Firesheep Account-Diebstahl für Jedermann
Viele Websites sichern Nutzerkonten nicht, sagt Programmierer Eric Butler. Um es vorzuführen, baute er einen Firefox-Zusatz, der Accounts klaut.
© Eric Butler
Ansicht des Browsers nach Installation von Firesheep
Es gibt vergleichsweise sichere Wege, im Internet Daten auszutauschen. Banken beispielsweise nutzen sie, um die Konten ihrer Kunden zu sichern, auch der Überweisungsdienst PayPal und der Buchversender Amazon: Das Protokoll heißt HTTPS , und die Daten, die damit übertragen werden, sind verschlüsselt und nicht ohne Weiteres zu belauschen.
Viele andere, inzwischen aber durchaus ähnlich riskante Dienste, wie beispielsweise Facebook und Twitter nutzen die verschlüsselte Datenübertragung nicht, wenn Kunden sich einloggen. Ein Problem, das der amerikanische Programmierer Eric Butler für einerseits gefährlich, andererseits aber für leicht behebbar hält.
Anzeige
Um das Problem zu demonstrieren, stellte er gerade ein Werkzeug ins Netz , dass es auch Laien ermöglicht, anderer Leute Passworte abzuhören und deren Accounts zu übernehmen. Firesheep, wie er das Programm nennt, ist ein sogenanntes Add-on zum populären Browser Firefox, ein kleines Erweiterungsprogramm also, leicht zu installieren und zu benutzen.
Derzeit funktioniert es nur mit bestimmten Versionen des Browsers, dann aber sehr gut, wie beispielsweise dieses Video zeigt. Am rechten Rand erscheint eine neue Spalte, in der alle Accounts, die das Programm beispielsweise in einem offenen WLAN-Netz abhören kann, mit einem Symbol angezeigt werden. Doppelklick genügt und der fremde Account öffnet sich auf dem eigenen Rechner.
Firesheep nutzt eine Lücke in der Datenübertragung. Wenn man sich bei einem Dienst wie Twitter einloggt, wird an den Computer
ein sogenannter
Session-Cookie
geschickt. Das ist nötig, damit Twitter beim nächsten Klick des Nutzers weiß, dass er derselbe ist, der sich eben einloggte und nun etwas anders innerhalb seines Accounts tut.
Das Problem: Der Erstkontakt ist bei den meisten Seiten durch Verschlüsselung geschützt, nicht aber die weitere Datenübertragung bei der Überprüfung, ob der Nutzer immer noch der korrekte ist. Auch bei Facebook kann man sich via HTTPS einloggen, um sein Passwort verschlüsselt zu übertragen. Aber schon beim nächsten Klick in seinem Account wird man in das normale Protokoll HTTP zurückgeschubst. Dabei ist schon einige Monate lang bekannt , dass dadurch an anderen Stellen eben jene Passworte unverschlüsselt übertragen werden und nicht nur Session Cookies .
Firesheep nun sucht nach unverschlüsselt übertragenen Session-Cookies und schickt eine eigene Anfrage an die betreffende Seite samt einer Kopie dieses Cookies – gaukelt also vor, der echte Nutzer zu sein.
Übersicht zu diesem Artikel
- Seite 1 Account-Diebstahl für Jedermann
- Seite 2 Datenschutz durch Transparenz
Anzeige
- Datum 26.10.2010 - 14:28 Uhr
- Seite 1 | 2 | Auf einer Seite lesen
- Quelle ZEIT ONLINE
- Kommentare 11
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
...ist eigentlich seit eh und je ein Problem.
Nur Seiten die einen direkten Schaden zu befürchten hatten haben sich damit beschäftigt.
Daher faktisch jeder Onlineshop - nicht nur Amazon.
Ich vermute ein Teil des Problems ist das es Facebook am Ende egal sein kann - ich habe mir die Nutzungsbedingungen in letzter Zeit nicht durchgelesen aber oft findet man Klauseln dass für die Sicherheit der Daten keine Haftung übernommen wird.
In dem Sinne - wenn jemandem der Account gestohlen werden sollte - und damit eine Identität kopiert, schadet es Facebook? Eine Nutzer werden gehen, sich anderen Netzwerken zuwenden - aber Facebook als ganzes wird keinen großen Schaden davon tragen - alleine weil sie die Schuld auf den Nutzer schieben werden "hätte er kein offenes WLAN benutzt"...
Hier habe ich allerdings ein paar Frage die, soweit ich weiß nicht auf der englischen Originalseite und auch nicht hier beantwortet werden:
Wie sieht es mit verschlüsseltem WLAN aus - kann man - wenn man in diesem WLAN Netzwerk ist, die Daten eines anderen Nutzers in diesem Netzwerk "abhören".
