Firesheep
Firefox-Add-On zeigt Lücken bei Facebook & Co.
Ein amerikanischer Software-Entwickler hat eine Firefox-Erweiterung veröffentlicht, die es erschreckend einfach macht, auf fremde Benutzerkonten bei Facebook, zahlreichen Mailanbietern und Co. zuzugreifen. Zumindest dann, wenn sich deren Benutzer sich über ein öffentliches WLAN einloggen.
Dass öffentliche, unverschlüsselte WLANs (Hotspots in Cafes, Unis, Bibliotheken) ein Paradies für Datenspione sind, ist soweit nichts Neues. Bisher waren für das Abgreifen von Daten aber zumindest fortgeschrittene Kenntnisse und komplex zu bedienende Tools wie Wireshark nötig. Der amerikanische Software-Entwickler Eric Butler hat nun die Firefox-Erweiterung Firesheep programmiert, die so simpel ist, dass auch unerfahrene Anwender damit die Kontrolle über fremde Benutzerkonten übernehmen können.
Butler möchte damit auf die Gefahren von öffentlichen, unverschlüsselten WLANs in Verbindung mit unzureichend gesicherten Web-Diensten hinweisen. Selbst Benutzernamen und Passwort bei der Anmeldung verschlüsselt übertragen werden, kann ein Dritter in vielen Fällen etwa den Facebook- oder Mail-Account eines anderen Anwenders mitbenutzen, solange dieser eingeloggt ist. Denn nach dem Login generieren Web-Dienste typischerweise eine Sitzungs-Nummer, die in der Web-Adresse oder in einem Cookie hinterlegt ist. Daran erkennen sie den eingeloggten Anwender wieder, wenn er innerhalb des Dienstes von Unterseite zu Unterseite wechselt.
Firesheep ist darauf spezialisiert, die Sitzungskennungen populärer Web-Dienste mitzuprotokollieren. Das Add-On zeigt sie in der linken Seitenleiste an. Ein Klick auf eine der Sitzungskennungen - und man befindet sich im Account eines fremden Nutzers, der gerade im gleichen unverschlüsselten WLAN surft. Damit Firesheep funktioniert, muss unter Windows der Paketmitschnitt-Treiber Winpcap installiert sein.
Der Autor möchte mit der Firefox-Erweiterung aber nicht nur vor den Gefahren warnen, sondern insbesondere die Betreiber von unsicheren Web-Diensten dazu bringen, auf eine durchgehende Verschlüsselung (Full SSL) zu setzen - so wie sie zum Beispiel schon bei Google Mail im Einsatz ist.
Butler möchte damit auf die Gefahren von öffentlichen, unverschlüsselten WLANs in Verbindung mit unzureichend gesicherten Web-Diensten hinweisen. Selbst Benutzernamen und Passwort bei der Anmeldung verschlüsselt übertragen werden, kann ein Dritter in vielen Fällen etwa den Facebook- oder Mail-Account eines anderen Anwenders mitbenutzen, solange dieser eingeloggt ist. Denn nach dem Login generieren Web-Dienste typischerweise eine Sitzungs-Nummer, die in der Web-Adresse oder in einem Cookie hinterlegt ist. Daran erkennen sie den eingeloggten Anwender wieder, wenn er innerhalb des Dienstes von Unterseite zu Unterseite wechselt.
Firesheep ist darauf spezialisiert, die Sitzungskennungen populärer Web-Dienste mitzuprotokollieren. Das Add-On zeigt sie in der linken Seitenleiste an. Ein Klick auf eine der Sitzungskennungen - und man befindet sich im Account eines fremden Nutzers, der gerade im gleichen unverschlüsselten WLAN surft. Damit Firesheep funktioniert, muss unter Windows der Paketmitschnitt-Treiber Winpcap installiert sein.
Der Autor möchte mit der Firefox-Erweiterung aber nicht nur vor den Gefahren warnen, sondern insbesondere die Betreiber von unsicheren Web-Diensten dazu bringen, auf eine durchgehende Verschlüsselung (Full SSL) zu setzen - so wie sie zum Beispiel schon bei Google Mail im Einsatz ist.
Bis es soweit ist, sollten Sie öffentliche Hotspots meiden oder ihre Verbindung mit einem VPN-Dienst verschlüsseln, zum Beispiel Cyberghost VPN .
