2010年12月1日 星期三

[HACK] 如何盜取他人Facebook帳號(使用Firesheep)並如何防範

使用Firesheep入侵Facebook

本標題很聳動,但先聲明寫這篇立場是為了資訊安全,盜取別人Facebook帳號是非法的,本篇重點在於如何防範別人hack,這項Facebook漏洞目前已經被公開(新聞),應該過不了多久就會修正了,若要使用之請再三考慮清楚。

Facebook已經成為許多人最大社群工具,然而其中有許多漏洞,而這個漏洞很誇張,駭客不需要會什麼封包、TCP/IP技術,只要簡單幾個步驟就可以盜取到他人的Facebook帳號。但要注意是,這邊駭客盜取Facebook帳號對象,是那些在公開區域網路上網族群(如網咖、在公共環境使用無線上網用戶),並非特地帳號對象,如果你都只在家裡開Facebook,大可放心不會被攻擊

 

HACK步驟:

步驟一、到一個有提供免費無線上網功能的環境,如星巴克、圖書館等。

步驟二、如果你是Windows系統,請先安裝Winpcap,在網路科技相關產業公司上班的人應該很熟悉這套軟體了。這是套能抓取封包、分析封包的程式。

步驟三、開啟Firefox,到Firesheep(官方網站)下載這個Firefox附加元件(載點)

步驟四、如圖所示, 檢視->側邊欄->Firesheep 開啟Firesheep

Firesheep hack Facebook

步驟五、按下"Start Capturing"接著就等著Facebook使用者上勾了。

步驟六、跟你同在一個網段的Facebook用戶,會被列在左側,輕輕按下他人的icon看看吧....什麼?!登入別人Facebook帳戶了?!這真是太簡單~了~

步驟七、接下來會發生什麼事情呢? 善意使用者可能過來用你的八卦跟你開玩笑。惡意使用者可能就開始搬你的Facebook幣、挖隱私,多可怕啊!

 

此Hack方法會遭受攻擊的對象有

1.在公共空間使用非加密上網的Facebook使用者。如星巴克、麥當勞、圖書館...你在享受悠閒時分別人可能正在盜取你的資料

2.在學校、甚至家裡等區域網路,如果只是用簡單的HUB,你可能要擔心你同學改天知道你Facebook上的秘密情人。

3.使用公司區域網路,"且"公司並沒有設適當的路由規則的用戶。不過經過筆者初步實驗,大多數公司內部網路規則都有防範到。你可以開啟Firesheep和你同事實驗看看,如果抓不到同事的訊息,那大概就ok了!這代表你仍然可以在公司放心玩Facebook,只是要小心老闆而已!

 

那麼,要怎麼保護自己呢?(本文重點)

既然HACK的方法這麼簡單,那防治的方法當然也很容易!

方法一、避免到一些公眾場合去上Facebook吧!在星巴克喝咖啡玩Facebook或許很悠閒,但是別人也可能悠閒地盜走你帳號。

方法二、如果手癢、非得在公眾場合上Facebook呢?恩,你考慮改走https上Facebook,方法也很簡單,網址的http多加個s就好,如:https://www.facebook.com/!HTTPS是啥?當作是有加密過的HTTP協定就好!駭客就算抓到他的封包,要解析也沒這麼容易~

方法三、你有張良計、我有過牆梯,既然有個Firesheep這麼利害的東東,當然也有簡單防治的軟體叫做Blacksheep下載網址),安裝後你可以知道有沒有人偷用Firesheep,並防治對方盜取帳號。遇到太.....的對象,你還可以反開Firesheep教訓一下呢!

BLACK SHEEP

最後是終極大法、最好的保護措施就是....拔掉網路線,那就算是頂級駭客也無法入侵你的Facebook(大誤)!XD


結語

網際網路帶給我們很大的便利,卻也使資料隱密性大受考驗,諸如最近吵很凶很大的維基解密事件,更突顯資訊安全的重要。Facebook幾乎已經成為最常被使用的社群網站,卻有著可以被簡單hack的漏洞。要保護自己,也只有繼續加強自己的資訊安全技術了!期盼大家能藉由本篇文章了解更多相關知識。

沒有留言: