Nerdkrams
Face­Niff: Fires­heep für unterwegs

Im Herbst 2010 gab es zahl­rei­che Berich­te, unter ande­rem auf ZEIT ONLINE und natür­lich auf den übli­chen Nerd­por­ta­len, über die Fire­fox-Erwei­te­rung „Fires­heep“, die im loka­len WLAN sämt­li­che im Klar­text über­tra­ge­nen Log­in­coo­kies (unter ande­rem für Twit­ter, das Visa­gen­buch und *vz) abfan­gen und auf­li­sten kann, so dass man sozu­sa­gen per Klick die vir­tu­el­le Iden­ti­tät der jewei­li­gen Per­son über­neh­men kann.

Natür­lich brauch­te man dafür immer noch ein gewis­ses tech­ni­sches Ver­ständ­nis, unter ande­rem war die Benut­zung auf Win­dows mit dem WinPcap-Trei­ber sowie auf Mac OS X beschränkt, aber die Erwei­te­rung zeig­te, dass der sorg­lo­se Umgang mit „sozia­len Net­zen“ schnell nach hin­ten los­ge­hen kann. Dabei haben die mei­sten „angreif­ba­ren“ „sozia­len Net­ze“ längst eine Opti­on, immer eine ver­schlüs­sel­te Ver­bin­dung („Ver­wen­de HTTPS“ o.s.ä.) zu benut­zen, in die­sem Fall ist zumin­dest das Abfan­gen von Coo­kies nicht mehr pro­blem­los mög­lich, nur wird die­se in der Regel eben­so­we­nig benutzt wie die Fire­fox-Erwei­te­rung HTTPS Ever­y­whe­re, die das sozu­sa­gen „von außen“ über­nimmt und auch die Wiki­pe­dia und ähn­li­che Por­ta­le unterstützt.

Viel­leicht liegt es an der tech­ni­schen Unbe­darft­heit die­ser Per­so­nen, viel­leicht auch ein­fach dar­an, dass die ach-so-nütz­li­chen Benut­zer­skrip­te wie etwa „Bet­ter Face­book“, „Bet­ter Ama­zon“ usw. sich mit einer ver­schlüs­sel­ten Ver­bin­dung oft nicht ver­tra­gen und Klickib­un­ti nun mal wich­ti­ger ist als Sicherheit?

Zwar scheint bei Fires­heep schon seit län­ge­rem kei­ne Wei­ter­ent­wick­lung mehr statt­zu­fin­den, Fire­fox 4 oder höher wird zum Bei­spiel eben­so­we­nig unter­stützt wie Linux oder gar ande­re Brow­ser, aber seit mit­tels die­ser Erwei­te­rung das grund­le­gen­de Sicher­heits­pro­blem, das Coo­kies mit sich brin­gen, (end­lich) Auf­merk­sam­keit auch in der weni­ger tech­ni­kaf­fi­nen Öffent­lich­keit erfah­ren hat­te, war es nur noch eine Fra­ge der Zeit, bis eine ähn­lich kom­for­ta­ble Lösung die­se Miss­stän­de beseitigt.

Und die­se Lösung heißt Face­Niff.

Face­Niff ist eine Android-Anwen­dung (auf Neu­deutsch app genannt), die, wie vie­le ande­re apps auch, ledig­lich ein ger­oo­te­tes (auf App­le­deutsch „gejail­b­re­ak­tes“) Android-Gerät vor­aus­setzt und fort­an die glei­che Tätig­keit ver­rich­tet wie Fires­heep: Das WLAN, in dem man sich der­zeit her­um­treibt, wird auf die Über­tra­gung von Sit­zungs­ken­nun­gen bekann­ter Dien­ste – der­zeit You­Tube, Amazon.com, Twit­ter, Face­book und Nas­za-Kla­sa, was immer das schon wie­der ist – über­wacht. Gefun­de­ne Sit­zun­gen wer­den dann bequem zur Aus­wahl und Nut­zung aufgelistet.

Um aller­dings ein Miss­ver­ständ­nis auf­zu­klä­ren: Das Sicher­heits­pro­blem ist kei­nes­falls bei den Dien­sten selbst zu suchen, son­dern in dem Leicht­sinn, ein WLAN mit unbe­kann­ten – womög­lich unlieb­sa­men – Zeit­ge­nos­sen zu tei­len. Immer­hin ist selbst eine SSL-Unter­stüt­zung geplant, so dass auch in gesi­cher­ten Ver­bin­dun­gen, sofern ich das nun rich­tig ver­stan­den habe, Pass­wör­ter direkt aus­ge­le­sen wer­den kön­nen. Tat­säch­lich ist schon die Ein­wahl in ein WLAN, das man nicht selbst admi­ni­striert, nur mit Vor­sicht zu genie­ßen, besteht doch kei­ne Garan­tie, dass der jewei­li­ge Zugriffs­punkt nicht jede Ver­bin­dung mit­schnei­det und gege­be­nen­falls das­sel­be tut wie eben Fires­heep und Face­Niff. (Die recht­li­chen Aspek­te sol­cher Tech­ni­ken sei­en hier ein­mal nicht wei­ter beach­tet, dass die beab­sich­tig­te Über­nah­me von Benut­zer­kon­ten Drit­ter nicht all­zu gern gese­hen wird, soll­te aber selbst­ver­ständ­lich sein.)

