Firesheep und was man dagegen tun kann
Sicherheit? Wer kümmert sich schon darum? Ich muss zugeben, dass mir das alles bislang auch immer recht mühsam erschien. Aber jetzt eben war ich wahrhaftig
GESCHOCKT!
Seit Monaten höre ich hin und wieder von Firesheep, einem der Buzzwords aller Security-Leute der letzten Zeit. Gekümmert hat es mich nicht wirklich … an Sicherheit denkt man leider viel zu selten. Auch ich!
Was mir gerade eben am CreateCamp gezeigt wurde, machte mir tatsächlich Angst.
Dass offene Wlans ein Problem sind, wusste ich schon lange. Dennoch hab ich mich regelmäßig in ein solches Netz eingebucht, um dem Roaming-Wucher zu umgehen.
Betroffen sich aber NICHT NUR offene Wlans – beispielsweise ohne WPA-Verschlüsslung. Dieses Problem besteht auch, wenn etwa mehrere Nutzer in einem abgesicherten Wlan das Internet nutzen.
Neu war für mich bis vor wenigen Minuten, wie einfach das ist: eine Firefox-Erweiterung namens Firesheep reicht aus, um alle offenen Sessions in einem öffentlichen Wlan zu sehen. Siehe Screehshot – klick für volle Auflösung.
Ein Klick reicht aus, um die Facebook-Seite von allen Anwesenden zu sehen, Bilder auf Flickr eines fremden Accounts zu posten oder einfach in irgendeinem Blog etwas diskreditierendes zu schreiben.
Ein Klick reicht! Keine besonderen Kenntnisse nötig! Georg ist schockiert! Bislang war dies freilich auch möglich – nur eben nicht so supersimpel.
Woran liegt’s?
Im Internet ist nichts verschlüsselt. Erst IPv6 bringt Verschlüsselungsmöglichkeiten von Haus aus mit. Und was im Kabel mit einer kleinen Klemme möglich ist, geht im Wlan eben immer – auch, wenn man nicht in Sichtweite ist. Man ist schlichtweg immer „nackert“, wenn man keine zusätzliche Verschlüsselung einführt.
Diese Verschlüsselung ist über https möglich, allerdings bieten derzeit noch längst nicht alle Sites diese Möglichkeit an. Mit dem ersten großen Aufschrei im letzten Jahr führten Google oder Twitter das im letzten Jahr für seine Dienste sukzessive ein. Facebook soll nun bald folgen und das als Standard anbieten.
Was kann man dagegen tun?
Erst einmal sollte man sich in ein offenes Wlan begeben und dort die Firesheep-Erweiterung für Firefox ausprobieren. Wer das gesehen hat, ist erstmal schockiert und denkt dann wohl rasch um.
Ist das Bewusstsein da, schreitet man zur Tat. Nur: Einfach ist es nicht, seinen gesamten IP-Verkehr sicher zu „tunneln“.
1. Immer mit https Verwenden!
Dienste wie Gmail bieten in den Einstellungen an, den http-Verkehr ständig zu verschlüsseln. Ein Hakerl reicht, um sicher zu sein!
Wird das nicht angeboten, lohnt es sich, nachzufragen oder sich öffentlich drüber zu beschweren. Nutzer haben mit Twitter und Facebook mächtige Sprachrohre.
Für Facebook gibt es hier eine kurze Anleitung:
Update: Ist noch nicht bei allen möglich. SSL bei Facebook wird erst langsam an alle Nutzer ausgerollt.
2. Immer abmelden!
Die Sessions laufen noch weiter, auch wenn man nicht mehr im Wlan eingebucht ist. Und zwar solange sie getimed sind oder bis man sich abmeldet. Daher: Immer von allen genutzten Sessions abmelden!
3. Internet-Verkehr tunneln!
VPN-Tunnel geben ebenfalls Sicherheit. Dabei wird der komplette Internet-Verkehr am Gerät gebündelt, verschlüsselt und erst an einem sicheren Punkt ins Internet übergeben.
Firmen bieten ihren Mitarbeitern VPNs an, die jedoch vielfach nur dann genutzt werden, wenn man in der Firma etwas machen muss – etwa, um über den Remotedesktop im Redaktionssystem zu arbeiten oder etwas aus dem CRM-System zu holen.
Wer das Glück hat, einen Account an einer Uni zu haben, sollte diesen auch außerhalb nutzen. Anleitungen dazu gibt es am jeweiligen ZID.
Es schadet sicher nicht, diese VPN-Netze auch fürs „normale Surfen“ zu nutzen.
- Lifehacker hat einen guten Artikel, wie man das unter Mac OS X macht.
- Netzwerk total bietet eine Anleitung für VPNs unter Windows XP.
- Tim Bormann zeigt, wie das mit Windows 7 geht.
- Fancy Show Tech hat ein Videodemo, wie man sich schützen kann.
Nachteil all dieser Lösungen: Die Verschlüsselung kostet Rechenleistung und macht die Internetnutzung langsamer. Aber besser langsamer als gefährlich.
Weiterer Nachteil: Auf vielen bis gar allen mobilen Endgeräten ist gar keine einfache Lösung für dieses Problem möglich.
Und wer ist Schuld dran?
Die Nachlässigkeit im großen Stil kann man wohl kaum dem Nutzer ankreiden. Wieso hier die Netzbetreiber, Geräte- und Softwarehersteller nicht schon längst aktiv geworden sind, ist mir ein Rätsel. Was habt ihr getan, liebe Leute von Microsoft, Apple, Cisco, Facebook, Flickr, Foursquare, Twitter oder Google? Was habt ihr getan?
Weder wurden die Nutzer gewarnt, noch wurde an der – dringend notwendigen – Überarbeitung von Standards gearbeitet! „What the fuck?“, möchte man sich dabei nur fragen.