Im Herbst 2010 gab es zahlreiche Berichte, unter anderem auf ZEIT ONLINE und natürlich auf den üblichen Nerdportalen, über die Firefox-Erweiterung „Firesheep“, die im lokalen WLAN sämtliche im Klartext übertragenen Logincookies (unter anderem für Twitter, das Visagenbuch und *vz) abfangen und auflisten kann, so dass man sozusagen per Klick die virtuelle Identität der jeweiligen Person übernehmen kann.
Natürlich brauchte man dafür immer noch ein gewisses technisches Verständnis, unter anderem war die Benutzung auf Windows mit dem WinPcap-Treiber sowie auf Mac OS X beschränkt, aber die Erweiterung zeigte, dass der sorglose Umgang mit „sozialen Netzen“ schnell nach hinten losgehen kann. Dabei haben die meisten „angreifbaren“ „sozialen Netze“ längst eine Option, immer eine verschlüsselte Verbindung („Verwende HTTPS“ o.s.ä.) zu benutzen, in diesem Fall ist zumindest das Abfangen von Cookies nicht mehr problemlos möglich, nur wird diese in der Regel ebensowenig benutzt wie die Firefox-Erweiterung HTTPS Everywhere, die das sozusagen „von außen“ übernimmt und auch die Wikipedia und ähnliche Portale unterstützt.
Vielleicht liegt es an der technischen Unbedarftheit dieser Personen, vielleicht auch einfach daran, dass die ach-so-nützlichen Benutzerskripte wie etwa „Better Facebook“, „Better Amazon“ usw. sich mit einer verschlüsselten Verbindung oft nicht vertragen und Klickibunti nun mal wichtiger ist als Sicherheit?
Zwar scheint bei Firesheep schon seit längerem keine Weiterentwicklung mehr stattzufinden, Firefox 4 oder höher wird zum Beispiel ebensowenig unterstützt wie Linux oder gar andere Browser, aber seit mittels dieser Erweiterung das grundlegende Sicherheitsproblem, das Cookies mit sich bringen, (endlich) Aufmerksamkeit auch in der weniger technikaffinen Öffentlichkeit erfahren hatte, war es nur noch eine Frage der Zeit, bis eine ähnlich komfortable Lösung diese Missstände beseitigt.
Und diese Lösung heißt FaceNiff.
FaceNiff ist eine Android-Anwendung (auf Neudeutsch app genannt), die, wie viele andere apps auch, lediglich ein gerootetes (auf Appledeutsch „gejailbreaktes“) Android-Gerät voraussetzt und fortan die gleiche Tätigkeit verrichtet wie Firesheep: Das WLAN, in dem man sich derzeit herumtreibt, wird auf die Übertragung von Sitzungskennungen bekannter Dienste – derzeit YouTube, Amazon.com, Twitter, Facebook und Nasza-Klasa, was immer das schon wieder ist – überwacht. Gefundene Sitzungen werden dann bequem zur Auswahl und Nutzung aufgelistet.
Um allerdings ein Missverständnis aufzuklären: Das Sicherheitsproblem ist keinesfalls bei den Diensten selbst zu suchen, sondern in dem Leichtsinn, ein WLAN mit unbekannten – womöglich unliebsamen – Zeitgenossen zu teilen. Immerhin ist selbst eine SSL-Unterstützung geplant, so dass auch in gesicherten Verbindungen, sofern ich das nun richtig verstanden habe, Passwörter direkt ausgelesen werden können. Tatsächlich ist schon die Einwahl in ein WLAN, das man nicht selbst administriert, nur mit Vorsicht zu genießen, besteht doch keine Garantie, dass der jeweilige Zugriffspunkt nicht jede Verbindung mitschneidet und gegebenenfalls dasselbe tut wie eben Firesheep und FaceNiff. (Die rechtlichen Aspekte solcher Techniken seien hier einmal nicht weiter beachtet, dass die beabsichtigte Übernahme von Benutzerkonten Dritter nicht allzu gern gesehen wird, sollte aber selbstverständlich sein.)