(A & B sind beide in einem gesicherten WLAN Netzwerk, kann B Nutzer A "abhören?")
Und eine Variation - wenn die Antwort oben "ja" lautet - wie sieht es mit WLAN Netzwerken aus welche Nutzerkonten nutzen (z.B. mein Uni WLAN) - ich vermute mal es sollte nicht möglich sein meine Kommunikation "abzuhören" - aber wenn bin ich Hobby-Nerd nicht IT-Fachmann - insofern würde mich die Antwort hier interessieren.
Wenn du dich mit mehreren Nutzern in einem gesicherten WLAN befindest, kannst du natürlich deren Kommunikation "abhören". Du kennst ja schließlich den Schlüssel für das Netzwerk. Ist für dich also ähnlich, als wenn du dich mit dem Nutzer in einem offenen WLAN befinden würdest.
Zu deiner zweiten Frage. Wenn ich die richtig verstehe, dann ist das Benutzerkonto eigentlich nichts anderes als der Schlüssel zum WLAN. Sollte also kein Problem sein, wenn du dich korrekt am Uni WLAN angemeldet hast, dich abzuhören.
Wenn du dich mit mehreren Nutzern in einem gesicherten WLAN befindest, kannst du natürlich deren Kommunikation "abhören". Du kennst ja schließlich den Schlüssel für das Netzwerk. Ist für dich also ähnlich, als wenn du dich mit dem Nutzer in einem offenen WLAN befinden würdest.
Zu deiner zweiten Frage. Wenn ich die richtig verstehe, dann ist das Benutzerkonto eigentlich nichts anderes als der Schlüssel zum WLAN. Sollte also kein Problem sein, wenn du dich korrekt am Uni WLAN angemeldet hast, dich abzuhören.
Wenn du dich mit mehreren Nutzern in einem gesicherten WLAN befindest, kannst du natürlich deren Kommunikation "abhören". Du kennst ja schließlich den Schlüssel für das Netzwerk. Ist für dich also ähnlich, als wenn du dich mit dem Nutzer in einem offenen WLAN befinden würdest.
Zu deiner zweiten Frage. Wenn ich die richtig verstehe, dann ist das Benutzerkonto eigentlich nichts anderes als der Schlüssel zum WLAN. Sollte also kein Problem sein, wenn du dich korrekt am Uni WLAN angemeldet hast, dich abzuhören.
1) Hätte ich vermuten können - aber ich wusste es nicht.
Zu 2)
Bei meinem Uni Netzwerk richte ich erst alles ein und wenn ich mich dann das erste Mal mit dem Netzwerk verbinde dann muss ich meinen Benutzernamen und mein Passwort eingeben - jeder Student hat ein anderes.
So wie ich ihre Aussage verstehe kann jeder der meine Anmeldedaten hat meine Kommunikation abhören - anders aber nicht?
Die Anleitung zum einrichten des WLAN für Studenten ist hier:
http://shuspace.shu.ac.uk...
Ich bin mir sicher ein IT Fachmann weiß dann schneller/sofort was los ist :D
1) Hätte ich vermuten können - aber ich wusste es nicht.
Zu 2)
Bei meinem Uni Netzwerk richte ich erst alles ein und wenn ich mich dann das erste Mal mit dem Netzwerk verbinde dann muss ich meinen Benutzernamen und mein Passwort eingeben - jeder Student hat ein anderes.
So wie ich ihre Aussage verstehe kann jeder der meine Anmeldedaten hat meine Kommunikation abhören - anders aber nicht?
Die Anleitung zum einrichten des WLAN für Studenten ist hier:
http://shuspace.shu.ac.uk...
Ich bin mir sicher ein IT Fachmann weiß dann schneller/sofort was los ist :D
1) Hätte ich vermuten können - aber ich wusste es nicht.
Zu 2)
Bei meinem Uni Netzwerk richte ich erst alles ein und wenn ich mich dann das erste Mal mit dem Netzwerk verbinde dann muss ich meinen Benutzernamen und mein Passwort eingeben - jeder Student hat ein anderes.
So wie ich ihre Aussage verstehe kann jeder der meine Anmeldedaten hat meine Kommunikation abhören - anders aber nicht?
Die Anleitung zum einrichten des WLAN für Studenten ist hier:
http://shuspace.shu.ac.uk...
Ich bin mir sicher ein IT Fachmann weiß dann schneller/sofort was los ist :D
Normalerweise braucht man an einer UNI eine VPN-Verbindung um überhaupt ins Internet zu kommen.
