Firesheep offenbart Unsicherheit von Evernote & Co.

Firesheep ist eine mittlerweile populäre Firefox-Erweiterung, die in offenen Netzwerken komfortabel ermöglicht, die Sitzungen (Session) von anderen Benutzern im gleichen Netzwerk zu übernehmen. Schutz dagegen bieten nur durchgehend verschlüsselte Verbindungen, so wie beispielsweise bei Google. Dienste ohne verschlüsselte Verbindungen hingegen bleiben riskant in der Nutzung, zumindest in Public WLANs:

An meinem Google-Konto scheiterte Firesheep infolge Verschlüsselung, meine eigenen Evernote- und Facebook-Konten hingegen konnte ich von einem anderen Mac aus im gleichen Netzwerk problemlos übernehmen … bei Facebook erstaunt der fehlende Datenschutz der Benutzer nicht und auch Evernote fiel mir diesbezüglich schon vor langer Zeit negativ auf.

17 Comments

  1. Christian
    7. November 2010

    Najaaa, es ist nun kein kleiner Fehler, aber auf der anderen Seite braucht man dafür auch Zugriff auf das Netzwerk. Das ist ebenfalls keine kleine Forderung. Aber mal schauen was sich so damit fischen lässt 🙂

    SSL wird meines Wissens oft nicht eingesetzt, weil es die notwendigen Rechenzeiten auf Serverseite extrem erhöht.

    Reply
    • Martin (MacMacken)
      7. November 2010

      aber auf der anderen Seite braucht man dafür auch Zugriff auf das Netzwerk.

      Willkommen im gemeinsam genutzten Netzwerk Deiner Wahl, wo Verbindungen nicht pro Benutzer verschlüsselt werden … insbesondere in Public WLANs Deiner Wahl!

      Aber mal schauen was sich so damit fischen lässt 🙂

      Aus rechtlicher Sicht kann ich nicht empfehlen, Firesheep ausserhalb des eigenen Netzwerkes auszuprobieren.

      SSL wird meines Wissens oft nicht eingesetzt, weil es die notwendigen Rechenzeiten auf Serverseite extrem erhöht.

      Heute besteht dieses Problem nicht mehr, die benötigte Zusatzleistung auf Serverebene ist marginal. Ein Problem ist aber Shared Hosting, da SSL auf einzelnen IP-Adressen basiert.

    • Christian
      7. November 2010

      Willkommen im gemeinsam genutzten Netzwerk Deiner Wahl, wo Verbindungen nicht pro Benutzer verschlüsselt werden … insbesondere in Public WLANs Deiner Wahl!

      Ja, nur in einem öffentlichen Netzwerk muss ich als Nutzer bei jeglicher unverschlüsselter Kommunikation davon ausgehen, dass jemand mithören kann.
      Wenn ich also ausserhalb „meines eigenen Netzwerks“ unbedingt diese persönlichen Seiten aufrufen muss, dann muss ich auch davon ausgehen, dass mein Zugang kompromitiert wurde – sofern ich auf Sicherheit stehe.

      In meiner Wahrnehmung ist das also kein neues großes Sicherheitsproblem das aufgetan wird, sondern „nur“ eine schöne Veranschaulichung wie einfach es doch ist.
      Wenn ich jemanden in „mein Netzwerk“ lasse, kann der da wahrscheinlich noch mehr machen als nur Logins mitschreiben. Ich schließe meine Haustür ab, und lasse nicht jeden alleine innerhalb des Hauses herumlaufen, und ebenso lasse ich nicht jeden in mein Netzwerk und dort herumwerkeln.

      Es gibt ja nicht viele Metaphern die Gut auf Verhalten im Internet zutreffen, aber was verantwortungsvollen bzw. -losen Umgang mit Schlüsseln betrifft stimmen die meisten leider…

    • Martin (MacMacken)
      7. November 2010

      Tipp: Auf «Antworten» klicken, merci!

      Wenn ich also ausserhalb “meines eigenen Netzwerks” unbedingt diese persönlichen Seiten aufrufen muss, dann muss ich auch davon ausgehen, dass mein Zugang kompromitiert wurde – sofern ich auf Sicherheit stehe.

      Bei wem ist dies nicht der Fall? Und deshalb müssen Dienste Schutzmassnahmen ergreifen.

      In meiner Wahrnehmung ist das also kein neues großes Sicherheitsproblem das aufgetan wird, sondern “nur” eine schöne Veranschaulichung wie einfach es doch ist.

      Richtig – und da es nun so einfach ist, dass jeder solche Sicherheitslücken bei Diensten wie Evernote und Facebook ausnutzen kann, sollten diese Dienste endlich reagieren.

