Gratis tooltje maakt wachtwoorden via wifi stelen kinderspel

Neem de controle van andere wifi gebruikers over

Met Firesheep, een gratis add-on voor Firefox, is het kinderspel om alle gebruikers in een open-wifi netwerk weer te geven en vervolgens hun sessies over te nemen. Een overzicht van alle personen en de onbeveiligde websites waarop ze zijn ingelogd wordt in een apart venster weergegeven. Het volstaat om een link en een naam te selecteren en je wordt automatisch ingelogd. Kwaadwilligen kunnen dus zo heel wat schade aanrichten.

Oorzaak ligt bij website eigenaars ...

De grote fout ligt hier echter bij de eigenaars van de websites, die de gegevens niet versleuteld laten invoeren. Deze gegevens worden in een leesbaar en onbeveiligd formaat over het net gegooid. Wanneer er in uw lokaal netwerk iemand met een tool als Firesheep actief is kan die gevoelige data zonder slag of stoot onderscheppen. De enige oplossing is het gebruik van SSL certificaten. De SSL encryptie zorgt ervoor dat sniffers zoals Firesheep dit soort communicatie niet kunnen interpreteren. Op de koop toe kan de eigenaar van een website via het SSL certificaat zijn authenticiteit garanderen.

Hebt u zelf een website of webwinkel waar gebruikers vertrouwelijke gegevens moeten achterlaten? Bijvoorbeeld om hun gegevens te bekijken of aan te passen of om bestellingen te plaatsen? Maak dan zeker gebruik van een SSL certificaat om dit gedeelte van uw website volledig te beveiligen.

9 op 27 bankenwebsites vatbaar voor hacking

Dat zelfs grote bedrijven dit niet altijd doen blijkt uit een onderzoek van beveiligingsexpert Teus Hagen. Hij schetst in een onderzoeksverslag zijn verbazing over de in zijn ogen gebrekkige ssl/tls-beveiliging van onder andere bankensites “Banken die slecht scoren zijn onder andere de Bank of Scotland, de Friesland Bank en de ING. De Friesland Bank gebruikt een verlopen certificaat en had zijn certificaat niet gekoppeld aan een hostname, waardoor kans op misbruik van het certificaat groter wordt. Dat laatste geldt ook voor onder andere Bank of Scotland en Staal Bankiers. Negen van de 27 onderzochte bankensites zijn vatbaar voor man in the middle-attacks en zes banken gebruikten geen certificaat van een vertrouwde autoriteit. Slechts 38 procent van de banken gebruikt een veiliger ev-certificaat. Circa de helft van de onderzochte websites van gezondheidsinstellingen biedt helemaal geen beveiligde verbinding, waardoor gebruikersnamen en wachtwoorden als platte tekst over het internet worden verzonden”. Er is dus nog wel wat werk aan de (web)winkel …