Firesheep und was man dagegen tun kann

Sicherheit? Wer kümmert sich schon darum? Ich muss zugeben, dass mir das alles bislang auch immer recht mühsam erschien. Aber jetzt eben war ich wahrhaftig

GESCHOCKT!

Seit Monaten höre ich hin und wieder von Firesheep, einem der Buzzwords aller Security-Leute der letzten Zeit. Gekümmert hat es mich nicht wirklich … an Sicherheit denkt man leider viel zu selten. Auch ich!

Was mir gerade eben am CreateCamp gezeigt wurde, machte mir tatsächlich Angst.

Dass offene Wlans ein Problem sind, wusste ich schon lange. Dennoch hab ich mich regelmäßig in ein solches Netz eingebucht, um dem Roaming-Wucher zu umgehen.

Betroffen sich aber NICHT NUR offene Wlans – beispielsweise ohne WPA-Verschlüsslung. Dieses Problem besteht auch, wenn etwa mehrere Nutzer in einem abgesicherten Wlan das Internet nutzen.

Neu war für mich bis vor wenigen Minuten, wie einfach das ist: eine Firefox-Erweiterung namens Firesheep reicht aus, um alle offenen Sessions in einem öffentlichen Wlan zu sehen. Siehe Screehshot – klick für volle Auflösung.

Ein Klick reicht aus, um die Facebook-Seite von allen Anwesenden zu sehen, Bilder auf Flickr eines fremden Accounts zu posten oder einfach in irgendeinem Blog etwas diskreditierendes zu schreiben.

Ein Klick reicht! Keine besonderen Kenntnisse nötig! Georg ist schockiert! Bislang war dies freilich auch möglich – nur eben nicht so supersimpel.

Woran liegt’s?

Im Internet ist nichts verschlüsselt. Erst IPv6 bringt Verschlüsselungsmöglichkeiten von Haus aus mit. Und was im Kabel mit einer kleinen Klemme möglich ist, geht im Wlan eben immer – auch, wenn man nicht in Sichtweite ist. Man ist schlichtweg immer „nackert“, wenn man keine zusätzliche Verschlüsselung einführt.

Diese Verschlüsselung ist über https möglich, allerdings bieten derzeit noch längst nicht alle Sites diese Möglichkeit an. Mit dem ersten großen Aufschrei im letzten Jahr führten Google oder Twitter das im letzten Jahr für seine Dienste sukzessive ein. Facebook soll nun bald folgen und das als Standard anbieten.

Was kann man dagegen tun?

Erst einmal sollte man sich in ein offenes Wlan begeben und dort die Firesheep-Erweiterung für Firefox ausprobieren. Wer das gesehen hat, ist erstmal schockiert und denkt dann wohl rasch um.

Ist das Bewusstsein da, schreitet man zur Tat. Nur: Einfach ist es nicht, seinen gesamten IP-Verkehr sicher zu „tunneln“.

1. Immer mit https Verwenden!
Dienste wie Gmail bieten in den Einstellungen an, den http-Verkehr ständig zu verschlüsseln. Ein Hakerl reicht, um sicher zu sein!

Wird das nicht angeboten, lohnt es sich, nachzufragen oder sich öffentlich drüber zu beschweren. Nutzer haben mit Twitter und Facebook mächtige Sprachrohre.

Für Facebook gibt es hier eine kurze Anleitung:

Update: Ist noch nicht bei allen möglich. SSL bei Facebook wird erst langsam an alle Nutzer ausgerollt.

2. Immer abmelden!
Die Sessions laufen noch weiter, auch wenn man nicht mehr im Wlan eingebucht ist. Und zwar solange sie getimed sind oder bis man sich abmeldet. Daher: Immer von allen genutzten Sessions abmelden!

3. Internet-Verkehr tunneln!
VPN-Tunnel geben ebenfalls Sicherheit. Dabei wird der komplette Internet-Verkehr am Gerät gebündelt, verschlüsselt und erst an einem sicheren Punkt ins Internet übergeben.

