Firesheep Account-Diebstahl für Jedermann
Seite 2/2:
Datenschutz durch Transparenz
Butler ist längst nicht der erste , der das sogenannte Session-Highjacking entdeckte. Er macht es nur nun jedem möglich, um auf das Problem hinzuweisen. Als Butler das Werkzeug im Oktober 2010 auf der Hackerkonferenz namens ToorCon vorstellte, war sein Vortrag überschrieben mit dem Aufruf : "Hey Web 2.0: Fang an, die Daten der Nutzer zu schützen, statt dies nur zu behaupten."
Schließlich, so argumentiert er, sei das nicht schwer. Jede Anwendung wie beispielsweise Facebook könne das Protokoll HTTPS für all seine Seiten anbieten und sämtliche Daten verschlüsseln.
Was viele wohl nicht gerne tun, ist es doch eine Frage des Geldes. Einerseits kostet das Zertifikat etwas Geld, das es braucht, um die Übertragung sauber ablaufen zu lassen. Es geht auch ohne, aber dann wollen Browser mit engen Sicherheitseinstellungen sich nicht mit der Seite verbinden. Andererseits ist die Übertragung und damit die Handhabung etwas langsamer, da die Daten ja ver- und entschlüsselt werden müssen. Butler findet, das dürfe kein Hindernis sein, noch dazu, da das Problem längst bekannt sei .
Seine Absicht ist gut. Trotzdem ist dieses Vorgehen nicht unumstritten.
Das Einloggen in einen fremden Account ist – so einfach es auch sein mag – beispielsweise in Deutschland und den USA verboten und wird im Zweifel bestraft . Außerdem steht das Werkzeug nun auch all jenen offen, die keine lauteren Absichten haben und die Unwissenheit derer ausnutzen können, die von seiner Existenz und den Gegenmaßnahmen nichts wissen.
Für Butlers Weg spricht die Theorie der Transparenz. Die Angriffsart ist lange bekannt und wird von jenen, die kriminelle Ansichten haben, im Zweifel sowieso genutzt. Sein Instrument verringert dagegen den Kreis der Unwissenden drastisch und so im Zweifel auch das Risiko, getreu dem Grundsatz: Eine erkannte Gefährdung ist keine Gefahr.
Und es gibt Wege, um sich zu schützen: Die Electronic Frontier Foundation hat ebenfalls ein Zusatzprogramm für Firefox entwickelt . Mit diesem kann HTTPS für viele Seiten erzwungen werden. Außerdem gibt es diverse Seiten, die eine verschlüsselte Version ihres Dienstes anbieten, auch wenn sie es nicht groß publik machen. Google beispielsweise . Nur einsetzen und damit fordern müssen die Nutzer es noch, also "mit den Füßen" abstimmen. Dann steigen die Chancen, dass generelle Verschlüsselung per HTTPS sich durchsetzt.
Mehr zum Thema
Übersicht zu diesem Artikel
- Seite 1 Account-Diebstahl für Jedermann
- Seite 2 Datenschutz durch Transparenz
Anzeige
- Datum 26.10.2010 - 14:28 Uhr
- Seite 1 | 2 | Auf einer Seite lesen
- Quelle ZEIT ONLINE
- Kommentare 11
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
...ist eigentlich seit eh und je ein Problem.
Nur Seiten die einen direkten Schaden zu befürchten hatten haben sich damit beschäftigt.
Daher faktisch jeder Onlineshop - nicht nur Amazon.
Ich vermute ein Teil des Problems ist das es Facebook am Ende egal sein kann - ich habe mir die Nutzungsbedingungen in letzter Zeit nicht durchgelesen aber oft findet man Klauseln dass für die Sicherheit der Daten keine Haftung übernommen wird.
In dem Sinne - wenn jemandem der Account gestohlen werden sollte - und damit eine Identität kopiert, schadet es Facebook? Eine Nutzer werden gehen, sich anderen Netzwerken zuwenden - aber Facebook als ganzes wird keinen großen Schaden davon tragen - alleine weil sie die Schuld auf den Nutzer schieben werden "hätte er kein offenes WLAN benutzt"...
Hier habe ich allerdings ein paar Frage die, soweit ich weiß nicht auf der englischen Originalseite und auch nicht hier beantwortet werden:
Wie sieht es mit verschlüsseltem WLAN aus - kann man - wenn man in diesem WLAN Netzwerk ist, die Daten eines anderen Nutzers in diesem Netzwerk "abhören".
(A & B sind beide in einem gesicherten WLAN Netzwerk, kann B Nutzer A "abhören?")
