Facebook und Twitter Hacking für Jedermann mit Firesheep

Mit Firesheep bekommt man ein kleines Firefox Plugin geliefert das die Pakete in einem unverschlüsselten WLANs nach Login Daten für bekannte Websites überwacht. Das Werkzeug wurde von einem Studenten veröffentlicht um auf die Problemetik von Session Daten in unverschlüsselten Netzen aufmerksam zu machen und gelangte schnell in die TopTen der Downloads. Geht ganz einfach: Plugin für Firefox installieren. Start Capturing drücken und warten bis sich im Netzwerk einer bei Twitter oder Facebook anmeldet. Dann taucht der Name auf, man klickt drauf und ist angemeldet.

Betroffen sind momentan die Seiten von  Amazon.com, Basecamp, bit.ly, Cisco, CNET, Dropbox, Enom, Evernote, Facebook, Flickr, Github, Google, HackerNews, Harvest, Windows Live, NY Times, Pivotal Tracker, Slicehost , tumblr, Twitter, WordPress, Yahoo and Yelp. Mit technischem Wissen kann das aber ohne Probleme erweitert werden.

201010-firesheep.jpgKern des Problem ist die Tatsache, daß in den meisten Fällen nur die Anmeldung zwischen einem Benutzer und einer Webseite verschlüssel ist. Da die Verschlüsselung Prozessorleistung "raubt" wird der weitere Datenaustausch dann unverschlüsselt durchgeführt. Dort wird dann der Benutzername und die Session Cookies im Klartext ausgetauscht. Und mit diesen beiden kann man sich dann mit dem Plugin einfach als "die andere Person ausgeben"

Die Technik ist nicht neu nur wurde sie hier erstmals "für jedermann" nutzbar gemacht.

Was hilft?

Eigentlich nur die verschlüsselte Kommuniktation mit allen Websiten bei denen man sich anmeldet. Leider reicht es nicht aus die Seite beim ersten mal mit https aufrufen. Die internen Links sind dann meistens nur mit http. Für die gängigen Websites ist https-everywhere eine Lösung. Wenn man die Websites besucht wird einfach in allen Links das http durch https ausgetauscht. Betreibt man eine Website auf der sich Benutzer anmelden sollte man mittelfristig den Betrieb ganz auf https umstellen, nicht nur die Anmeldung.

Frau Aigner das wäre doch mal etwas für Sie um die Verbraucher vor echtem Schaden zu schützen und einen Ihrer Lieblinge anzugreifen: Facebook

Sie brauchen nur den Satz zu sagen

Facebook und Twitter müssen den Datenschutz ernst nehmen und müssen sofort auf Verschlüsselung umstellen!

Ist nicht schwierig und stimmt sogar. Aber wahrscheinlich brauchen Sie noch einige Wochen um das Problem zu verstehen. Bis dahin beschäftigen Sie sich wahrscheinlich lieber um Streetview.

31.10.10 Weitere Beiträge zu: Sicherheit Firesheep

Dies ist ein privater Blog von Hagen Bauer- berufstätiger Vater, Ehemann, Naturliebhaber, Läufer, Zelter, technikverliebt.


Creative Commons License
This blog is licensed under a Creative Commons License