Twitter & Facebook und unverschlüsselte Seiten: Accounts übernehmen für Doofe mit Firesheep
Wer in offenen WLANs unterwegs ist, der weiss sicherlich, worauf er sich einlässt. Ist die Verbindung zu verschiedenen Seiten nicht verschlüsselt, so kann ein Lauscher mit geringem Wissen unter Umständen so einiges an Traffic mitschneiden und diesen auswerten. Twitter und Facebook arbeiten zum Beispiel momentan unverschlüsselt. Jetzt wird es neugierigen Personen ganz einfach gemacht, eure Accounts zu kapern. Dabei wird das offene WLAN gescannt und eure Cookies übernommen.
Damit auch der letzte Klappspaten das hinbekommt, gibt es eine Firefox-Erweiterung namens Firesheep. Starten, Cookies suchen und abgreifen. Funktioniert scheinbar wirklich so einfach wie erklärt. Unglaublich, oder?
Hier noch einmal mein Screenshot der Einstellungen:
Die Wirkweise ist schnell erklärt: bei unverschlüsselten Verbindungen übertragt ihr die Kombination Benutzername / Passwort im Klartext. Der Server überprüft dieses und sendet euch ein Cookie. Lest euch bei technischen Interesse ruhig einmal die Infos auf der Firesheep-Seite durch. Bin mal gespannt wir lange es dauert, bis die Erweiterung verschwindet – oder bis Seitenbetreiber die Verschlüsselung aktivieren. Also: aufgepasst in offenen Drahtlosnetzwerken!
Nachtrag: SO schützt ihr euch davor!
(via techcrunch)
Na super, und demnächst ist man in keinem öffentlichen Netzwerk mehr sicher, wenn solche Tools jetzt in jedem reichweitenstarken Blog angepriesen werden. Ja, klar sollte konsequent verschlüsselt werden. Ja, klar gibt es Sniffer, die sowas schon seit ewig rauskriegen können. Aber jetzt ist es anscheinend jemandem in den Sinn gekommen, es wirklich komplett „für doofe“ zu machen – und sowas sollte man denke ich nicht mit downloadlink und allem anpreisen, sonst ist man bald wohl nirgendwo mehr sicher.
Eine Warnung rausgeben, gut und schön. Am besten direkt die Webseitenbetreiber anschreiben oder eine medienwirksame Aktion machen, um anhand dieses Programms zu zeigen, wie unsicher das surfen ist. Aber… hm. Ich will dir irgendwie nicht vorschreiben was du verbloggst und was nicht, mache es aber anscheinend gerade. Daher nimm das oben nur als Gedankennotiz meinerseits und sonst nur noch: Dein Blog finde ich so gut, den Artikel nicht. Meine Meinung 😉
Anpreisen vs. warnen. Ist dir sicherlich bekannt. Nur weil reichweitenstarke Blogs NICHT darüber schreiben, ist das Problem nicht einfach weg. Gerade WEIL so etwas publiziert wird, werden Betreiber umdenken müssen – und Benutzer vielleicht auch. Und selbst ohne Link wäre es albern, weil die Quelle TC auch verlinkt und die meisten Google benutzen können.
Dominik, nur wenn man die Gefahren kennt, kann man/wird man auch entsprechende Sicherheitsmaßnahmen vornehmen. Viel zu viele Leute mit Computern gehen völlig sorglos mit der Technik um.
„…oder eine medienwirksame Aktion machen“
Hmm… du meinst, z.B. in Blogs davon schreiben?
und für alle die Firesheep nutzen wollen, ohne sich im grauen Bereich aufzuhalten, kann sich ja das Firesheep-Personas-Theme intallieren: https://addons.mozilla.org/de/firefox/addon/221998/
😀 😀
(wer den Wortwitzhumor nicht versteht, sollte diesen Artikel einfach überspringen 😀 )
P.S.: Windows-User müssen noch zusätzlich Winpcap installieren (den Link findet man ebenfalls auf der Extension-Downloadseite)
Thx Caschy für die Info.