Firmen bieten ihren Mitarbeitern VPNs an, die jedoch vielfach nur dann genutzt werden, wenn man in der Firma etwas machen muss – etwa, um über den Remotedesktop im Redaktionssystem zu arbeiten oder etwas aus dem CRM-System zu holen.

Wer das Glück hat, einen Account an einer Uni zu haben, sollte diesen auch außerhalb nutzen. Anleitungen dazu gibt es am jeweiligen ZID.

Es schadet sicher nicht, diese VPN-Netze auch fürs „normale Surfen“ zu nutzen.

Nachteil all dieser Lösungen: Die Verschlüsselung kostet Rechenleistung und macht die Internetnutzung langsamer. Aber besser langsamer als gefährlich.

Weiterer Nachteil: Auf vielen bis gar allen mobilen Endgeräten ist gar keine einfache Lösung für dieses Problem möglich.

Und wer ist Schuld dran?

Die Nachlässigkeit im großen Stil kann man wohl kaum dem Nutzer ankreiden. Wieso hier die Netzbetreiber, Geräte- und Softwarehersteller nicht schon längst aktiv geworden sind, ist mir ein Rätsel. Was habt ihr getan, liebe Leute von Microsoft, Apple, Cisco, Facebook, Flickr, Foursquare, Twitter oder Google? Was habt ihr getan?

Weder wurden die Nutzer gewarnt, noch wurde an der – dringend notwendigen – Überarbeitung von Standards gearbeitet! „What the fuck?“, möchte man sich dabei nur fragen.

11 Kommentare
  1. Bernd
    Bernd sagte:

    Danke für diesen Blogpost. Schon seit dem letzten Barcamp in Wien, wo auch jemand seine Ergebnisse von Firesheep vorgestellt hat, habe ich mich vermehrt nach mehr Sicherheit umgesehen.

    Browser-Möglichkeiten:
    – Chromium-Extension: „Secure-Sites“ (https://chrome.google.com/webstore/detail/hllceldkphjbfpchpfmcgaeafheplfog)
    – Firefox Plugin: HTTPS Everywhere (http://www.eff.org/https-everywhere)

    Wenn man Facebook mit https nutzt, so funktioniert aber der Chat nicht mehr, da Facebook den Chat nur über eine unverschlüsselte Verbindung anbietet.

    Was ist aber nun mit der Facebook-App am Smartphone? Am besten deinstallieren, da diese immer nur eine unverschlüsselte Verbindung nutzt!
    Im Gegensatz dazu verwenden die meisten Twitter-Clients https soweit ich das bisher feststellen konnte!

    Ich habe mich vor kurzem bei einem VPN-Dienst angemeldet und bin hiermit sehr zufrieden. Wer das auch ausprobieren möchte, dann kann meinen Gutschein-Code verwenden und kann 2 Monate gratis testen (1 Monat ist zu zahlen). Der Gutscheincode ist: KFCSNRC (Sorry für die Werbung, aber auch ich habe mir so einen Gutschein-Code im Internet gesucht um 2 von 3 Monaten gratis testen zu können!)
    VPN-Dienst: https://www.blackvpn.com/

  2. Daniel Hoelbling
    Daniel Hoelbling sagte:

    Georg,
    Nur Offene Wlans sind das Problem weil da der Internet Traffic unverschlüsselt daherkommt und Cookies im Request ausgelesen werden können um einen anderen User vorzutäuschen.

    Sobald du aber in ein WPA gesichertes Wlan gehst wird der Traffic zwischen dir und dem Access Point verschlüsselt!
    Das WPA Kennwort wird hierbei zum ausmachen eines Session-Schlüssels genutzt der zur Verschlüsselung deines Traffics genutzt wird und du hast daraufhin sowas wie eine VPN Verbindung zu deinem Access Point aufgebaut.

    Das Problem bei Firesheep sind nur ungeschütze WLans.

    Don’t panic.

