen en uitloggen puur om te zien of het werkt, dan dénk ik dat dat in Nederland wel legaal is. We hebben nu een paar vonnissen gehad waarbij dit geen probleem was: de Jack de Vries-zaak waarbij Nieuwe Revu een botnet mocht runnen om een wachtwoord van de staatssecretaris te kraken (maar niet in de mails mocht snuffelen), en de 4chan zaak waarbij meesurfen bij de buren niet strafbaar was. High-res

Het is verbazingwekkend dat er nog geen *grote* rel ontstaan is over de Firefoxplugin Firesheep. Met het stuk software is het kinderspel om in te loggen op de Facebook-, Twitter- en Hotmailaccounts van mensen die op hetzelfde, onbeveiligde draadloze netwerk zitten. Inmiddels is de plugin bijna een half miljoen keer gedownload. Een perfecte plek om het uit te proberen is de Coffee Company.

Alle vestigingen van de koffieketen bieden (onbeveiligd) draadloos internet aan, en altijd zitten er wel een paar hipsters te Facebooken. Zo ook in de Coffee Company waar ik nu deze post schrijf. Na het installeren van Firesheep (1 minuut werk) en het aanklikken van de “Start Capturing”-knop (0,1 seconde werk) verschijnt na een paar seconde een foto in de zijbalk van Firefox. Naast de foto staat een naam (A. de B.) en het Facebook-logo. Eenmaal dubbelklikken opent de Facebook-account van A. zoals hij deze zelf op zijn laptop open heeft. Ik weet dat, omdat ik 3 meter naast hem zit. Hij heeft geen idee dat ik alle berichten in zijn inbox kan lezen.

Later logt T. B. in. Hij blijkt net jarig geweest te zijn (te zien aan alle felicitaties op z’n wall), en is een vriend van een vriend van me. Ik kan zijn Twitter in en zijn Tumblr-blog bewerken. Ook kan ik alle bestellingen die hij ooit bij Amazon plaatste zien.

In een kwartier kan ik op de Twitter, Windows Live, Amazon, Tumblr en Facebook-accounts van 3 verschillende personen inloggen. Een half uur later zijn er nog 3 mensen met verschillende accounts per persoon bijgekomen. WTF. Waar blijft die rel?

Update: zo bescherm je je ertegen. Is nog niet eens zo makkelijk.

Update2: en zo ga je om met eikels als ik.

Update3: dit zal ook wel in Nederland gelden: Firesheep is in veel landen illegaal.

Update4: Dit is een goeie invalshoek voor journalisten: wie in de buurt van Den Haag loopt ff langs alle ministeries met een laptop om te checken op open wifi? (Voormalig) Ministerie van Sociale Zaken zou sowieso open zijn (tippie). Hartstikke leuk! Lekker makkelijk ambtenaren afpersen met persoonlijke info. (ironieteken)

Update5: Reactie internetjurist Arnoud Engelfriet

Firesheep gebruiken om te kijken wat je uit de lucht kunt plukken, lijkt me legaal. Inloggen op andermans account is twijfelachtig, hoewel dat sterk afhangt van wat je doet. Inloggen, zien dat het werkt en weer afmelden moet geen probleem zijn. Inloggen en het profiel defacen levert een strafbaar feit op. Je gebruikt immers andermans credentials om toegang te krijgen tot een beveiligd computersysteem, en dat is computervredebreuk.

In de praktijk verwacht ik niet dat Justitie iets zal doen tenzij je dus dingen stuk gaat maken of andere mensen schade berokkent op andere wijze na ingelogd te zijn. Hou je het bij inloggen en uitloggen puur om te zien of het werkt, dan dénk ik dat dat in Nederland wel legaal is. We hebben nu een paar vonnissen gehad waarbij dit geen probleem was: de Jack de Vries-zaak waarbij Nieuwe Revu een botnet mocht runnen om een wachtwoord van de staatssecretaris te kraken (maar niet in de mails mocht snuffelen), en de 4chan zaak waarbij meesurfen bij de buren niet strafbaar was.

1 year ago

Recent comments

Blog comments powered by Disqus

Notes

  1. alexandernl posted this