Identitätsdiebstahl für Jedermann ist jetzt nur noch einen Klick entfernt. Firesheep, eine neue Extension für Firefox, kann die Session-Cookies anderer User, die am gleichen öffentlichen Hotspot eingeloggt sind, aufspüren und übernehmen – und damit bei populären Websites wie Facebook und Twitter in die Haut eines Fremden schlüpfen. Gedacht ist Firesheep seitens seines Schöpfers Eric Butler als Machbarkeitsstudie, um zu demonstrieren, wie verwundbar das Sicherkeitskonzept vieler populärer Websites wie etwa Facebook, Flickr, Amazon, Dropbox und Evernote in Wahrheit ist. Wie Firesheep so eindrucksvoll zeigt, liegt das Problem darin, dass viele Websites lediglich die Logindaten eines Users verschlüsselt übertragen. Nach dem Loginvorgang wird zu einer unsicheren Verbindung gewechselt, die lediglich das Session-Cookie überprüft. Jeder, der sich dieses Cookie verschaffen kann und den gleichen WLAN-Hotspot und damit die gleiche IP verwendet, kann deine Identität übernehmen.Und so gehts: Firesheep sucht automatisch an öffentlichen Hotspots nach Session-Daten anderer User und zeigt sie zusammen mit Namen und etwaigem Bild in einem eigenen Tab an. Einfach auf den Namen klicken, und schon ist die Session abgefangen und der Identitätswechsel vollbracht.
Wie kann man seine Sicherheit und Privatsphäre gegen einen so schmerzlich einfachen Angriff schützen? Zum Beispiel einen SSH-SOCKS-Proxy nutzen - der verschlüsselt den Traffic und überträgt Session-Cookies über einen unausspionierbaren SSH-Tunnel. Andere Alternativen sind die Firefox-Extensions HTTPS Everywhere oder Force-TLS. Funktionsprinzip beider Extensions ist es, Websites zur Verwendung des sichereren HTTPS-Protokolls zu zwingen. Dieses verschlüsselt Daten direkt beim Versenden, und obwohl das ein wenig länger dauert, ist es die Sache wert, HTTPS zu verwenden, wo immer es verfügbar ist.
Firesheep ist kostenlos, setzt aber eine WLAN-Karte voraus, die den Promiscious Mode beherrscht.
Kommentare
Kommentieren