(via Antary)
Natürlich wird die Fx-Erweiterung HTTPS Everywhere kaum genutzt. Schließlich nutzt der schlaue User neben dem weltbesten Browser die Erweiterung KB SSL Enforcer.
Seit wann funktioniert KB SSL Enforcer in Firefox?
1) Ich verstehe noch nicht ganz, wie das Abfangen der Daten funktioniert. Das lokale WLAN ist doch verschlüsselt. Oder geht es um gemeinsame, und/oder unverschlüsselte WLANs in z. B. Internet-Cafes? Oder geht es nicht um einen Einbruch in das WLAN, sondern um die Verbindung vom Router zum Server?
2) Wie können HTTPS Everywhere oder auch KB SSL Enforcer eine sichere Verbindung erzwingen, wenn der Server gar keine solche anbietet? Nimm z. B. mein Blog: Kann dorthin eine verschlüsselte Verbindung hergestellt werden?
Richtig, aber nur von außen. Sobald du drin bist, kannst du den gesamten Netzwerkverkehr mitschneiden.
Sofern du ein SSL-Zertifikat bereitstellst, wie es die erwähnten Dienste grundsätzlich tun, ja, ansonsten nicht.
Gibt es etwa via CAcert kostenlos, allerdings sind kostenlose Zertifikate nicht immer zuverlässig, schließlich kann sie jeder Hansfranz einfach beantragen. Selbst ich habe eines für meinen Mailserver beantragt und erhalten, verwende es aber derzeit nicht.
Ups, unterwegs ging der letzte Satz des Artikels verloren. Korrigiert.
Ich schnalle das immer noch nicht:
Bedeutet das, dass jemand, mit dem ich ein verschlüsseltes Netz, beispielsweise in einer WG, teile, mit den o. g. Tools mitschneiden kann, aber jemand außerhalb dieses Netzes nicht?
Wenn ich also bei meinem Blog ein Einloggen anbieten würde, z. B. mit einem Artikel inkl. Passwort, oder ich würde Dir einen Gastzugang gewähren, würde dann ein Abfangen der Daten möglich sein? Dies würden die Plugins also nur dann unterbinden, wenn ich ein SSL-Zertifikat anbieten würde?
Nicht ohne einen gewissen Mehraufwand (Knacken der Verschlüsselung).
Nein, ich müsste schon in deinem WLAN sein. Bzw. jeder in meinem WLAN könnte den Gastlogin abfangen, ja.
Also kann ich doch wohl getrost auf die o. g. genannten Plugins bei meinen Home-Rechnern verzichten. Bei Knoppix auf dem Stick habe ich beide Add-Ons für Fx und Chrome installiert.
Ich berichtige: Chromium.
Natürlich, aber du solltest außerdem darauf achten, dass niemand außer dir in deinem WLAN ist, denn sonst kann er deine Passwörter auslesen. (Zwar noch nicht mit einem gesonderten Tool, aber mit einem einfachen Netzwerksniffer.)
Also wissentlich ist niemand in meinem WLAN. Es lebe Better Facebook.
The better Facebook is no Facebook!
Schreibe Dir das mal hinter Deine Ohren (falls Du überhaupt dran kommst).
Längst erledigt.
Zugunsten der pikanten Alternative?
Die pikante Alternative ist schon älter als meine Kenntnis von der Existenz Facebooks.
Schon, aber jetzt kannst Du all Deine
Manneskraft dort verbraten.So etwas besitze ich nicht.
Soso, eine app. Du solltest aufpassen, sonst verklagt dich apple noch wegen Urheberrechtsverletzung…naja oder wegen irgendwas anderem, haben ja schließlich auf mindestens alles ein Patent angemeldet.
Womöglich verklagen sie erst dich, „iRgendwas“ klingt doch sehr nach einem Appleprodukt.
naja, wenn dann eh uns beide, weil se sicher auch das Patent an uns gekauft haben.
Das glaube iCh (tm) sogar.
iSchweiz?
(tm).
@tux:
Wird schlimm gewesen sein, als man es Dir mitteilte.
Die Existenz meiner Manneskraft ziehe ich rein formell auch weiterhin in Zweifel.