@Dominik:
1.) Bevor ein Blogger überhaupt davon Wind bekommt, ist das Ding in Szenekreisen schon weit verbreitet, Problem also schon groß.
2.) Können Nutzer nun darauf achten, daß sie im öffentlichen WLAN o.ä. nur auf SSL Verbindungen gehen.
3.) Je mehr es wissen, desto eher sind die Anbieter gezwungen zu wechseln, weil sie sonst Kunden verlieren.
Ui, danke für die Info.
Wie schon gesagt, sorgen solche Programme dafür, dass Leute Wind von den Lücken bekommen. Die Gefahren sind auch ohne diese Firefox-Erweiterung vorhanden und die Unternehmen kennen diese sicher auch. Wenn nun Aufmerksamkeit hierdurch erregt wird, ist das gut.
Gibt es eigentlich auch Möglichkeiten sich selbst zu schützen und sich nicht nur auf die Dienstanbieter zu verlassen? Ich surfe öfter im Uni-Netz und dort ist die Gefahr sicher in erhöhtem Maße vorhanden.
Sowohl Twitter als auch Facebook sind übrigens auch über https zu erreichen (nicht dass das einen unerfahrenen Nutzer interessiert^^)
Welcher auch nur halbwegs mitdenkende W-Lan-Nutzer surft noch ohne Verschlüsselung? Sollte doch mittlerweile selbst der letzte Einsiedler mitbekommen haben.
moin!
kann mir jemand erklären, ob die „HTTPS Everywhere“ erweiterung für firefox davor schützen würde? und wenn ja/nein, warum das so ist? sofern das problemlos einem laien zu vermitteln ist.
danke schonmal vorab
Hi zusammen
Also ich find das Plugin richtig klasse :D. Nicht das ich es nötig hätte, solch ein Plugin zu verwenden, jedoch kann jetzt JEDER dieses Plugin verwendet und Sessions klauen. Somit wird der Druck für das Bebehen des Problems grösser! Sehr amüsant finde ich auch, dass sich da tatsächlich jemand die Zeit genommen hat, solch ein Plugin zu schreiben 😀
Gruss
Silvan
Soweit ich sehe, wird die Session gekapert, aber das Passwort selbst bekommt der Angreifer nicht?
Super. Twitter und Facebook sind eh das Schlimmste, was das Internet jemals hervorgebracht hat.
Unabhängig davon sehe ich keinen Grund, warum nicht jeder, egal wo, standardmäßig alle Verbindungen verschlüsseln sollte, sofern die Möglichkeit besteht. Wenn man das immer macht, auch im (vermeintlich) sicheren Heimnetzwerk, kann man es auch nicht mehr vergessen, wenn man mal in einem öffentlichen Netzwerk unterwegs ist bzw. einem fremden Heimnetzwerk, dessen Sicherheit man nicht beurteilen kann. Wer zu faul ist, sich selbst darum zu kümmern, für den gibt es die Firefox-Erweiterung „HTTPS everywhere“ – verschlüsselt u. a. auch Facebook und Twitter.
https://www.eff.org/https-everywhere
Man sollte vielleicht klarstellen, dass diese Tool keine Login-Daten aufzeichnet. Das heißt Loginname und Passwort. Dieses Tool kapert lediglich die Session des Benutzer und surft dann über diese in seinem Konto. Ich weiß nicht wie lang so eine Session dauert bei Facebook und Twitter, aber nach einem Logout dürfte diese ja beendet sein.
Dennoch kann man damit ordentlich schabernack treiben, wenn man in Netz einer Universität oder Hochschule das Teil aktiviert.
Einfacher Schutz. Https-Seiten verwenden bei Login und verschlüsseltes W-Lan benutzen.
Noch eine Methode. Einfach Firefox Private oder Google Chrome Private nutzen. Dort werden keine Session Cookies gespeichert.
