Offene Netzwerke

05. November 2010 08:56; Akt: 07.02.2011 14:41 Print

«Aus der Verantwortung gestohlen»

von Henning Steier - Firesheep ist eine Firefox-Erweiterung, die Datendiebstahl einfach wie nie macht. Betroffene Unternehmen wie Microsoft und Facebook reagieren halbherzig.

Bildstrecke im Grossformat »

Zum Thema
Fehler gesehen?

Microsoft hat angekündigt, Hotmail noch im November ganz auf SSL umstellen zu wollen. Allerdings soll die Verschlüsselung nicht standardmässig eingestellt sein, sondern ausgewählt werden müssen. Zurzeit ist bloss die Übermittlung der Anmeldedaten verschlüsselt, der Anmelde-Cookie wird im Klartext übertragen. Das wird von der Firefox-Erweiterung Firesheep ausgenutzt, die Entwickler Eric Butler kürzlich auf seiner Website zum Download bereit gestellt hatte.

Cookies abgefangen

«Loggt man sich auf einer Seite ein, überprüft ihr Server, ob es ein zum Nutzernamen und Passwort passendes Konto gibt. Falls ja, antwortet er mit einem Cookie, das für alle folgenden Sitzungen benutzt wird», erläutert Butler in seinem Blog. Laut Butler verschlüsseln viele Seitenanbieter nur den ersten Log-in-Vorgang. Das Firefox-Add-on fängt nun diese Cookies ab. Das Ganze ist als HTTP Session Hijacking bekannt und nicht neu. Die Erweiterung für den Browser ermöglicht es nun aber auch unerfahrenen Nutzern. Butler schreibt weiter: «In einem offenen WLAN ist das so, als würde man die Informationen durch den Raum rufen, daher sind solche Angriffe wirklich einfach.»

Firesheep funktioniert so: Wenn man sich in einem offenen Funknetz - beispielsweise am Flughafen - befindet, startet man den Firefox, dann die Erweiterung und klickt anschliessend auf den Button Start Capturing. Wenn sich ein Nutzer in Reichweite auf einer unsicheren, Firesheep bekannten Website wie Amazon, Facebook, Flickr und Twitter einloggt, zeigt das Add-on Name und Foto des Nutzers in einer Liste an, wie im obigen Screenshot zu sehen ist. Per Doppelklick kann man das Konto des fremden Users nutzen. So könnte man beispielsweise in dessen Namen Statusmeldungen veröffentlichen oder online einkaufen. Firesheep läuft bislang unter Windows und Mac OS X, schon bald soll Linux unterstützt werden. Bislang wurde das Add-on über 560 000-mal heruntergeladen.

Kernproblem bleibt ungelöst

Eine Lösung für das Problem ist laut Butler das vollständige Verschlüsseln über HTTPS oder SSL. Dadurch würde das Einloggen allerdings länger dauern. Die US-Organisation Electronic Frontier Foundation (EFF) bietet seit einiger Zeit die kostenlose Browsererweiterung HTTPS Everywhere an, welche die Kommunikation mit bekannten Websites stetig über HTTPS verschlüsselt - dazu zählen Twitter, Facebook, Amazon, GMX und PayPal. Ausserdem gibt es zwar Tools wie Fireshepherd, die ein WLAN mit Daten überfluten und Firesheep daher abstürzen lassen sollen.

Die Lücken werden durch solche Hilfsmittel aber nicht geschlossen. «Seitenbetreiber sind dafür verantwortlich, Nutzer ihrer Dienste zu schützen. Sie haben sich zu lange aus dieser Verantwortung gestohlen, daher sollten wir alle ein sicheres Netz von ihnen fordern», kritisierte Butler in seinem Blog. Ausser Microsoft hat bislang nur Facebook reagiert und eine verbesserte Verschlüsselungslösung für die nächsten Monate in Aussicht gestellt.

Sorglose Nutzer

Dass Nutzer aber oftmals zu sorglos mit ihren Daten umgehen, zeigt exemplarisch ein Kurz-Test des Entwicklers Gary Los Huertos. Er probierte Firesheep im offenen WLAN einer New Yorker Starbucks-Filiale aus und kaperte die Facebook-Accounts von 20 Anwendern, denen er anschliessend sogar Warnungen schickte, dass er Zugang zu ihren Accounts hätte. «Als ich Firesheep neu startete, hatten sich die meisten abgemeldet, doch zwanzig Minuten später waren fünf bereits wieder eingeloggt», schreibt Los Huertos in seinem Blog. Sein Fazit: «Man kann so viele Sicherheitslösungen anbieten wie man will - es wird immer Leute geben, die ihre Türen offen lassen.»

Einen Schritt weiter als Los Huertos war vergangene Woche der Londoner Hacker Jonty Wareing gegangen und hatte mit Idiocy ein ähnliches Tool wie Firesheep ins Netz gestellt. Es soll unvorsichtige Twitter-Nutzer warnen. Steuert jemand in einem offenen WLAN den Microblogging-Dienst an, wird sein Account von Idiocy übernommen und folgender Tweet veröffentlicht: «I browsed twitter insecurely on a public network and all I got was this lousy tweet.» Zu Deutsch: «I habe in einem ungesichertem Funknetz Twitter genutzt und alles, was ich bekam, war dieser armselige Tweet.»

Update 8.11.: Der Sicherheitsanbieter Zscaler hat mit Blacksheep eine kostenlose Erweiterung für den Firefox bereit gestellt, dank der man erkennen kann, ob jemand im selben Netzwerk Firesheep verwendet. Das Add-on kann damit allerdings nicht daran gehindert werden, einen auszuspionieren. Mehr Informationen liefert das offizielle Video.