      Wenn ich jemanden in “mein Netzwerk” lasse, kann der da wahrscheinlich noch mehr machen als nur Logins mitschreiben. Ich schließe meine Haustür ab, und lasse nicht jeden alleine innerhalb des Hauses herumlaufen, und ebenso lasse ich nicht jeden in mein Netzwerk und dort herumwerkeln.

      Man darf also nur noch online gehen, wenn man über die Fähigkeiten verfügt, sich selbst abzusichern? 🙄

      Es gibt ja nicht viele Metaphern die Gut auf Verhalten im Internet zutreffen, aber was verantwortungsvollen bzw. -losen Umgang mit Schlüsseln betrifft stimmen die meisten leider…

      Ohne Verschlüsselung auch keine Schlüssel …

    • Lukas
      7. November 2010

      Ja, nur in einem öffentlichen Netzwerk muss ich als Nutzer bei jeglicher unverschlüsselter Kommunikation davon ausgehen, dass jemand mithören kann.

      Jein. Es ist problemlos möglich dass ich dein Netzwerk gezielt angreife. Zum Beispiel könnte ich vortäuschen der „echte AP“ zu sein und dich somit dazu bringen über meine Hardware zu surfen.

  2. Lukas
    7. November 2010

    Interessant dass jetzt erst der grosse „Aufschrei“ kommt, das ganze war vorher auch problemlos möglich. Halt nur nicht „idiotensicher“.
    Mit Kismet kann ich gänzlich den gesamten Netzwerkverkehr in meiner Umgebung mitlesen, notfalls hilft man halt mittels ARP Spoofing nach um an die passenden Daten zu gelangen. Da hilft auch SSL nichts mehr – ein Grossteil der Nutzer wird die Warnung des Browsers einfach ignorieren.

    Reply
    • Martin (MacMacken)
      7. November 2010

      das ganze war vorher auch problemlos möglich

      Glücklicherweise war es bislang nicht problemlos möglich – Belauschen ja, aber Benutzersitzungen übernehmen nein. Aber es stimmt, Sicherheitslücken muss man demonstrieren, ansonsten werden sie leider nicht ernst genommen.

    • Lukas
      7. November 2010

      http://en.wikipedia.org/wiki/Session_hijacking – war vorher auch kein Problem. Ich kann dir in einer freien Minute gerne eine Email mit einer kleinen Anleitung schicken.

    • Martin (MacMacken)
      7. November 2010

      Für Dich nicht, für die meisten Benutzer hingegen schon … seit es Firesheep gibt, wurde ich bereits x-fach von Benutzern mit entsprechenden Problemen in Public WLANs um Hilfe gebeten, vorher noch nie. Vorher bereits problematisch waren hingegen Benutzer, die Benutzernamen und Passwörter unverschlüsselt übertragen hatten – so jedenfalls die entsprechenden Hilferufe … 😉

  3. flexo
    8. November 2010

    Entschärft ein wenig: http://www.stroica.com/fehlerhafte-links/
    Viele Seiten bieten https:// an, normalerweise wird landet man aber auf der http:// Seite.

    Reply
  4. Luke
    12. November 2010

    wie habt ihr es überhaupt geschafft firesheep zum laufen zu bringen? bei mir geht nichts.

    Reply
    • Martin (MacMacken)
      12. November 2010

      Die Erweiterung liess sich für die aktuelle stabile Mozilla Firefox-Version auf dem Mac problemlos installieren und nutzen. Wo steckst Du fest?

    • Lukas
      12. November 2010

      am anfang. habe die datei auf codebutler.com/firesheep runtergeladen und entpackt.

      und dann sind ganz viele dateien dort und alles verwirrend.

      eine step by step anleitung wäre super. danke 🙂

    • Lukas (der von weiter oben)
      12. November 2010

      Scriptkiddie?
      Gerne verweise ich erneut auf SR 311.0 Art. 144bis Abs. 2 und SR 311.0 Art. 143.
      PS: Ich sollte mir mal einen eindeutigen Nick zulegen :S

    • Martin (MacMacken)
      12. November 2010

      PS: Ich sollte mir mal einen eindeutigen Nick zulegen :S

      … oder schlicht Deinen Namen verwenden! 😉

    • Ralph
      12. November 2010

      Vergiss 143: Keine beabsichtigte unrechtmässige Bereicherung, keine besondere Sicherung gegen unbefugten Zugriff.

      144 ist heikel, eine eigentliche Zensurklausel. Medien müssen aber über Firesheep berichten können. Wie könnten sie sonst davor warnen?

    • Martin (MacMacken)
      12. November 2010

      Mozilla Firefox-Erweiterungen, die man tatsächlich verwenden möchte, sollte man installieren und nicht entpacken … 🙄

Leave a Reply