Damit kann man nicht mehr einfach so deinen Gesamten Traffic mitlesen.
Dieser Hack ist dann z.B. unmöglich.
...irgendwo im Produktionsprozess verschluckten letzten Satz nachgetragen.
Beste Grüße
Kai Biermann
...ist immer schwierig.
@DetlevCM
Die Anleitung scheint nicht öffentlich zu sein, habe leider keinen Account für das Uni-Portal.
Ich weiß nicht genau wie eure Infrastruktur dort aussieht. Kann natürlich sein, dass für jeden User ein VPN-Tunnel eingerichtet wird. Dann wäre wie mwwbf schon gesagt hat, das Lesen der Daten so gut wie unmöglich.
Aber kann auch sein, dass du nur die Accountdaten irgendein Zertifikat der Uni brauchst um dich im WLAN anzumelden(so kenn ich das). Dann bist du ganz normal im Netzwerk von anderen Usern, die auch in deinem Uni Netzwerk sind, erreichbar.
Einfache Lösung wäre es, den Browser so einzustellen, dass er keine Cookies speichert. Dann musst du dich zwar bei jedem Besuch von Facebook etc. neuanmelden, aber da ist ja laut des Artikels die Anmeldung mit SSL verschlüsselt.
Ich bin eigentlich kein Facebook Nutzer - der einzige Grund meinen Facebook Account zu behalten ist dass ich ein Familienmitglied damit schneller erreiche als per Email - da hatten Antworten auf sich warten gelassen.
Aber ich nutze Foren - und da ist es dann interessant für mich.
Zu der Anleitung - doch, sie ist öffentlich (es sei denn deutsche IPs werden gefiltert ;)) - nur ist die dämliche Seite eine JavaScript Funktion...
http://shuspace.shu.ac.uk/
-> Suchfeld "Wi-Fi" der Erste Link führt dann zu der Seite - alternativ, dies ist der Vista Link: http://extra.shu.ac.uk/wi...
Und hier XP:
http://extra.shu.ac.uk/wi...
Eigentlich ist die insofern interessant als dass Unternehmen höchstwahrscheinlich die gleiche Technik nutzen wie meine Uni - und je nachdem ob es dann ein VPN ist oder nicht würde dies heißen dass man auch keine HTTP Seiten für irgendeinen Log-In in Firmennetzwerken nutzen sollte.
Sprich - wenn man über WLAN Log-Ins und ähnliches nutzen möchte dann nur im eigenen WPA2 gesicherten Netzwerk daheim.
Ich bin eigentlich kein Facebook Nutzer - der einzige Grund meinen Facebook Account zu behalten ist dass ich ein Familienmitglied damit schneller erreiche als per Email - da hatten Antworten auf sich warten gelassen.
Aber ich nutze Foren - und da ist es dann interessant für mich.
Zu der Anleitung - doch, sie ist öffentlich (es sei denn deutsche IPs werden gefiltert ;)) - nur ist die dämliche Seite eine JavaScript Funktion...
http://shuspace.shu.ac.uk/
-> Suchfeld "Wi-Fi" der Erste Link führt dann zu der Seite - alternativ, dies ist der Vista Link: http://extra.shu.ac.uk/wi...
Und hier XP:
http://extra.shu.ac.uk/wi...
Eigentlich ist die insofern interessant als dass Unternehmen höchstwahrscheinlich die gleiche Technik nutzen wie meine Uni - und je nachdem ob es dann ein VPN ist oder nicht würde dies heißen dass man auch keine HTTP Seiten für irgendeinen Log-In in Firmennetzwerken nutzen sollte.
Sprich - wenn man über WLAN Log-Ins und ähnliches nutzen möchte dann nur im eigenen WPA2 gesicherten Netzwerk daheim.
Ich bin eigentlich kein Facebook Nutzer - der einzige Grund meinen Facebook Account zu behalten ist dass ich ein Familienmitglied damit schneller erreiche als per Email - da hatten Antworten auf sich warten gelassen.
Aber ich nutze Foren - und da ist es dann interessant für mich.
Zu der Anleitung - doch, sie ist öffentlich (es sei denn deutsche IPs werden gefiltert ;)) - nur ist die dämliche Seite eine JavaScript Funktion...
http://shuspace.shu.ac.uk/
-> Suchfeld "Wi-Fi" der Erste Link führt dann zu der Seite - alternativ, dies ist der Vista Link: http://extra.shu.ac.uk/wi...
Und hier XP:
http://extra.shu.ac.uk/wi...
Eigentlich ist die insofern interessant als dass Unternehmen höchstwahrscheinlich die gleiche Technik nutzen wie meine Uni - und je nachdem ob es dann ein VPN ist oder nicht würde dies heißen dass man auch keine HTTP Seiten für irgendeinen Log-In in Firmennetzwerken nutzen sollte.
