# taz.de -- Sicherheitslücke in Online-Netzwerken: Wie Firesheep Facebook & Co… | |
> Ein Sicherheitsexperte hat ein Programm geschrieben, mit dem man in | |
> Sekunden Login-Daten in sozialen Netzwerken und auf E-Commerce-Seiten | |
> ausspionieren kann. | |
Bild: Bleibt nicht immer ein Geheimnis: Login auf Facebook. | |
Das [1][Demovideo] ist eindrucksvoll. Ein YouTube-Nutzer zeigt, wie man mit | |
einer in dieser Woche erschienenen [2][neuen Software] namens Firesheep | |
Sitzungen bei Twitter und Facebook "entführen" kann. Dazu muss man nur ein | |
Ergänzungsprogramm im Browser Firefox hinzufügen und sich nur im gleichen | |
Netz wie das Opfer befinden - ein Klick genügt, schon hat man Zugriff auf | |
dessen Login-Daten. Firesheep beherrscht diesen Trick auch bei Amazon, | |
Flickr, der Online-Seite der New York Times, Foursquare, einigen Google- | |
und Yahoo-Diensten sowie einer ganzen Reihe weiterer bekannter | |
Web-Angebote. | |
Wie Firesheep funktioniert, das vom US-Sicherheitsexperten Eric Butler | |
programmiert wurde, ist schnell erklärt. Zwar nutzen viele Webseiten zur | |
Übertragung von Nutzernamen und Passwörtern die in den Browsern eingebaute | |
Verschlüsselungstechnik SSL. Danach schalten sie aber wieder in den | |
unverschlüsselten Modus um, was bedeutet, dass alle Daten potenziell | |
sichtbar werden. | |
Befindet man sich beispielsweise in einem WLAN-Café, in dem diverse andere | |
Rechner parallel eingeloggt sind, kann jeder mitlesen, was der andere | |
gerade im Netz so treibt - zumindest solange die Daten unverschlüsselt | |
gesendet werden. Firesheep setzt dabei bei den sogenannten "Session | |
Cookies" an. Das sind kleine Datenkrümel, die Internet-Angebote nach dem | |
Login (und häufig auch später) auf die Festplatte des Nutzers schreiben. | |
Die Cookies sind wie ein Ausweis: Wer Zugriff darauf hat, kann sich als | |
Nutzer ausgeben, ohne dessen Passwort zu kennen. | |
Da es um Sicherheit geht, war Firesheep-Programmierer Butler die | |
Aufmerksamkeit des Netzes sicher. In den ersten 24 Stunden wurde sein | |
kostenloses, quelloffenes Programm über 100.000 Mal heruntergeladen, bei | |
Google USA wurden entsprechende Suchen zum Trendbegriff. Er habe sich lange | |
überlegt, ob er Firesheep veröffentlichen sollte, so der | |
Sicherheitsexperte, und habe sich dafür entschieden. "Kriminelle kennen das | |
ja schon und ich weise den Vorwurf zurück, dass etwas wie Firesheep aus | |
sonst unschuldigen Menschen plötzlich böse Menschen macht." Werkzeuge wie | |
Firesheep seien seit Jahren verfügbar, nun zeige das Programm allen, wie | |
einfach sie zu benutzen seien. | |
Facebook, Twitter und Co. haben bislang noch nicht auf die Bedrohung | |
reagiert. Peinlich für die großen Webseiten ist vor allem, dass eine | |
Dauerverschlüsselung sensibler Dienste heutzutage kaum mehr Leistung kostet | |
- ein Argument, dass über Jahre stets gebracht wurde. Google hat | |
entsprechende Tests durchgeführt, nachdem das populäre Webmail-Programm | |
Google Mail auf SSL umgestellt wurde. Der Ingenieur Adam Langley schrieb | |
einmal, dieser Schritt sorge für ein Prozent mehr an Serverbelastung. Auch | |
der zusätzliche Speicherbedarf halte sich stark in Grenzen. | |
Bevor die großen Netzwerke reagieren und häufiger verschlüsseln, können | |
Nutzer gegen Firesheep und ähnliche Hacker-Werkzeuge gleich mehrere | |
Hilfsmaßnahmen ergreifen. Die wohl einfachste ist eine weitere | |
