 |
# taz.de -- Sicherheitslücke in Online-Netzwerken: Wie Firesheep Facebook & Co… |
|
|
|
> Ein Sicherheitsexperte hat ein Programm geschrieben, mit dem man in |
|
> Sekunden Login-Daten in sozialen Netzwerken und auf E-Commerce-Seiten |
|
> ausspionieren kann. |
|
|
|
|
 |
Bild: Bleibt nicht immer ein Geheimnis: Login auf Facebook. |
|
|
|
Das [1][Demovideo] ist eindrucksvoll. Ein YouTube-Nutzer zeigt, wie man mit |
|
einer in dieser Woche erschienenen [2][neuen Software] namens Firesheep |
|
Sitzungen bei Twitter und Facebook "entführen" kann. Dazu muss man nur ein |
|
Ergänzungsprogramm im Browser Firefox hinzufügen und sich nur im gleichen |
|
Netz wie das Opfer befinden - ein Klick genügt, schon hat man Zugriff auf |
|
dessen Login-Daten. Firesheep beherrscht diesen Trick auch bei Amazon, |
|
Flickr, der Online-Seite der New York Times, Foursquare, einigen Google- |
|
und Yahoo-Diensten sowie einer ganzen Reihe weiterer bekannter |
|
Web-Angebote. |
|
|
|
Wie Firesheep funktioniert, das vom US-Sicherheitsexperten Eric Butler |
|
programmiert wurde, ist schnell erklärt. Zwar nutzen viele Webseiten zur |
|
Übertragung von Nutzernamen und Passwörtern die in den Browsern eingebaute |
|
Verschlüsselungstechnik SSL. Danach schalten sie aber wieder in den |
|
unverschlüsselten Modus um, was bedeutet, dass alle Daten potenziell |
|
sichtbar werden. |
|
|
|
Befindet man sich beispielsweise in einem WLAN-Café, in dem diverse andere |
|
Rechner parallel eingeloggt sind, kann jeder mitlesen, was der andere |
|
gerade im Netz so treibt - zumindest solange die Daten unverschlüsselt |
|
gesendet werden. Firesheep setzt dabei bei den sogenannten "Session |
|
Cookies" an. Das sind kleine Datenkrümel, die Internet-Angebote nach dem |
|
Login (und häufig auch später) auf die Festplatte des Nutzers schreiben. |
|
Die Cookies sind wie ein Ausweis: Wer Zugriff darauf hat, kann sich als |
|
Nutzer ausgeben, ohne dessen Passwort zu kennen. |
|
|
|
Da es um Sicherheit geht, war Firesheep-Programmierer Butler die |
|
Aufmerksamkeit des Netzes sicher. In den ersten 24 Stunden wurde sein |
|
kostenloses, quelloffenes Programm über 100.000 Mal heruntergeladen, bei |
|
Google USA wurden entsprechende Suchen zum Trendbegriff. Er habe sich lange |
|
überlegt, ob er Firesheep veröffentlichen sollte, so der |
|
Sicherheitsexperte, und habe sich dafür entschieden. "Kriminelle kennen das |
|
ja schon und ich weise den Vorwurf zurück, dass etwas wie Firesheep aus |
|
sonst unschuldigen Menschen plötzlich böse Menschen macht." Werkzeuge wie |
|
Firesheep seien seit Jahren verfügbar, nun zeige das Programm allen, wie |
|
einfach sie zu benutzen seien. |
|
|
|
Facebook, Twitter und Co. haben bislang noch nicht auf die Bedrohung |
|
reagiert. Peinlich für die großen Webseiten ist vor allem, dass eine |
|
Dauerverschlüsselung sensibler Dienste heutzutage kaum mehr Leistung kostet |
|
- ein Argument, dass über Jahre stets gebracht wurde. Google hat |
|
entsprechende Tests durchgeführt, nachdem das populäre Webmail-Programm |
|
Google Mail auf SSL umgestellt wurde. Der Ingenieur Adam Langley schrieb |
|
einmal, dieser Schritt sorge für ein Prozent mehr an Serverbelastung. Auch |
|
der zusätzliche Speicherbedarf halte sich stark in Grenzen. |
|
|
|
Bevor die großen Netzwerke reagieren und häufiger verschlüsseln, können |
|
Nutzer gegen Firesheep und ähnliche Hacker-Werkzeuge gleich mehrere |
|
Hilfsmaßnahmen ergreifen. Die wohl einfachste ist eine weitere |
|
Firefox-Ergänzung und hört auf den Namen [3][HTTPS Everywhere]. Das kleine |
|
Programm stammt von der US-Netzbürgerrechtsorganisation EFF und sorgt |
|
dafür, dass zahlreiche wichtige Seiten automatisch gezwungen werden, eine |
|
verschlüsselte Verbindung aufzubauen und zu halten. |
|
|
|
Dazu gehören nicht nur Facebook und Twitter, sondern auch Shopping-Angebote |
|
wie Amazon, das Online-Lexikon Wikipedia. Das gilt auch für die |
|
Suchmaschine Google, die bereits seit einigen Monaten verschlüsselt genutzt |
|
werden kann, was sich leider noch nicht rumgesprochen hat. HTTPS Everywhere |
|
wird regelmäßig aktualisiert und lässt sich mit [4][etwas Mühe] auch an |
|
spezielle Fälle anpassen. Zu beachten ist, dass nicht jeder Anbieter alles |
|
verschlüsselt. So kommen bei Wikipedia nur die Texte und Suchanfragen per |
|
SSL zum Nutzer, Bilder derzeit leider noch nicht. |
|
|
|
Alternativ kann man erwägen, bei der Nutzung offener WLAN-Netze mit einem |
|
so genannten VPN (Virtual Private Network) zu arbeiten. Dabei wird eine |
|
direkte und verschlüsselte Verbindung zu einem vertrauenswürdigen Server im |
|
Internet aufgebaut. Andere Nutzer im gleichen Netz sehen nichts mehr, |
|
gesurft wird über diesen zusätzlichen "Ausgang", den man abgesichert |
|
erreicht. VPN-Zugänge werden häufig von Firmen eingesetzt oder auch von |
|
privaten Anbietern für einige Euro im Monat verkauft. |
|
|
|
29 Oct 2010 |
|
|
|
## LINKS |
|
|
 |
[1] http://www.youtube.com/watch?v=eUyrMVkRTlI |
|
[2] http://codebutler.com/firesheep |
|
[3] http://www.eff.org/https-everywhere |
|
[4] http://www.eff.org/https-everywhere/rulesets |
|
|
|
## AUTOREN |
|
|
|
Ben Schwan |
|
|
|
## ARTIKEL ZUM THEMA |