Und eine Variation - wenn die Antwort oben "ja" lautet - wie sieht es mit WLAN Netzwerken aus welche Nutzerkonten nutzen (z.B. mein Uni WLAN) - ich vermute mal es sollte nicht möglich sein meine Kommunikation "abzuhören" - aber wenn bin ich Hobby-Nerd nicht IT-Fachmann - insofern würde mich die Antwort hier interessieren.
Wenn du dich mit mehreren Nutzern in einem gesicherten WLAN befindest, kannst du natürlich deren Kommunikation "abhören". Du kennst ja schließlich den Schlüssel für das Netzwerk. Ist für dich also ähnlich, als wenn du dich mit dem Nutzer in einem offenen WLAN befinden würdest.
Zu deiner zweiten Frage. Wenn ich die richtig verstehe, dann ist das Benutzerkonto eigentlich nichts anderes als der Schlüssel zum WLAN. Sollte also kein Problem sein, wenn du dich korrekt am Uni WLAN angemeldet hast, dich abzuhören.
Wenn du dich mit mehreren Nutzern in einem gesicherten WLAN befindest, kannst du natürlich deren Kommunikation "abhören". Du kennst ja schließlich den Schlüssel für das Netzwerk. Ist für dich also ähnlich, als wenn du dich mit dem Nutzer in einem offenen WLAN befinden würdest.
Zu deiner zweiten Frage. Wenn ich die richtig verstehe, dann ist das Benutzerkonto eigentlich nichts anderes als der Schlüssel zum WLAN. Sollte also kein Problem sein, wenn du dich korrekt am Uni WLAN angemeldet hast, dich abzuhören.
Wenn du dich mit mehreren Nutzern in einem gesicherten WLAN befindest, kannst du natürlich deren Kommunikation "abhören". Du kennst ja schließlich den Schlüssel für das Netzwerk. Ist für dich also ähnlich, als wenn du dich mit dem Nutzer in einem offenen WLAN befinden würdest.
Zu deiner zweiten Frage. Wenn ich die richtig verstehe, dann ist das Benutzerkonto eigentlich nichts anderes als der Schlüssel zum WLAN. Sollte also kein Problem sein, wenn du dich korrekt am Uni WLAN angemeldet hast, dich abzuhören.
1) Hätte ich vermuten können - aber ich wusste es nicht.
Zu 2)
Bei meinem Uni Netzwerk richte ich erst alles ein und wenn ich mich dann das erste Mal mit dem Netzwerk verbinde dann muss ich meinen Benutzernamen und mein Passwort eingeben - jeder Student hat ein anderes.
So wie ich ihre Aussage verstehe kann jeder der meine Anmeldedaten hat meine Kommunikation abhören - anders aber nicht?
Die Anleitung zum einrichten des WLAN für Studenten ist hier:
http://shuspace.shu.ac.uk...
Ich bin mir sicher ein IT Fachmann weiß dann schneller/sofort was los ist :D
1) Hätte ich vermuten können - aber ich wusste es nicht.
Zu 2)
Bei meinem Uni Netzwerk richte ich erst alles ein und wenn ich mich dann das erste Mal mit dem Netzwerk verbinde dann muss ich meinen Benutzernamen und mein Passwort eingeben - jeder Student hat ein anderes.
So wie ich ihre Aussage verstehe kann jeder der meine Anmeldedaten hat meine Kommunikation abhören - anders aber nicht?
Die Anleitung zum einrichten des WLAN für Studenten ist hier:
http://shuspace.shu.ac.uk...
Ich bin mir sicher ein IT Fachmann weiß dann schneller/sofort was los ist :D
1) Hätte ich vermuten können - aber ich wusste es nicht.
Zu 2)
Bei meinem Uni Netzwerk richte ich erst alles ein und wenn ich mich dann das erste Mal mit dem Netzwerk verbinde dann muss ich meinen Benutzernamen und mein Passwort eingeben - jeder Student hat ein anderes.
So wie ich ihre Aussage verstehe kann jeder der meine Anmeldedaten hat meine Kommunikation abhören - anders aber nicht?
Die Anleitung zum einrichten des WLAN für Studenten ist hier:
http://shuspace.shu.ac.uk...
Ich bin mir sicher ein IT Fachmann weiß dann schneller/sofort was los ist :D
Normalerweise braucht man an einer UNI eine VPN-Verbindung um überhaupt ins Internet zu kommen.
Damit kann man nicht mehr einfach so deinen Gesamten Traffic mitlesen.
Dieser Hack ist dann z.B. unmöglich.