Firefox-Ergänzung und hört auf den Namen [3][HTTPS Everywhere]. Das kleine | |
Programm stammt von der US-Netzbürgerrechtsorganisation EFF und sorgt | |
dafür, dass zahlreiche wichtige Seiten automatisch gezwungen werden, eine | |
verschlüsselte Verbindung aufzubauen und zu halten. | |
Dazu gehören nicht nur Facebook und Twitter, sondern auch Shopping-Angebote | |
wie Amazon, das Online-Lexikon Wikipedia. Das gilt auch für die | |
Suchmaschine Google, die bereits seit einigen Monaten verschlüsselt genutzt | |
werden kann, was sich leider noch nicht rumgesprochen hat. HTTPS Everywhere | |
wird regelmäßig aktualisiert und lässt sich mit [4][etwas Mühe] auch an | |
spezielle Fälle anpassen. Zu beachten ist, dass nicht jeder Anbieter alles | |
verschlüsselt. So kommen bei Wikipedia nur die Texte und Suchanfragen per | |
SSL zum Nutzer, Bilder derzeit leider noch nicht. | |
Alternativ kann man erwägen, bei der Nutzung offener WLAN-Netze mit einem | |
so genannten VPN (Virtual Private Network) zu arbeiten. Dabei wird eine | |
direkte und verschlüsselte Verbindung zu einem vertrauenswürdigen Server im | |
Internet aufgebaut. Andere Nutzer im gleichen Netz sehen nichts mehr, | |
gesurft wird über diesen zusätzlichen "Ausgang", den man abgesichert | |
erreicht. VPN-Zugänge werden häufig von Firmen eingesetzt oder auch von | |
privaten Anbietern für einige Euro im Monat verkauft. | |
29 Oct 2010 | |
## LINKS | |
[1] http://www.youtube.com/watch?v=eUyrMVkRTlI | |
[2] http://codebutler.com/firesheep | |
[3] http://www.eff.org/https-everywhere | |
[4] http://www.eff.org/https-everywhere/rulesets | |
## AUTOREN | |
Ben Schwan | |
## TAGS | |
Schwerpunkt Überwachung | |
Schwerpunkt Überwachung | |
Schwerpunkt Überwachung | |
## ARTIKEL ZUM THEMA | |
Twitter verkauft User-Daten: Jeder zweite Tweet wird ausgewertet | |
Der Kurznachrichtendienst hat eine neue Einnahmequelle: Er bietet | |
Marketingfirmen an, Tweets in Echtzeit zu sehen – in einem zur | |
Profilbildung auswertbaren Format. | |
Neues Programm RockMelt: Ins Netz mit dem Freunde-Browser | |
Viele Nutzer bewegen sich in sozialen Netzwerken und stellen dort ihre | |
Inhalte ins Netz. Die Macher von RockMelt glauben, dass sie einen eigenen | |
Browser brauchen. | |
Neues Such-Angebot Blekko: Suchmaschine als Spamfilter | |
Viele Suchmaschinen sind voller Spameinträge und nutzlosem Material | |
sogenannter Content-Farmen. Die Suche von Blekko will das Problem mit einer | |
besseren Sortierung lösen. | |
Nutzerdaten wurden verkauft: Facebook bekommt Lecks nicht dicht | |
Das Online-Netzwerk hat eingeräumt, dass Anwendungsentwickler Nutzerdaten | |
an Infosammler veräußert haben. Externe Anwendungen werden schlecht | |
kontrolliert. | |
Umbau auf MySpace: Vom Weltnetzwerk zum Nischenraum | |
Einst war es das Online-Netzwerk schlechthin. Dann kam Facebook. Jetzt gibt | |
MySpace den Wettstreit um Größe auf und will sich als | |
Unterhaltungsplattform neu erfinden. | |
Neues Datenleck im Online-Netzwerk: Facebook-Werbung outet Mitglieder | |
Wer auf Facebook werben will, kann seine Zielgruppe detailreich definieren. | |
Eine Wissenschaftlerin zeigte nun, dass sich damit auch sensible | |
Nutzer-Infos finden lassen. | |
Soziale Netzwerke am Arbeitsplatz: Konzerne sperren Facebook-Zugang | |
Mehrere Dax-Konzerne habe ihren Mitarbeitern den Zugang zu sozialen | |
Netzwerken wie Facebook und Twitter gesperrt. Sie begründeten dies unter | |
anderem mit Sicherheitsbedenken. |