Offene Netzwerke

27. Oktober 2010 11:57; Akt: 27.10.2010 17:58 Print

Datendiebstahl leicht gemacht

von Henning Steier - Eric Butler hat seine Firefox-Erweiterung Firesheep veröffentlicht, dank der man problemlos fremde Facebook-Profile kapern kann. Davor schützen muss sich jeder selbst.

Bildstrecke im Grossformat »

Zum Thema
Fehler gesehen?

Eric Butler stellt seit kurzem die von ihm geschriebene Firefox-Erweiterung Firesheep auf seiner Website zum Download bereit. «Loggt man sich auf einer Seite ein, überprüft ihr Server, ob es ein zum Nutzernamen und Passwort passendes Konto gibt. Falls ja, antwortet er mit einem Cookie, das für alle folgenden Sitzungen benutzt wird», erläutert Butler in seinem Blog.

Laut Butler verschlüsseln viele Seitenanbieter nur den ersten Log-in-Vorgang. Das Firefox-Add on fängt nun diese Cookies ab. Das Ganze ist als HTTP Session Hijacking bekannt und nicht neu. Die Erweiterung für den Browser macht es nun aber auch für unerfahrene Nutzer möglich. Butler schreibt weiter: «In einem offenen WLAN ist das so, als würde man die Informationen durch den Raum rufen, daher sind solche Angriffe wirklich einfach.»

Kapern per Doppelklick

Firesheep funktioniert so: Wenn man sich in einem offenen Funknetz - beispielsweise am Flughafen - befindet, startet man den Firefox, dann die Erweiterung und klickt anschliessend auf den Button Start Capturing. Wenn sich ein Nutzer in Reichweite auf einer unsicheren, Firesheep bekannten Website wie Amazon, Facebook, Flickr und Twitter einloggt, zeigt das Add-on Name und Foto des Nutzers in einer Liste an, wie im obigen Screenshot zu sehen ist. Per Doppelklick kann man das Konto des fremden Users nutzen. So könnte man beispielsweise in dessen Namen Statusmeldungen veröffentlichen oder online einkaufen.

Eine Lösung für das Problem ist laut Butler das vollständige Verschlüsseln über HTTPS oder SSL. Dadurch würde das Einloggen allerdings länger dauern. Die US-Organisation Electronic Frontier Foundation (EFF) bietet seit einiger Zeit die kostenlose Browsererweiterung HTTPS Everywhere an, welche die Kommunikation mit bekannten Websites stetig über HTTPS verschlüsselt - dazu zählen Twitter, Facebook, Amazon, GMX und PayPal.

«Seitenbetreiber sind dafür verantwortlich, Nutzer ihrer Dienste zu schützen. Sie haben sich zu lange aus dieser Verantwortung gestohlen, daher sollten wir alle ein sicheres Netz von ihnen fordern. Meine Hoffnung ist, dass Firesheep den Usern helfen wird, zu gewinnen», so der Entwickler weiter. Firesheep läuft bislang unter Windows und Mac OS X, schon bald soll Linux unterstützt werden. Binnen drei Tagen wurde das Add-on bereits über 120 000-mal heruntergeladen.

Twitter-Accounts machen sich selbstständig

Der Londoner Hacker Jonty Wareing hat gestern mit Idiocy ein ähnliches Tool ins Netz gestellt. Es soll unvorsichtige Twitter-Nutzer warnen. Steuert jemand in einem offenen WLAN den Microblogging-Dienst an, wird sein Account von Idiocy übernommen und folgender Tweet veröffentlicht: «I browsed twitter insecurely on a public network and all I got was this lousy tweet.» Zu Deutsch: «I habe in einem ungesichertem Funknetz Twitter genutzt und alles, was ich bekam, war dieser armselige Tweet.»