...irgendwo im Produktionsprozess verschluckten letzten Satz nachgetragen.
Beste Grüße
Kai Biermann
...ist immer schwierig.
@DetlevCM
Die Anleitung scheint nicht öffentlich zu sein, habe leider keinen Account für das Uni-Portal.
Ich weiß nicht genau wie eure Infrastruktur dort aussieht. Kann natürlich sein, dass für jeden User ein VPN-Tunnel eingerichtet wird. Dann wäre wie mwwbf schon gesagt hat, das Lesen der Daten so gut wie unmöglich.
Aber kann auch sein, dass du nur die Accountdaten irgendein Zertifikat der Uni brauchst um dich im WLAN anzumelden(so kenn ich das). Dann bist du ganz normal im Netzwerk von anderen Usern, die auch in deinem Uni Netzwerk sind, erreichbar.
Einfache Lösung wäre es, den Browser so einzustellen, dass er keine Cookies speichert. Dann musst du dich zwar bei jedem Besuch von Facebook etc. neuanmelden, aber da ist ja laut des Artikels die Anmeldung mit SSL verschlüsselt.
Ich bin eigentlich kein Facebook Nutzer - der einzige Grund meinen Facebook Account zu behalten ist dass ich ein Familienmitglied damit schneller erreiche als per Email - da hatten Antworten auf sich warten gelassen.
Aber ich nutze Foren - und da ist es dann interessant für mich.
Zu der Anleitung - doch, sie ist öffentlich (es sei denn deutsche IPs werden gefiltert ;)) - nur ist die dämliche Seite eine JavaScript Funktion...
http://shuspace.shu.ac.uk/
-> Suchfeld "Wi-Fi" der Erste Link führt dann zu der Seite - alternativ, dies ist der Vista Link: http://extra.shu.ac.uk/wi...
Und hier XP:
http://extra.shu.ac.uk/wi...
Eigentlich ist die insofern interessant als dass Unternehmen höchstwahrscheinlich die gleiche Technik nutzen wie meine Uni - und je nachdem ob es dann ein VPN ist oder nicht würde dies heißen dass man auch keine HTTP Seiten für irgendeinen Log-In in Firmennetzwerken nutzen sollte.
Sprich - wenn man über WLAN Log-Ins und ähnliches nutzen möchte dann nur im eigenen WPA2 gesicherten Netzwerk daheim.
Ich bin eigentlich kein Facebook Nutzer - der einzige Grund meinen Facebook Account zu behalten ist dass ich ein Familienmitglied damit schneller erreiche als per Email - da hatten Antworten auf sich warten gelassen.
Aber ich nutze Foren - und da ist es dann interessant für mich.
Zu der Anleitung - doch, sie ist öffentlich (es sei denn deutsche IPs werden gefiltert ;)) - nur ist die dämliche Seite eine JavaScript Funktion...
http://shuspace.shu.ac.uk/
-> Suchfeld "Wi-Fi" der Erste Link führt dann zu der Seite - alternativ, dies ist der Vista Link: http://extra.shu.ac.uk/wi...
Und hier XP:
http://extra.shu.ac.uk/wi...
Eigentlich ist die insofern interessant als dass Unternehmen höchstwahrscheinlich die gleiche Technik nutzen wie meine Uni - und je nachdem ob es dann ein VPN ist oder nicht würde dies heißen dass man auch keine HTTP Seiten für irgendeinen Log-In in Firmennetzwerken nutzen sollte.
Sprich - wenn man über WLAN Log-Ins und ähnliches nutzen möchte dann nur im eigenen WPA2 gesicherten Netzwerk daheim.
Ich bin eigentlich kein Facebook Nutzer - der einzige Grund meinen Facebook Account zu behalten ist dass ich ein Familienmitglied damit schneller erreiche als per Email - da hatten Antworten auf sich warten gelassen.
Aber ich nutze Foren - und da ist es dann interessant für mich.
Zu der Anleitung - doch, sie ist öffentlich (es sei denn deutsche IPs werden gefiltert ;)) - nur ist die dämliche Seite eine JavaScript Funktion...
http://shuspace.shu.ac.uk/
-> Suchfeld "Wi-Fi" der Erste Link führt dann zu der Seite - alternativ, dies ist der Vista Link: http://extra.shu.ac.uk/wi...
Und hier XP:
http://extra.shu.ac.uk/wi...
Eigentlich ist die insofern interessant als dass Unternehmen höchstwahrscheinlich die gleiche Technik nutzen wie meine Uni - und je nachdem ob es dann ein VPN ist oder nicht würde dies heißen dass man auch keine HTTP Seiten für irgendeinen Log-In in Firmennetzwerken nutzen sollte.
