Introduction
Introduction Statistics Contact Development Disclaimer Help
# taz.de -- Sicherheitslücke in Online-Netzwerken: Wie Firesheep Facebook & Co…
> Ein Sicherheitsexperte hat ein Programm geschrieben, mit dem man in
> Sekunden Login-Daten in sozialen Netzwerken und auf E-Commerce-Seiten
> ausspionieren kann.
Bild: Bleibt nicht immer ein Geheimnis: Login auf Facebook.
Das [1][Demovideo] ist eindrucksvoll. Ein YouTube-Nutzer zeigt, wie man mit
einer in dieser Woche erschienenen [2][neuen Software] namens Firesheep
Sitzungen bei Twitter und Facebook "entführen" kann. Dazu muss man nur ein
Ergänzungsprogramm im Browser Firefox hinzufügen und sich nur im gleichen
Netz wie das Opfer befinden - ein Klick genügt, schon hat man Zugriff auf
dessen Login-Daten. Firesheep beherrscht diesen Trick auch bei Amazon,
Flickr, der Online-Seite der New York Times, Foursquare, einigen Google-
und Yahoo-Diensten sowie einer ganzen Reihe weiterer bekannter
Web-Angebote.
Wie Firesheep funktioniert, das vom US-Sicherheitsexperten Eric Butler
programmiert wurde, ist schnell erklärt. Zwar nutzen viele Webseiten zur
Übertragung von Nutzernamen und Passwörtern die in den Browsern eingebaute
Verschlüsselungstechnik SSL. Danach schalten sie aber wieder in den
unverschlüsselten Modus um, was bedeutet, dass alle Daten potenziell
sichtbar werden.
Befindet man sich beispielsweise in einem WLAN-Café, in dem diverse andere
Rechner parallel eingeloggt sind, kann jeder mitlesen, was der andere
gerade im Netz so treibt - zumindest solange die Daten unverschlüsselt
gesendet werden. Firesheep setzt dabei bei den sogenannten "Session
Cookies" an. Das sind kleine Datenkrümel, die Internet-Angebote nach dem
Login (und häufig auch später) auf die Festplatte des Nutzers schreiben.
Die Cookies sind wie ein Ausweis: Wer Zugriff darauf hat, kann sich als
Nutzer ausgeben, ohne dessen Passwort zu kennen.
Da es um Sicherheit geht, war Firesheep-Programmierer Butler die
Aufmerksamkeit des Netzes sicher. In den ersten 24 Stunden wurde sein
kostenloses, quelloffenes Programm über 100.000 Mal heruntergeladen, bei
Google USA wurden entsprechende Suchen zum Trendbegriff. Er habe sich lange
überlegt, ob er Firesheep veröffentlichen sollte, so der
Sicherheitsexperte, und habe sich dafür entschieden. "Kriminelle kennen das
ja schon und ich weise den Vorwurf zurück, dass etwas wie Firesheep aus
sonst unschuldigen Menschen plötzlich böse Menschen macht." Werkzeuge wie
Firesheep seien seit Jahren verfügbar, nun zeige das Programm allen, wie
einfach sie zu benutzen seien.
Facebook, Twitter und Co. haben bislang noch nicht auf die Bedrohung
reagiert. Peinlich für die großen Webseiten ist vor allem, dass eine
Dauerverschlüsselung sensibler Dienste heutzutage kaum mehr Leistung kostet
- ein Argument, dass über Jahre stets gebracht wurde. Google hat
entsprechende Tests durchgeführt, nachdem das populäre Webmail-Programm
Google Mail auf SSL umgestellt wurde. Der Ingenieur Adam Langley schrieb
einmal, dieser Schritt sorge für ein Prozent mehr an Serverbelastung. Auch
der zusätzliche Speicherbedarf halte sich stark in Grenzen.
Bevor die großen Netzwerke reagieren und häufiger verschlüsseln, können
Nutzer gegen Firesheep und ähnliche Hacker-Werkzeuge gleich mehrere
Hilfsmaßnahmen ergreifen. Die wohl einfachste ist eine weitere
Firefox-Ergänzung und hört auf den Namen [3][HTTPS Everywhere]. Das kleine
Programm stammt von der US-Netzbürgerrechtsorganisation EFF und sorgt
dafür, dass zahlreiche wichtige Seiten automatisch gezwungen werden, eine
verschlüsselte Verbindung aufzubauen und zu halten.
