Firesheep: Session Hijacking

Sekarang gw mau ngejelasin soal add on Firefox yang namanya Firesheep. Add on Firesheep ini bisa dipake buat ngehijack session orang lain di website-website tertentu, misalnya Twitter. Firesheep nggak kompatibel dengan Firefox versi baru, jadi kalo mau nyobain harus download & nginstall Firefox versi yang rada jadul dulu. Gw sih nyobain Firesheep ini juga baru kemarin buat tugas kuliah, & gw pakenya di Firefox versi 3.6.24 yang gw download di sini. Firesheepnya sendiri bisa didownload dari sini.

Sebelum mulai kayaknya gw perlu jelasin sedikit soal session di sini. Gw pake contoh Twitter aja, tiap kali kita ke Twitter kita punya session anonymous. Sesudah kita login, kita punya session yang berfungsi buat ngenalin user yang login. Misalnya kita punya account Twitter @blablabla, waktu kita login pake username “blablabla” nanti sessionnya bakal ngenalin kita sebagai @blablabla.

Firesheep bisa kita pake buat ngambil session orang yang lagi login ke website, sebut aja website X. Syaratnya, kita harus satu hotspot sama orang yang sessionnya mau kita hijack. Kenapa kita harus satu hotspot sama target? Kalo di hotspot, semua data yang lewat dibroadcast. Karena dibroadcast itu jadinya memungkinkan buat komputer selain komputer yang seharusnya nerima data itu bisa dapet data yang sama. Jadi data session yang seharusnya cuma diterima komputer A bisa juga diterima komputer B, lalu data session punya komputer A yang didapet komputer B bisa dipake user komputer B buat ke website X sebagai user komputer A.

Kedengerannya keren banget? Keren sih, tapi selain harus satu hotspot sama target buat bisa makenya, ada yang lain yang perlu diperhatiin juga pas mau make Firesheep. Firesheep, sejauh gw make, cuma bisa jalan di hotspot yang nggak dienkripsi, mentok-mentok WEP deh. Kalo hotspotnya pake WPA atau WPA2 sih nggak bakalan jalan. Terus Firesheep nggak bisa ngehijack session yang udah diamankan pake protokol HTTPS. Jadi kalo misalnya pas kita mau ngehijack session Twitter orang & orang itu pake protokol HTTPS, sessionnya nggak bakalan bisa dicapture sama Firesheep. Kalo targetnya pake protokol HTTP sih bisa.

Jadi kalo mau nangkal Firesheep sih pas konek ke hotspot pastiin hotspotnya pake WPA atau WPA2. Kalo hotspotnya ternyata pakenya open WEP atau malah nggak ada enkripsi sama sekali, pake aja protokol HTTPS terus-terusan biar nggak bisa dicapture sessionnya.

6 thoughts on “Firesheep: Session Hijacking

  1. Pingback: Kenapa Jaringan Wireless Kurang Aman | Twisted Pair

  2. Pernah tau tentang Firesheep ini… cuma ga terlalu paham pakainya…
    Dan sejak tau tentang Firesheep ini, sekarang kalo ke kempus, internetan, saya bawa modem sendiri…🙂

    Dulu saya juga suka iseng NetCut. Jadi takut sendiri kalo diusili. Makanya bawa modem sendiri. Pake internet sendiri….

    • Sekarang sih Firesheep udah agak susah dipake, soalnya hotspot sekarang kebanyakan udah cukup aman & Firesheepnya nggak disupport di Firefox versi baru. Tapi di Android ada aplikasi yang namanya Droidsheep, denger-denger sih ini lebih canggih & bisa jalan di hotspot yang nggak bisa ditembus Firesheep.😀

  3. Pingback: HTTPS, Aman di Jalan | Twisted Pair

  4. Pingback: Penjelasan Mengenai Session Hijacking | Twisted Pair

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s