Twitter & Facebook und unverschlüsselte Seiten: Accounts übernehmen für Doofe mit Firesheep

25. Oktober 2010 Kategorie: Backup & Security, Firefox & Thunderbird, Internet, Social Network, geschrieben von: caschy

Wer in offenen WLANs unterwegs ist, der weiss sicherlich, worauf er sich einlässt. Ist die Verbindung zu verschiedenen Seiten nicht verschlüsselt, so kann ein Lauscher mit geringem Wissen unter Umständen so einiges an Traffic mitschneiden und diesen auswerten. Twitter und Facebook arbeiten zum Beispiel momentan unverschlüsselt. Jetzt wird es neugierigen Personen ganz einfach gemacht, eure Accounts zu kapern. Dabei wird das offene WLAN gescannt und eure Cookies übernommen.

Damit auch der letzte Klappspaten das hinbekommt, gibt es eine Firefox-Erweiterung namens Firesheep. Starten, Cookies suchen und abgreifen. Funktioniert scheinbar wirklich so einfach wie erklärt. Unglaublich, oder?

Hier noch einmal mein Screenshot der Einstellungen:

Die Wirkweise ist schnell erklärt: bei unverschlüsselten Verbindungen übertragt ihr die Kombination Benutzername / Passwort im Klartext. Der Server überprüft dieses und sendet euch ein Cookie. Lest euch bei technischen Interesse ruhig einmal die Infos auf der Firesheep-Seite durch. Bin mal gespannt wir lange es dauert, bis die Erweiterung verschwindet – oder bis Seitenbetreiber die Verschlüsselung aktivieren. Also: aufgepasst in offenen Drahtlosnetzwerken!

Nachtrag: SO schützt ihr euch davor!


(via techcrunch)

Neueste Beiträge im Blog

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 16547 Artikel geschrieben.


37 Kommentare

Dominik 25. Oktober 2010 um 09:03 Uhr

Na super, und demnächst ist man in keinem öffentlichen Netzwerk mehr sicher, wenn solche Tools jetzt in jedem reichweitenstarken Blog angepriesen werden. Ja, klar sollte konsequent verschlüsselt werden. Ja, klar gibt es Sniffer, die sowas schon seit ewig rauskriegen können. Aber jetzt ist es anscheinend jemandem in den Sinn gekommen, es wirklich komplett “für doofe” zu machen – und sowas sollte man denke ich nicht mit downloadlink und allem anpreisen, sonst ist man bald wohl nirgendwo mehr sicher.
Eine Warnung rausgeben, gut und schön. Am besten direkt die Webseitenbetreiber anschreiben oder eine medienwirksame Aktion machen, um anhand dieses Programms zu zeigen, wie unsicher das surfen ist. Aber… hm. Ich will dir irgendwie nicht vorschreiben was du verbloggst und was nicht, mache es aber anscheinend gerade. Daher nimm das oben nur als Gedankennotiz meinerseits und sonst nur noch: Dein Blog finde ich so gut, den Artikel nicht. Meine Meinung ;)

caschy 25. Oktober 2010 um 09:08 Uhr

Anpreisen vs. warnen. Ist dir sicherlich bekannt. Nur weil reichweitenstarke Blogs NICHT darüber schreiben, ist das Problem nicht einfach weg. Gerade WEIL so etwas publiziert wird, werden Betreiber umdenken müssen – und Benutzer vielleicht auch. Und selbst ohne Link wäre es albern, weil die Quelle TC auch verlinkt und die meisten Google benutzen können.

Christoph 25. Oktober 2010 um 09:08 Uhr

Dominik, nur wenn man die Gefahren kennt, kann man/wird man auch entsprechende Sicherheitsmaßnahmen vornehmen. Viel zu viele Leute mit Computern gehen völlig sorglos mit der Technik um.

Ulli 25. Oktober 2010 um 09:11 Uhr

“…oder eine medienwirksame Aktion machen”

Hmm… du meinst, z.B. in Blogs davon schreiben?

