Sicherheitslücke in Online-Netzwerken: Wie Firesheep Facebook & Co. kapert
Ein Sicherheitsexperte hat ein Programm geschrieben, mit dem man in Sekunden Login-Daten in sozialen Netzwerken und auf E-Commerce-Seiten ausspionieren kann.
Bleibt nicht immer ein Geheimnis: Login auf Facebook. Bild: dpa
Das Demovideo ist eindrucksvoll. Ein YouTube-Nutzer zeigt, wie man mit einer in dieser Woche erschienenen neuen Software namens Firesheep Sitzungen bei Twitter und Facebook "entführen" kann. Dazu muss man nur ein Ergänzungsprogramm im Browser Firefox hinzufügen und sich nur im gleichen Netz wie das Opfer befinden - ein Klick genügt, schon hat man Zugriff auf dessen Login-Daten. Firesheep beherrscht diesen Trick auch bei Amazon, Flickr, der Online-Seite der New York Times, Foursquare, einigen Google- und Yahoo-Diensten sowie einer ganzen Reihe weiterer bekannter Web-Angebote.
Wie Firesheep funktioniert, das vom US-Sicherheitsexperten Eric Butler programmiert wurde, ist schnell erklärt. Zwar nutzen viele Webseiten zur Übertragung von Nutzernamen und Passwörtern die in den Browsern eingebaute Verschlüsselungstechnik SSL. Danach schalten sie aber wieder in den unverschlüsselten Modus um, was bedeutet, dass alle Daten potenziell sichtbar werden.
Befindet man sich beispielsweise in einem WLAN-Café, in dem diverse andere Rechner parallel eingeloggt sind, kann jeder mitlesen, was der andere gerade im Netz so treibt - zumindest solange die Daten unverschlüsselt gesendet werden. Firesheep setzt dabei bei den sogenannten "Session Cookies" an. Das sind kleine Datenkrümel, die Internet-Angebote nach dem Login (und häufig auch später) auf die Festplatte des Nutzers schreiben. Die Cookies sind wie ein Ausweis: Wer Zugriff darauf hat, kann sich als Nutzer ausgeben, ohne dessen Passwort zu kennen.
Da es um Sicherheit geht, war Firesheep-Programmierer Butler die Aufmerksamkeit des Netzes sicher. In den ersten 24 Stunden wurde sein kostenloses, quelloffenes Programm über 100.000 Mal heruntergeladen, bei Google USA wurden entsprechende Suchen zum Trendbegriff. Er habe sich lange überlegt, ob er Firesheep veröffentlichen sollte, so der Sicherheitsexperte, und habe sich dafür entschieden. "Kriminelle kennen das ja schon und ich weise den Vorwurf zurück, dass etwas wie Firesheep aus sonst unschuldigen Menschen plötzlich böse Menschen macht." Werkzeuge wie Firesheep seien seit Jahren verfügbar, nun zeige das Programm allen, wie einfach sie zu benutzen seien.
Facebook, Twitter und Co. haben bislang noch nicht auf die Bedrohung reagiert. Peinlich für die großen Webseiten ist vor allem, dass eine Dauerverschlüsselung sensibler Dienste heutzutage kaum mehr Leistung kostet - ein Argument, dass über Jahre stets gebracht wurde. Google hat entsprechende Tests durchgeführt, nachdem das populäre Webmail-Programm Google Mail auf SSL umgestellt wurde. Der Ingenieur Adam Langley schrieb einmal, dieser Schritt sorge für ein Prozent mehr an Serverbelastung. Auch der zusätzliche Speicherbedarf halte sich stark in Grenzen.
Bevor die großen Netzwerke reagieren und häufiger verschlüsseln, können Nutzer gegen Firesheep und ähnliche Hacker-Werkzeuge gleich mehrere Hilfsmaßnahmen ergreifen. Die wohl einfachste ist eine weitere Firefox-Ergänzung und hört auf den Namen HTTPS Everywhere. Das kleine Programm stammt von der US-Netzbürgerrechtsorganisation EFF und sorgt dafür, dass zahlreiche wichtige Seiten automatisch gezwungen werden, eine verschlüsselte Verbindung aufzubauen und zu halten.
Dazu gehören nicht nur Facebook und Twitter, sondern auch Shopping-Angebote wie Amazon, das Online-Lexikon Wikipedia. Das gilt auch für die Suchmaschine Google, die bereits seit einigen Monaten verschlüsselt genutzt werden kann, was sich leider noch nicht rumgesprochen hat. HTTPS Everywhere wird regelmäßig aktualisiert und lässt sich mit etwas Mühe auch an spezielle Fälle anpassen. Zu beachten ist, dass nicht jeder Anbieter alles verschlüsselt. So kommen bei Wikipedia nur die Texte und Suchanfragen per SSL zum Nutzer, Bilder derzeit leider noch nicht.