„Damit auch der letzte Klappspaten das hinbekommt“
köstlich.
Danke für den Artikel. Dass es einfach ist sowas anzustellen ist ja klar… Aber sooo einfach.
Hoffentlich werden damit und in Verbindung mit dem Google Fall (nein damit will ich keine Google Diskussion anfangen) die Benutzer mal sensibilisiert, was offene WLAN Netzwerke betrifft.
@Mirco: Das dürfte nicht helfen. Im privaten Modus werden Cookies zwar nicht permanent über den Browserneustart gespeichert, aber doch vom Browser zur Authorisierung in der HTML-Kommunikation genutzt…
BTW: Hier ist immer nur vom WLAN die Rede. Prinzipiell sollte das Cookie klauen auch im LAN klappen? Was meint Ihr? Um mich im Firmennetz nicht unbeliebt zu machen, wollte ich es jetzt nicht austesten 😉
So ne schöne verbotene Sache …
Aber mal für die ganz Dummen oder einfach nur für „ich bin dagegen“ Personen:
Ist es nicht ein Unding, dass es heißt: Kopierschutz darf nur dann umgangen werden, wenn er unwirksam ist.
Mir stellt sich bei so was immer die frage, wieso muss ein Gesetz einen wirksamen Kopierschutz schützen?
Gleiches gilt hier:
Keine Sau auf der Welt würde bei der PIN-Eingabe beim Geldautomaten darauf achten, dass kein anderer diese sehen kann, wenn es nicht die Diebe gäbe.
Und weiter kann man sich fragen, wieso braucht eine Bank so einen dicken Tresor? Es ist doch verboten einzubrechen?! Also wieso einen wirklich dicken Schutz gegen Einbruch?
Lösung: Denn nur was man nicht „kann“, kann man auch nicht – bzw. so ähnlich. Gesetze sind etwas für soziale Wesen, aber wenn es um Sicherheit geht, dann sollte es nur Vorschriften aber keine Verbote gegen!
Vorschrift: jeder muss sein WLAN mindestens verschlüsselt – besser mit einer speziellen Verschlüsselung, damit die sich hier aufregenden es nicht all zu leicht haben.
Verbot: Du darfst keine Software haben / herstellen und so weiter, die unsere Sicherheit testen kann. Denn dies überlassen wir lieber den netten Chinesen.
Daher und dies zeigt die Geschichte:
Wer für Verbote ist – schaut nur weg (z.B. bei Löschen statt Sperren)!
Wer die Sicherheit erhöht, wird länger überleben. Die Sicherheit besteht aber nicht in Verboten, denn eins ist sicher:
Alles was möglich ist, wird passieren!!! Das gilt für die Atombombe, bald für die Fusionsbombe und danach für Sachen, die wir uns jetzt noch nicht träumen lassen.
Verbote Sprechen für extreme Kurzsichtigkeit! Her mit den kleinen „Hacker“tools, damit jeder gewarnt wird, wie unser das digitale Leben ist (auch beim „neuen Perso“ – der irgendwann mal „alt“ sein wird…)
Was ist mit Nutzern, die im gleichen aber verschlüsselten WLAN-Netzwerk unterwegs sind?
Können die auch Cookies von anderen Rechnern im Netzwerk klauen oder schützt die Verschlüsselung nach außen und nach innen?
„Sowohl Twitter als auch Facebook sind übrigens auch über https zu erreichen“
Das hat aber zumindest Facebook nicht stringent umgesetzt. Sehr viele Links (unter anderem Profil, Konto, Startseite u.a.m) zeigen auf die unverschlüsselte Seite.
Ein unachtsamer Klick und man surft wieder unverschlüsselt.
Wozu der Aufwand, wenn ihr in WiFi Netzen mit eurem Laptop unterwegs seid, einfach arp -s auf das Gateway machen und gut ist, dann snifft auch keiner mit.