Paul Peter 25. Oktober 2010 um 09:29 Uhr

und für alle die Firesheep nutzen wollen, ohne sich im grauen Bereich aufzuhalten, kann sich ja das Firesheep-Personas-Theme intallieren: https://addons.mozilla.org/de/firefox/addon/221998/
:D :D

(wer den Wortwitzhumor nicht versteht, sollte diesen Artikel einfach überspringen :D )

P.S.: Windows-User müssen noch zusätzlich Winpcap installieren (den Link findet man ebenfalls auf der Extension-Downloadseite)

Fraggle 25. Oktober 2010 um 09:32 Uhr

Thx Caschy für die Info.

@Dominik:
1.) Bevor ein Blogger überhaupt davon Wind bekommt, ist das Ding in Szenekreisen schon weit verbreitet, Problem also schon groß.
2.) Können Nutzer nun darauf achten, daß sie im öffentlichen WLAN o.ä. nur auf SSL Verbindungen gehen.
3.) Je mehr es wissen, desto eher sind die Anbieter gezwungen zu wechseln, weil sie sonst Kunden verlieren.

Teo 25. Oktober 2010 um 09:37 Uhr

Ui, danke für die Info.
Wie schon gesagt, sorgen solche Programme dafür, dass Leute Wind von den Lücken bekommen. Die Gefahren sind auch ohne diese Firefox-Erweiterung vorhanden und die Unternehmen kennen diese sicher auch. Wenn nun Aufmerksamkeit hierdurch erregt wird, ist das gut.

Gibt es eigentlich auch Möglichkeiten sich selbst zu schützen und sich nicht nur auf die Dienstanbieter zu verlassen? Ich surfe öfter im Uni-Netz und dort ist die Gefahr sicher in erhöhtem Maße vorhanden.

Robert 25. Oktober 2010 um 09:49 Uhr

Sowohl Twitter als auch Facebook sind übrigens auch über https zu erreichen (nicht dass das einen unerfahrenen Nutzer interessiert^^)

Martin 25. Oktober 2010 um 09:49 Uhr

Welcher auch nur halbwegs mitdenkende W-Lan-Nutzer surft noch ohne Verschlüsselung? Sollte doch mittlerweile selbst der letzte Einsiedler mitbekommen haben.

RayBanana 25. Oktober 2010 um 09:55 Uhr

moin!

kann mir jemand erklären, ob die “HTTPS Everywhere” erweiterung für firefox davor schützen würde? und wenn ja/nein, warum das so ist? sofern das problemlos einem laien zu vermitteln ist.

danke schonmal vorab

Silvan 25. Oktober 2010 um 10:05 Uhr

Hi zusammen

Also ich find das Plugin richtig klasse :D. Nicht das ich es nötig hätte, solch ein Plugin zu verwenden, jedoch kann jetzt JEDER dieses Plugin verwendet und Sessions klauen. Somit wird der Druck für das Bebehen des Problems grösser! Sehr amüsant finde ich auch, dass sich da tatsächlich jemand die Zeit genommen hat, solch ein Plugin zu schreiben :D

Gruss
Silvan

Rainer Friedrich 25. Oktober 2010 um 10:06 Uhr

Soweit ich sehe, wird die Session gekapert, aber das Passwort selbst bekommt der Angreifer nicht?

ThomasM 25. Oktober 2010 um 10:13 Uhr

Super. Twitter und Facebook sind eh das Schlimmste, was das Internet jemals hervorgebracht hat.
Unabhängig davon sehe ich keinen Grund, warum nicht jeder, egal wo, standardmäßig alle Verbindungen verschlüsseln sollte, sofern die Möglichkeit besteht. Wenn man das immer macht, auch im (vermeintlich) sicheren Heimnetzwerk, kann man es auch nicht mehr vergessen, wenn man mal in einem öffentlichen Netzwerk unterwegs ist bzw. einem fremden Heimnetzwerk, dessen Sicherheit man nicht beurteilen kann. Wer zu faul ist, sich selbst darum zu kümmern, für den gibt es die Firefox-Erweiterung “HTTPS everywhere” – verschlüsselt u. a. auch Facebook und Twitter.
https://www.eff.org/https-everywhere

Mirco 25. Oktober 2010 um 10:20 Uhr

Man sollte vielleicht klarstellen, dass diese Tool keine Login-Daten aufzeichnet. Das heißt Loginname und Passwort. Dieses Tool kapert lediglich die Session des Benutzer und surft dann über diese in seinem Konto. Ich weiß nicht wie lang so eine Session dauert bei Facebook und Twitter, aber nach einem Logout dürfte diese ja beendet sein.