Dazu gehören nicht nur Facebook und Twitter, sondern auch Shopping-Angebote
wie Amazon, das Online-Lexikon Wikipedia. Das gilt auch für die
Suchmaschine Google, die bereits seit einigen Monaten verschlüsselt genutzt
werden kann, was sich leider noch nicht rumgesprochen hat. HTTPS Everywhere
wird regelmäßig aktualisiert und lässt sich mit [4][etwas Mühe] auch an
spezielle Fälle anpassen. Zu beachten ist, dass nicht jeder Anbieter alles
verschlüsselt. So kommen bei Wikipedia nur die Texte und Suchanfragen per
SSL zum Nutzer, Bilder derzeit leider noch nicht.
Alternativ kann man erwägen, bei der Nutzung offener WLAN-Netze mit einem
so genannten VPN (Virtual Private Network) zu arbeiten. Dabei wird eine
direkte und verschlüsselte Verbindung zu einem vertrauenswürdigen Server im
Internet aufgebaut. Andere Nutzer im gleichen Netz sehen nichts mehr,
gesurft wird über diesen zusätzlichen "Ausgang", den man abgesichert
erreicht. VPN-Zugänge werden häufig von Firmen eingesetzt oder auch von
privaten Anbietern für einige Euro im Monat verkauft.
29 Oct 2010
## LINKS
[1] http://www.youtube.com/watch?v=eUyrMVkRTlI
[2] http://codebutler.com/firesheep
[3] http://www.eff.org/https-everywhere
[4] http://www.eff.org/https-everywhere/rulesets
## AUTOREN
Ben Schwan
## TAGS
Schwerpunkt Überwachung
Schwerpunkt Überwachung
Schwerpunkt Überwachung
## ARTIKEL ZUM THEMA
Twitter verkauft User-Daten: Jeder zweite Tweet wird ausgewertet
Der Kurznachrichtendienst hat eine neue Einnahmequelle: Er bietet
Marketingfirmen an, Tweets in Echtzeit zu sehen – in einem zur
Profilbildung auswertbaren Format.
Neues Programm RockMelt: Ins Netz mit dem Freunde-Browser
Viele Nutzer bewegen sich in sozialen Netzwerken und stellen dort ihre
Inhalte ins Netz. Die Macher von RockMelt glauben, dass sie einen eigenen
Browser brauchen.
Neues Such-Angebot Blekko: Suchmaschine als Spamfilter
Viele Suchmaschinen sind voller Spameinträge und nutzlosem Material
sogenannter Content-Farmen. Die Suche von Blekko will das Problem mit einer
besseren Sortierung lösen.
Nutzerdaten wurden verkauft: Facebook bekommt Lecks nicht dicht
Das Online-Netzwerk hat eingeräumt, dass Anwendungsentwickler Nutzerdaten
an Infosammler veräußert haben. Externe Anwendungen werden schlecht
kontrolliert.
Umbau auf MySpace: Vom Weltnetzwerk zum Nischenraum
Einst war es das Online-Netzwerk schlechthin. Dann kam Facebook. Jetzt gibt
MySpace den Wettstreit um Größe auf und will sich als
Unterhaltungsplattform neu erfinden.
Neues Datenleck im Online-Netzwerk: Facebook-Werbung outet Mitglieder
Wer auf Facebook werben will, kann seine Zielgruppe detailreich definieren.
Eine Wissenschaftlerin zeigte nun, dass sich damit auch sensible
Nutzer-Infos finden lassen.
Soziale Netzwerke am Arbeitsplatz: Konzerne sperren Facebook-Zugang
Mehrere Dax-Konzerne habe ihren Mitarbeitern den Zugang zu sozialen
Netzwerken wie Facebook und Twitter gesperrt. Sie begründeten dies unter
anderem mit Sicherheitsbedenken.
You are viewing proxied material from taz.de. The copyright of proxied material belongs to its original authors. Any comments or complaints in relation to proxied material should be directed to the original authors of the content concerned. Please see the disclaimer for more details.