Firefox-Plugin zum Klau von Login-Daten


Die Unsicherheit von unverschlüsselten WLAN-Infrastrukturen
nutzt das Plugin für den Browser Firefox namens Firesheep aus:
Es schneidet die im Klartext über das WLAN gesandten Cookies von anderen
Nutzern mit. Viele Webseiten – der Autor das Plugins, Eric Butler, nennt
beispielsweise Facebook und Twitter – verschlüsseln nicht die komplette
Nutzersitzung, sondern wechseln nach einem per HTTPS gesicherten Login auf die
unverschlüsselte Version der Site.

Ab diesem Moment ist das Cookie, in dem die Daten der
Benutzersitzung gespeichert werden, leichte Beute für Datendiebe. Nur wenn auch
das Cookie codiert würde, wäre ein Mitlauschen sinnlos. Wird das Cookie
abgefangen, kann der Angreifer sich gleichzeitig mit dem legitimen Nutzer bei der
betreffenden Website anmelden („Session Hijacking“ oder „Sidejacking“).

 

Das Problem der ungesicherte Cookies ist bereits seit
mindestens sechs Jahren bekannt und es gibt auch bereits etliche Tools, die
ähnliches bewerkstelligen wie Firesheep. Wie Eric Butler in seinem Blog
schreibt, will er jetzt mehr Aufmerksamkeit auf das Problem lenken und hat
daher ein leicht zu nutzendes, Laien-freundliches Plugin programmiert. Den
Screenshots in Butlers Blog zufolge ist Firesheep in der Tat auch von
Einsteigern ohne Technikkenntnisse anwendbar.

 

In einem Nachtrag zum ursprünglichen Blogeintrag
liefern Butler und sein Kollege Ian Gallagher weitere Erläuterungen zur
Funktionsweise. Außerdem geben Sie Tipps, wie sich Cookies auch in
ungesicherten WLANs schützen lassen.

 

Übrigens: Der Name des Plugins setzt sich zusammen aus einem
Teil des Browsernamens Firefox und der sogenannten Wall of Sheep. Die Wall ist
ein fester Bestandteil der jährlich in Las Vegas stattfindenden Hackerkonferenz
Defcon: Dort werden auf eine Leinwand all die Loginnamen (und die unkenntlich
gemachten Passwörter) der Nutzer projiziert, die sich unvorsichtigerweise über
das ungesicherte Konferenz-WLAN bei einer nicht per SSL gesicherten Site
angemeldet haben.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht
Michael alles Wissenswerte rund um Schwachstellen in
Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (0)