Sprich - wenn man über WLAN Log-Ins und ähnliches nutzen möchte dann nur im eigenen WPA2 gesicherten Netzwerk daheim.
..ist es dann doch nicht. Man muss, damit firesheep funktioniert, seine Netzwerkkarte in den Promicious-Mode umschalten, was unter Windows (hardwareabhängig) teils gar nicht, teils nur umständlich funktioniert.
Ich habe das AddOn eben unter XP ausprobiert, mit meinem Intel Centrino-Chipsatz (3945ABG) funktioniert es schon mal nicht...und der ist in seeehr vielen Laptops verbaut.
Unter OS X scheint es besser zu funktionieren (basiert ja auch auf Linux) und damit kann ggf. die Netzwerkkarte umschalten.
Auf jeden Fall mal eine sehr schicke Art auf das Sicherheitsproblem von unverschlüsselter Datenübertragung hinzuweisen...
Das ist richtig. Allerdings gilt es folgendes zu beachten (außer der Acht, dass die Netzwerkkarte Datenpakete abfangen kann): Man muss mithilfe eines weiteren Programms die Datenpakete umlenken, sodass die anderen PCs im WLAN über die eigene WLAN-Schnittstelle ihre Pakete versenden.
Dies geht nur, wenn man ein stärkeres Signal hat als der Router bzw. die anderen PCs zum eigenen PC eine kürzere Strecke haben als zum Router.
Die Methode ist allgemein bekannt als: "Man-in-the-Middle-Attack"
Sämtliche Datenpakete gehen nun vom Fremd-PC über den eigenen, erst dann an den Router. Anders ist es auch nicht möglich, an die Pakete heran zu kommen.
Das Opfer merkt dies höchstens daran, dass die Verbindung und der Seitenaufbau etwas verzögerter ist.
Sofern sich das Opfer nun einloggt auf Facebook (oder auf anderen Seiten, die man per Profil absuchen lassen kann), gelangen die Datenpakete des Cookies auf dem eigenen Rechner und man kann sich im Account einloggen. Dies geht solange, bis sich das Opfer bei Facebook wieder abmeldet (der Cookie wird hiermit ungültig) oder eine automatische Abmeldung stattfindet.
Es ist ebenfalls egal ob das Netzwerk ohne Verschlüsselung, mit WEP, WPA, WPA2 gesichert ist. Sofern die Pakete umlenkbar sind und man im selben Netzwerk agiert (und angemeldet ist) lassen sich diese auslesen. Ausnahme ist: VPN.
Abhilfe schafft allgemein die "https" (secure) Eingabe in der Webadresse oder natürlich ein weiteres Plugin für Firefox ("https everywhere").
Das ist richtig. Allerdings gilt es folgendes zu beachten (außer der Acht, dass die Netzwerkkarte Datenpakete abfangen kann): Man muss mithilfe eines weiteren Programms die Datenpakete umlenken, sodass die anderen PCs im WLAN über die eigene WLAN-Schnittstelle ihre Pakete versenden.
Dies geht nur, wenn man ein stärkeres Signal hat als der Router bzw. die anderen PCs zum eigenen PC eine kürzere Strecke haben als zum Router.
Die Methode ist allgemein bekannt als: "Man-in-the-Middle-Attack"
Sämtliche Datenpakete gehen nun vom Fremd-PC über den eigenen, erst dann an den Router. Anders ist es auch nicht möglich, an die Pakete heran zu kommen.
Das Opfer merkt dies höchstens daran, dass die Verbindung und der Seitenaufbau etwas verzögerter ist.
Sofern sich das Opfer nun einloggt auf Facebook (oder auf anderen Seiten, die man per Profil absuchen lassen kann), gelangen die Datenpakete des Cookies auf dem eigenen Rechner und man kann sich im Account einloggen. Dies geht solange, bis sich das Opfer bei Facebook wieder abmeldet (der Cookie wird hiermit ungültig) oder eine automatische Abmeldung stattfindet.
Es ist ebenfalls egal ob das Netzwerk ohne Verschlüsselung, mit WEP, WPA, WPA2 gesichert ist. Sofern die Pakete umlenkbar sind und man im selben Netzwerk agiert (und angemeldet ist) lassen sich diese auslesen. Ausnahme ist: VPN.
Abhilfe schafft allgemein die "https" (secure) Eingabe in der Webadresse oder natürlich ein weiteres Plugin für Firefox ("https everywhere").
Bitte melden Sie sich an, um zu kommentieren