Dennoch kann man damit ordentlich schabernack treiben, wenn man in Netz einer Universität oder Hochschule das Teil aktiviert.

Einfacher Schutz. Https-Seiten verwenden bei Login und verschlüsseltes W-Lan benutzen.

Noch eine Methode. Einfach Firefox Private oder Google Chrome Private nutzen. Dort werden keine Session Cookies gespeichert.

Florian 25. Oktober 2010 um 10:31 Uhr

“Damit auch der letzte Klappspaten das hinbekommt”
köstlich.

Danke für den Artikel. Dass es einfach ist sowas anzustellen ist ja klar… Aber sooo einfach.
Hoffentlich werden damit und in Verbindung mit dem Google Fall (nein damit will ich keine Google Diskussion anfangen) die Benutzer mal sensibilisiert, was offene WLAN Netzwerke betrifft.

Tut nichts zur Sache 25. Oktober 2010 um 10:49 Uhr

@Mirco: Das dürfte nicht helfen. Im privaten Modus werden Cookies zwar nicht permanent über den Browserneustart gespeichert, aber doch vom Browser zur Authorisierung in der HTML-Kommunikation genutzt…

BTW: Hier ist immer nur vom WLAN die Rede. Prinzipiell sollte das Cookie klauen auch im LAN klappen? Was meint Ihr? Um mich im Firmennetz nicht unbeliebt zu machen, wollte ich es jetzt nicht austesten ;-)

Wixxer 25. Oktober 2010 um 10:52 Uhr

So ne schöne verbotene Sache …

Aber mal für die ganz Dummen oder einfach nur für “ich bin dagegen” Personen:

Ist es nicht ein Unding, dass es heißt: Kopierschutz darf nur dann umgangen werden, wenn er unwirksam ist.

Mir stellt sich bei so was immer die frage, wieso muss ein Gesetz einen wirksamen Kopierschutz schützen?

Gleiches gilt hier:
Keine Sau auf der Welt würde bei der PIN-Eingabe beim Geldautomaten darauf achten, dass kein anderer diese sehen kann, wenn es nicht die Diebe gäbe.

Und weiter kann man sich fragen, wieso braucht eine Bank so einen dicken Tresor? Es ist doch verboten einzubrechen?! Also wieso einen wirklich dicken Schutz gegen Einbruch?

Lösung: Denn nur was man nicht “kann”, kann man auch nicht – bzw. so ähnlich. Gesetze sind etwas für soziale Wesen, aber wenn es um Sicherheit geht, dann sollte es nur Vorschriften aber keine Verbote gegen!

Vorschrift: jeder muss sein WLAN mindestens verschlüsselt – besser mit einer speziellen Verschlüsselung, damit die sich hier aufregenden es nicht all zu leicht haben.

Verbot: Du darfst keine Software haben / herstellen und so weiter, die unsere Sicherheit testen kann. Denn dies überlassen wir lieber den netten Chinesen.

Daher und dies zeigt die Geschichte:

Wer für Verbote ist – schaut nur weg (z.B. bei Löschen statt Sperren)!
Wer die Sicherheit erhöht, wird länger überleben. Die Sicherheit besteht aber nicht in Verboten, denn eins ist sicher:

Alles was möglich ist, wird passieren!!! Das gilt für die Atombombe, bald für die Fusionsbombe und danach für Sachen, die wir uns jetzt noch nicht träumen lassen.

Verbote Sprechen für extreme Kurzsichtigkeit! Her mit den kleinen “Hacker”tools, damit jeder gewarnt wird, wie unser das digitale Leben ist (auch beim “neuen Perso” – der irgendwann mal “alt” sein wird…)

Solid 25. Oktober 2010 um 10:59 Uhr

Was ist mit Nutzern, die im gleichen aber verschlüsselten WLAN-Netzwerk unterwegs sind?
Können die auch Cookies von anderen Rechnern im Netzwerk klauen oder schützt die Verschlüsselung nach außen und nach innen?