  3. Nattl
    Nattl sagte:

    Wer will denn watschen-einfach zu bedienende Geräte haben? Ein Computer ist halt einfach kein Mikrowellenherd mit drei Knöpfen, auch wenn das vielfach so hingestellt wird.

    Und bitte wiegt euch nicht in falscher Sicherheit, indem ihr glaubt, dass https-Verschlüsselung alles sicher macht. Es gibt ausreichend Möglichkeiten, https-Traffic mitzulesen, verbotene als auch kommerzielle (z.B. https://www.microdasys.com/products/scip_ssl_content_proxy/).

  4. Hofrat | Clemens M. Schuster
    Hofrat | Clemens M. Schuster sagte:

    Nun ja, das Problem stellt sich nicht zuhause hinterm gemütlichen Kachelofen dar, wo die meisten WEP- oder WPA-gesicherte Netzwerke haben. Wie oft ist man froh darüber, in einem Café, Fastfood-Restaurant, einem Museum oder anderen öffentlichem Platz einfach und schnell ein offenes Netz gefunden zu haben? Man ist im Ausland und scheut die sinnlos hohen Roaming-Kosten? Man setzt sich gemütlich ins Uni-Café oder arbeitet im Wlan der Bibliothek: Jede der hier erwähnten Situationen ist 100% Firesheep gefährdet. Sicherheit? Privacy? Nein, paranoid werden braucht man nicht, aber kleine Massnahmen wie https schützen für den ersten, wichtigen Metern des Rennens um die Persönlichkeit.

  5. Hermann
    Hermann sagte:

    Das ist halt absulut nix Neues mehr. Deswegen meide ich offene WLANs (wie zum Beispiel bei McDonalds), insbesondere wenns keine Möglichkeit gibt, VPN zu benutzen. Sollte in der heutigen Zeit mit recht günstigen Datentarifen ohnehin kein Problem mehr sein.

  6. Andreas Happe
    Andreas Happe sagte:

    @daniel: leider so nicht 100% wahr. Solange du ins WLAN kommst, funktionieren sidejacking Attacken, die Form der Verschluesselung spielt hier keine Rolle. Das Einzige das hilft sind access points die einzelne WLAN-Verbindungen unabhaengig voneinander handhaben, dies ist allerdings haeufiger deaktiviert da man dadurch dann auch nicht Daten von WLAN-Geratet zu WLAN-Geraet kopieren kann.

    Im Zweifelsfall ausprobieren, wer schon einmal ein firefox-plugin installiert hat, sollte firesheep in 3-4 Minuten lauffaehig haben.

  7. Jeffrey
    Jeffrey sagte:

    Das Thema finde ich sehr interessant. Habe mich auch eine Zeit lange damit befasst und musste ebenfalls feststellen, dass selbst HTTPs – in vielen Fällen – kein grosses Hindernis ist.

    @Andreas: Jetzt ist mir dann auch klar, weshalb neuere Router den Punkt „AP isolieren“ als Einstellungsmöglichkeit haben. Das muss ich mir mal genauer anschauen. Danke für den Tipp!

  8. Andreas Jeitler
    Andreas Jeitler sagte:

    Wow, welch Erkenntnis! Dann denk erst mal gar nicht darüber nach, wieviele E-Mails unverschlüsselt in der Weltgeschichte herumgeschupst werden. Die Technologien sind vorhanden und würden von den UserInnen auch verwendet werden – die würden das gar nicht merken. Aber wenn die Serviceanbieter nicht mitziehen sind es nur einzelne User die sich damit beschäftigen und für sich selber ein wenig mehr Sicherheit schaffen.

  9. @Daniel Hoelbling
    @Daniel Hoelbling sagte:

    Das Problem bei Firesheep sind nur ungeschütze WLans. <- FALSCH!!!

    Unser Firmennetzewerk ist verschlüsselt (WPA2) und ich konnte problemlos mitsniffen!

Kommentare sind deaktiviert.