Sprich - wenn man über WLAN Log-Ins und ähnliches nutzen möchte dann nur im eigenen WPA2 gesicherten Netzwerk daheim.
..ist es dann doch nicht. Man muss, damit firesheep funktioniert, seine Netzwerkkarte in den Promicious-Mode umschalten, was unter Windows (hardwareabhängig) teils gar nicht, teils nur umständlich funktioniert.
Ich habe das AddOn eben unter XP ausprobiert, mit meinem Intel Centrino-Chipsatz (3945ABG) funktioniert es schon mal nicht...und der ist in seeehr vielen Laptops verbaut.
Unter OS X scheint es besser zu funktionieren (basiert ja auch auf Linux) und damit kann ggf. die Netzwerkkarte umschalten.
Auf jeden Fall mal eine sehr schicke Art auf das Sicherheitsproblem von unverschlüsselter Datenübertragung hinzuweisen...
Das ist richtig. Allerdings gilt es folgendes zu beachten (außer der Acht, dass die Netzwerkkarte Datenpakete abfangen kann): Man muss mithilfe eines weiteren Programms die Datenpakete umlenken, sodass die anderen PCs im WLAN über die eigene WLAN-Schnittstelle ihre Pakete versenden.
Dies geht nur, wenn man ein stärkeres Signal hat als der Router bzw. die anderen PCs zum eigenen PC eine kürzere Strecke haben als zum Router.
Die Methode ist allgemein bekannt als: "Man-in-the-Middle-Attack"
Sämtliche Datenpakete gehen nun vom Fremd-PC über den eigenen, erst dann an den Router. Anders ist es auch nicht möglich, an die Pakete heran zu kommen.
Das Opfer merkt dies höchstens daran, dass die Verbindung und der Seitenaufbau etwas verzögerter ist.
Sofern sich das Opfer nun einloggt auf Facebook (oder auf anderen Seiten, die man per Profil absuchen lassen kann), gelangen die Datenpakete des Cookies auf dem eigenen Rechner und man kann sich im Account einloggen. Dies geht solange, bis sich das Opfer bei Facebook wieder abmeldet (der Cookie wird hiermit ungültig) oder eine automatische Abmeldung stattfindet.
Es ist ebenfalls egal ob das Netzwerk ohne Verschlüsselung, mit WEP, WPA, WPA2 gesichert ist. Sofern die Pakete umlenkbar sind und man im selben Netzwerk agiert (und angemeldet ist) lassen sich diese auslesen. Ausnahme ist: VPN.
Abhilfe schafft allgemein die "https" (secure) Eingabe in der Webadresse oder natürlich ein weiteres Plugin für Firefox ("https everywhere").
Das ist richtig. Allerdings gilt es folgendes zu beachten (außer der Acht, dass die Netzwerkkarte Datenpakete abfangen kann): Man muss mithilfe eines weiteren Programms die Datenpakete umlenken, sodass die anderen PCs im WLAN über die eigene WLAN-Schnittstelle ihre Pakete versenden.
Dies geht nur, wenn man ein stärkeres Signal hat als der Router bzw. die anderen PCs zum eigenen PC eine kürzere Strecke haben als zum Router.
Die Methode ist allgemein bekannt als: "Man-in-the-Middle-Attack"
Sämtliche Datenpakete gehen nun vom Fremd-PC über den eigenen, erst dann an den Router. Anders ist es auch nicht möglich, an die Pakete heran zu kommen.
Das Opfer merkt dies höchstens daran, dass die Verbindung und der Seitenaufbau etwas verzögerter ist.
Sofern sich das Opfer nun einloggt auf Facebook (oder auf anderen Seiten, die man per Profil absuchen lassen kann), gelangen die Datenpakete des Cookies auf dem eigenen Rechner und man kann sich im Account einloggen. Dies geht solange, bis sich das Opfer bei Facebook wieder abmeldet (der Cookie wird hiermit ungültig) oder eine automatische Abmeldung stattfindet.
Es ist ebenfalls egal ob das Netzwerk ohne Verschlüsselung, mit WEP, WPA, WPA2 gesichert ist. Sofern die Pakete umlenkbar sind und man im selben Netzwerk agiert (und angemeldet ist) lassen sich diese auslesen. Ausnahme ist: VPN.
Abhilfe schafft allgemein die "https" (secure) Eingabe in der Webadresse oder natürlich ein weiteres Plugin für Firefox ("https everywhere").
Bitte melden Sie sich an, um zu kommentieren