Alternativ kann man erwägen, bei der Nutzung offener WLAN-Netze mit einem so genannten VPN (Virtual Private Network) zu arbeiten. Dabei wird eine direkte und verschlüsselte Verbindung zu einem vertrauenswürdigen Server im Internet aufgebaut. Andere Nutzer im gleichen Netz sehen nichts mehr, gesurft wird über diesen zusätzlichen "Ausgang", den man abgesichert erreicht. VPN-Zugänge werden häufig von Firmen eingesetzt oder auch von privaten Anbietern für einige Euro im Monat verkauft.
Leser*innenkommentare
Thomas
Gast
"Zu beachten ist, dass nicht jeder Anbieter alles verschlüsselt. So kommen bei Wikipedia nur die Texte und Suchanfragen per SSL zum Nutzer, Bilder derzeit leider noch nicht."
Es ist immer wieder Schade, dass die Leute beim Begriff "Sicherheit" ad-hoc das Denken einstellen. Wenn man über Sicherheit redet, dann ist es auch immer sehr wichtig, darüber nachzudenken, wovor man sich schützen will.
Alle Bilder bei Wikipedia stellen kein Geheimnis dar, da sie für die Öffentlichkeit bestimmt und allgemein öffentlich zugänglich sind. Verschlüsselung macht aus allgemein bekannten Informationen rückwirkend kein Geheimnis. Das ist in meinen Augen hier der wesentliche Unterschied zu Facebook, wo man eher private Fotos hochlädt und dadurch auch andere Sicherheitsinteressen hat.
Das einzige Problem bei Wikipedia ist, dass man über die Bilder evtl. erraten kann, womit sich der Leser der Artikel beschäftigt. Allerdings scheint sich das Verschlüsselungsangebot überhaupt nicht an die normalen (lesenden) Nutzer zu richten, denn über die normalen Seiten findet sich kein SSL-Zugang und eine Änderung der URL in https funktioniert ebensowenig. Und wer über wikipedia.de auf Wikipedia zugreift, der hat zudem noch andere Probleme bzgl. Sicherheit zu lösen.
Bei Wikipedia dürfte der Sinn der Verschlüsselung im Schutz der Sitzungsdaten eingeloggter Benutzer zu sehen sein, also genau das Szenario, mit dem sich der Artikel hier beschäftigt und das bei Facebook mittels Firesheep unterlaufen wird. Und genau das wird mit der Verschlüsselung dann auch verhindert. Die Verschlüsselung der übertragenen Texte ist hierbei eher ein Abfallprodukt.
Die Bilder selbst liegen auf anderen Servern, d.h. dorthin werden die relevanten Cookies sowieso nicht übertragen und deswegen sind die Bilder in diesem Kontext auch nicht sicherheitsrelevant.
Moin
Gast
@Metamogul: Sorry, aber Dein Kommentar ist nicht ganz korrekt.
1. Auf jedem "vernünftigen" Unix-basierten System ist ein libpcap-Standard (Mac, Linux), da braucht man solche Scherze wie einen Zusatztreiber zum Paketefischen nicht.
2. Netzwerke müssen nicht per se unverschlüsselt sein, damit das funktioniert, es reicht, sich im gleichen, ungeswitchten Netz zu befinden. Das kann auch ein verschlüsseltes WLAN sein oder ein (ungeswitchtes) Kabel-Netz! Kannst Du ruhig mal in Deinem Heimnetz ausprobieren, wenn alle Rechner an einem Router/Switch hängen - aller Traffic läuft über alle Maschinen, ein Paket-Sniffer kriegt allet. Das ist ein uraltes Thema, aber den meisten Usern auch seit Urzeiten nicht klar.
3. Warum sich heute noch irgendwer mit Java rumärgern sollte, ist mir wiederum unklar. Firesheep zeigt doch gerade, dass es reicht, sich mit ein bisschen XUL-Sauce so was "Nettes" zu basteln.
Moinsen!
Metamogul
Gast
Der Artikel ist nicht ganz korrekt, was die Verwendung des Plugins angeht:
Zunächst genügt nicht Firesheep alleine - unter Windows bspw. muss der WinPcap-Treiber (http://www.winpcap.org/) installiert sein, der die Pakete überhaupt erst abfangen kann. Dieser Treiber kann Datenpakete aus WLANs abfangen - also nicht Daten aus beliebigen Netzwerken, deren Teil der eigene Computer ist. Zudem müssen diese Netzwerke selbst auch unverschlüsselt sein, damit das Firefox-Plugin Kennwörter ausfiltern kann. Und zu guter Letzt können etwas bewandertere NutzerInnen sich mit selbstgeschriebenen, kleinen Java-Routinen auch Logindaten von beliebigen Webseiten besorgen.
Panda
Gast
Das beste ist, Anbieter(hier: Facebook, etc.) zu boykottieren. Wenn den Anbietern so wenig an der Sicherheit ihrer Kunden liegt.