(via Ant­a­ry)

Senfecke:

  1. 1) Ich ver­ste­he noch nicht ganz, wie das Abfan­gen der Daten funk­tio­niert. Das loka­le WLAN ist doch ver­schlüs­selt. Oder geht es um gemein­sa­me, und/oder unver­schlüs­sel­te WLANs in z. B. Inter­net-Cafes? Oder geht es nicht um einen Ein­bruch in das WLAN, son­dern um die Ver­bin­dung vom Rou­ter zum Server?
    2) Wie kön­nen HTTPS Ever­y­whe­re oder auch KB SSL Enforcer eine siche­re Ver­bin­dung erzwin­gen, wenn der Ser­ver gar kei­ne sol­che anbie­tet? Nimm z. B. mein Blog: Kann dort­hin eine ver­schlüs­sel­te Ver­bin­dung her­ge­stellt werden?

  2. 1) Ich ver­stehe noch nicht ganz, wie das Abfan­gen der Daten funk­tio­niert. Das loka­le WLAN ist doch verschlüsselt.

    Rich­tig, aber nur von außen. Sobald du drin bist, kannst du den gesam­ten Netz­werk­ver­kehr mitschneiden.

    Nimm z. B. mein Blog: Kann dort­hin eine ver­schlüs­selte Ver­bin­dung her­ge­stellt werden?

    Sofern du ein SSL-Zer­ti­fi­kat bereit­stellst, wie es die erwähn­ten Dien­ste grund­sätz­lich tun, ja, anson­sten nicht.
    Gibt es etwa via CAcert kosten­los, aller­dings sind kosten­lo­se Zer­ti­fi­ka­te nicht immer zuver­läs­sig, schließ­lich kann sie jeder Hans­franz ein­fach bean­tra­gen. Selbst ich habe eines für mei­nen Mail­ser­ver bean­tragt und erhal­ten, ver­wen­de es aber der­zeit nicht.

  3. Ich schnal­le das immer noch nicht:
    Bedeu­tet das, dass jemand, mit dem ich ein ver­schlüs­sel­tes Netz, bei­spiels­wei­se in einer WG, tei­le, mit den o. g. Tools mit­schnei­den kann, aber jemand außer­halb die­ses Net­zes nicht?

    Wenn ich also bei mei­nem Blog ein Ein­log­gen anbie­ten wür­de, z. B. mit einem Arti­kel inkl. Pass­wort, oder ich wür­de Dir einen Gast­zu­gang gewäh­ren, wür­de dann ein Abfan­gen der Daten mög­lich sein? Dies wür­den die Plugins also nur dann unter­bin­den, wenn ich ein SSL-Zer­ti­fi­kat anbie­ten würde?

  4. Bedeu­tet das, dass jemand, mit dem ich ein ver­schlüs­sel­tes Netz, bei­spiels­weise in einer WG, tei­le, mit den o. g. Tools mit­schnei­den kann, aber jemand außer­halb die­ses Net­zes nicht?

    Nicht ohne einen gewis­sen Mehr­auf­wand (Knacken der Verschlüsselung).

    Wenn ich also bei mei­nem Blog ein Ein­log­gen anbie­ten wür­de, z. B. mit einem Arti­kel inkl. Pass­wort, oder ich wür­de Dir einen Gast­zu­gang gewäh­ren, wür­de dann ein Abfan­gen der Daten mög­lich sein?

    Nein, ich müss­te schon in dei­nem WLAN sein. Bzw. jeder in mei­nem WLAN könn­te den Gast­lo­gin abfan­gen, ja.

  5. Also kann ich doch wohl getrost auf die o. g. genann­ten Plugins bei mei­nen Home-Rech­nern ver­zich­ten. Bei Knop­pix auf dem Stick habe ich bei­de Add-Ons für Fx und Chro­me installiert.

  6. Natür­lich, aber du soll­test außer­dem dar­auf ach­ten, dass nie­mand außer dir in dei­nem WLAN ist, denn sonst kann er dei­ne Pass­wör­ter aus­le­sen. (Zwar noch nicht mit einem geson­der­ten Tool, aber mit einem ein­fa­chen Netzwerksniffer.)

  7. Soso, eine app. Du soll­test auf­pas­sen, sonst ver­klagt dich apple noch wegen Urheberrechtsverletzung…naja oder wegen irgend­was ande­rem, haben ja schließ­lich auf min­de­stens alles ein Patent angemeldet.

Comments are closed.

https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_smilenew.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_biggrin2.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_sadnew.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_eek.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_shocked.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_confusednew.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_coolnew.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_lol.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_madnew.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_aufsmaul.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_seb_zunge.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_blushnew.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_frown.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_twistedevil1.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_twistedevil2.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/icon_mad.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_rolleyesnew.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_wink2.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_idea2.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_arrow2.gif 
mehr...
 
 

Erlaubte Tags:
<strong> <em> <pre> <code> <a href="" title=""> <img src="" title="" alt=""> <blockquote> <q> <b> <i> <del> <span style=""> <strike>

Datenschutzhinweis: Deine IP-Adresse wird nicht gespeichert. Details findest du hier.