Tommy 25. Oktober 2010 um 11:19 Uhr

“Sowohl Twitter als auch Facebook sind übrigens auch über https zu erreichen”

Das hat aber zumindest Facebook nicht stringent umgesetzt. Sehr viele Links (unter anderem Profil, Konto, Startseite u.a.m) zeigen auf die unverschlüsselte Seite.
Ein unachtsamer Klick und man surft wieder unverschlüsselt.

ccc 25. Oktober 2010 um 13:37 Uhr

Wozu der Aufwand, wenn ihr in WiFi Netzen mit eurem Laptop unterwegs seid, einfach arp -s auf das Gateway machen und gut ist, dann snifft auch keiner mit.

cokkii 25. Oktober 2010 um 13:47 Uhr

Mir egal, da ich sowieso kein Facebook und anderen Kackkram wie diese verdammten Social Network NICHT benutze. Facebook und Co. gehört VERBOTEN!

Adam 25. Oktober 2010 um 14:28 Uhr

Man kann sich verschlüsselt einloggen, wenn man das “s” in der URL ergänzt oder das von dir schon mal erwähnte Add-on, das bei vielen Seiten die verschlüsselte URL aufruft, nutzt, aber das ist auch nicht ganz optimal, da nach dem Einloggen eh alle weiteren Seiten unverschlüsselt übertragen werden. Das ist echt ein wunder, dass da anscheinend keiner was dagegen hat.

Mich wundert eh nichts mehr, wenn Unternehmen behaupten, dass die dich anschreiben dürfen, obwohl du weder deine Adresse angabst noch Werbung zugestimmt hast. Das soll angeblich nicht gegen unser Datenschutzgesetz verstoßen. Und die denken noch ernsthaft, dass man dann noch was kauft. Die brute force method funktioniert bei Menschen leider kaum. ;)

Rainer Friedrich 25. Oktober 2010 um 14:32 Uhr

Ggf. das AddOn ForceTLS installieren: https://addons.mozilla.org/en-US/firefox/addon/12714/

Ani 25. Oktober 2010 um 18:58 Uhr

Wow. Das so was von FIREFOX “angeboten” wird . Ehrlich gesagt,hab ich das Prinzip jetzt nicht ganz verstanden…aber andere tun das wohl ;D Man,nirgends is mant sicher.
Danke!

Dominik 25. Oktober 2010 um 19:10 Uhr

@alle die mich berichtigt haben: Ja, ihr hattet recht und ich war dumm. Lag vielleicht auch an zu wenig Kaffee so früh Morgens, jedenfalls sehe ich eure Argumente ein und frage mich, was mich heute Morgen geritten hat, nicht soweit zu denken.

@caschy trotzdem nochmal Danke zum Nachtrag :-)

caschy 25. Oktober 2010 um 19:13 Uhr

Mach dir keinen Kopf – du hast wenigstens Eier und stehst zu seinen Aussagen. Andere trauen sich das nicht, eigene Fehler einzugestehen. Daumen hoch.

SemperVideo 26. Oktober 2010 um 17:14 Uhr

Ich gestatte es mir hier einfach mal auf das Video von SemperVideo zu verweisen, für jeden der es in Aktion sehen möchte ohne es selbst im LAN zu testen:

http://www.youtube.com/watch?v=7s9gmyjaRio

Falls Caschy das für zu viel der Eigenwerbung hält, einfach löschen. Grüße.

Andreas

PROHACKER!!!1!1!1!!!11!1!! 27. Oktober 2010 um 09:29 Uhr

Habe es mal zum Selbsttest installiert, aber krieg es trotz neuester WinCap version nicht zum laufen.

Naja, ist ja eh nicht so wichtig >_>

SyntaX 29. Oktober 2010 um 13:23 Uhr

Ach du grüne neue. So was nennt sich dann wieder Prohacker, aber muss auf die billigsten Kindertools zurückgreifen und kann selbst diese nicht bedienen.

Paul Peter 29. Oktober 2010 um 14:30 Uhr

“Der neue Firefox 4, dessen Release Mozilla erst in dieser Woche verschoben hatte, soll das HSTS-Protokoll übrigens standardmäßig verlangen.”

Quelle: http://www.dnews.de/nachrichten/netzwelt/352775/firesheep-mozilla-plant-keinen-kill-switch.html

womit ein weiterer Schritt zu mehr sicherheit gegeben wird.


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.