Eine kostenlose Erweiterung für den Browser Firefox ermöglicht es, sich mit fremden Accounts auf bekannten Webseiten wie zb. Facebook, Twitter und so weiter, einzuloggen.
Firesheep öffnet Türen und Tore im Web!
Ein findiger Software-Entwickler aus Seattle in den USA hat eine Erweiterung für den Mozilla-Browser Firefox erstellt, mit der man fremde Accounts ausfindig machen kann. Gefundene Benutzerzugänge werden teilweise sogar mit Bild des Login-Inhabers angezeigt. Einen solchen Zugang kann man dann einfach selber nutzen und das tun, was der registrierte User auch tun könnte.
Der genannte Entwickler verkauft sich aber nicht als Freund von Hackern und Bösewichten, sondern will auf den bedenklichen Umgang mit der Sicherheit auf vielen Webseiten hinweisen. Von der Bereitstellung der Erweiterung erhofft er sich nach eigenen Angaben, ein Umdenken bei den verantwortlichen Seitenbetreibern.
Seiten wie Facebook, Google, Amazon, Flickr usw. verschlüsseln die Login-Daten der User. Aber leider bedeutet das nicht besonders viel Sicherheit. Denn alleine den Login zu sichern, reicht nicht aus und das wissen die Seitenbetreiber mit Sicherheit auch.
Ein Bösewicht kann sich den Zugang zu einem Account auch mit "HTTP Session HiJacking" oder auch "Sidejacking" genannt, verschaffen. Er nutzt also die gerade gültigen Cookies, welche eben oft nicht sicher sind und schon kann er unter einer fremden Identität zb. in einem sozialen Netzwerk sein Unwesen treiben. Es wird also gar nicht versucht, ein Passwort auszulesen.
Hier handelt es sich um ein wirklich sehr ernstes Problem. Umgehen lässt sich so etwas mit einer umfassenden Verschlüsselung, welche als HTTPS oder SSL bekannt ist. Dies erhöht natürlich auch die laufenden Kosten für den Seitenbetreiber und wird sehr oft nicht oder eher nur für Online-Shops und Banking usw. gemacht.
Facebook bringt laufend neue Möglichkeiten heraus, welche angeblich die Privatsphäre besser schützen sollen. So will man die sicher berechtigten Bedenken der Mitglieder ausräumen. Aber eine wirklich sichere Seite kann man anscheinend nicht betreiben. Aber auch andere Dienste wie zb. Twitter sind da nicht besser. Wer für Twitter eine Erweiterung entwickelt, wird gezwungen, das OAuth-Verfahren zu verwenden, während Twitter selbst eine neue Version seiner Website herausbringt, welche total unsicher ist.
Die Firefox-Erweiterung Firesheep demonstriert nun, wie ernst dieses Manko zu nehmen ist und soll vor allem den Betreibern der unsicheren Seiten die Augen öffnen. Hier spielt natürlich auch die Hoffnung mit, dass es den Betreibern nicht einfach egal ist, was mit den Accounts passiert. Bei sozialen Netzwerken ist es sicher keinem egal, weil das ja auch werberelevante und veräußerbare Daten verfälschen würde.
Wer die Erweiterung mal ausprobieren möchte, kann sie kostenlos herunterladen und braucht unter Windows noch WinPcap, damit alles läuft.
Hier geht es zum Firesheep - Download.
Hier geht es zum WinPcap - Download.
Die Installation vom unter der BSD Open Source Licence stehenden WinPcap verläuft ganz einfach über einen Doppelklick. Unterstützt werden die Plattformen Windows NT4/2000, XP, 2003, Vista, 2008, Win7, 2008R2. Auch die 64bit-Systeme werden unterstützt.
Firesheep, welches ebenfalls OpenSource ist und auch auf dem Mac OS X läuft, lässt sich unter Windows nicht einfach mit einem Doppelklick installieren. Meistens installiert man Erweiterungen für den Firefox ja im Browser über Extras -> Add-ons. Dort klickt man auf Add-ons suchen und dann bei der gewünschten Erweiterung auf "Zu Firefox hinzufügen". Aber Firesheep liegt ja nach dem Download auf der Festplatte des Rechners und kann eben nicht mit einem Doppelklick installiert werden.
Es geht dennoch ganz einfach. Man holt sich die heruntergeladene Datei aus dem Download-Ordner heraus und zieht sie einfach auf den Desktop. Von dort aus kann die XPI-Datei dann ganz bequem in ein geöffnetes Firefox-Fenster gezogen werden. Damit stößt man den Installationsvorgang an. Nach einem Neustart des Browsers ist Firesheep dann funktionsfähig.
Zu finden ist der Firesheep dann in der Sidebar. Viele Anwender haben die Sidebar nicht geöffnet. Sie ist zu finden unter Ansicht -> Sidebar. Dort findet sich nun der Eintrag "Firesheep", welchen man einfach anklickt. In der jetzt geöffneten Sidebar kann nun die Suche über den Button "Start Capturing" ganz oben gestartet werden. Hier kann auch wieder gestoppt werden.
Ganz unten befindet sich ein kleiner Pfeil, welcher weitere Informationen anzeigt, falls etwas gefunden wurde. Daneben ist der Button für die Einstellungen. Hier sind auch alle Webseiten eingetragen, die überprüft werden. Auch eigene Einträge sind hier möglich.
Nach der Installation schon eingetragen, sind folgende Seiten:
Amazon.com, Basecamp, bit.ly, Cisco, CNET, Dropbox, Enom, Evernote, Facebook, Flickr, Foursquare, GitHub, Google, Gowalla, Hacker News, Harvest, Windows Live, New York Times, Pivotal Tracker, ToorCon: San Diego, Slicehost SliceManager, tumblr.com, Twitter, Wordpress, Yahoo, Yelp.
Ein erster Test hat bei uns im Hause nach ca. 10 Minuten schon mal einen Google-Account gefunden, der natürlich nicht ausgenutzt wurde, was mit einem simplen Doppelklick schon passiert wäre. Die Sache scheint also wirklich bedenklich zu sein. Und wie gesagt, wenn ein Account von einer unsicheren Seite gefunden wird und der User ein Foto hochgeladen hat, dann wird das auch gleich in Firesheep angezeigt.
Aufgrund des Kommentares von Captain Cartman soll noch darauf hingewiesen werden, dass ein solches Mitschneiden von Netzverkehr nur möglich ist, wenn der Angreifer und das Opfer sich im selben Netzwerk befinden. Das kam vielleicht vorher nicht richtig rüber in diesem Artikel. Vielen Dank an dieser Stelle für den Kommentar und an alle aufmerksamen Leser.