Firesheep Plugin für Firefox kann Anmeldecookies ausspähen

 

Der in Seattle lebende Softwareentwickler Eric Butler hat ein Plugin für den Firefox veröffentlicht mit dem es möglich ist die Sessioncookies von Internetseiten zu kapern. Mit dem Plugin Firesheep ist es auch Laien möglich die Gewalt über Fremde Accounts zu bekommen.

Wirklich neu ist die dabei verwendete Vorgehensweise nicht. Die Möglichkeit ist schon sehr lange bekannt und relativ trivial.

Wenn sich jemand an einer Webseite wie zum Beispiel Amazon.com anmeldet muss er irgendwie seine Anmeldedaten an den Server der Webseite übermitteln. Dazu gibt er sie in das Anmeldefenster der Seite ein und mit dem Klick auf den Anmeldebutton werden sie an den Server des Webseitenanbieters übertragen. Wenn das passende Konto auf dem Server existiert bekommt der Rechner des Webseitenbesuchers ein Cookie von dem Server zurück, welches während der Session dazu verwendet wird die Anmeldedaten zu speichern so dass sie nicht bei jedem neuen Seitenaufruf erneut eingegeben werden müssen.

Das ist grundsätzlich so auch in Ordnung solange der Datenverkehr zwischen dem Rechner und dem Server nicht für Dritte einsehbar ist.

Hier setzt das Firesheep von Eric Butler an. Wenn ein Webseitenbesucher so eine Seite über ein unverschlüsseltes WLAN aufruft werden die Anmeldedaten und das Cookie über diese unverschlüsselte Funkverbindung übertragen und sind dadurch für jede andere Person, welche ebenfalls mit dem Funknetzwerk verbunden ist einsehbar.

Im Prinzip ist das so als würde jemand seine Bankkarten PIN nicht verdeckt in die Tastatur des Geldautomaten tippen sondern sie dem Automaten quer durch die Schalterhalle zurufen. Jeder Bankkunde der sich ebenfalls in der Schalterhalle aufhält kann so an die Pin Nummer gelangen.

Wenn jetzt ein Angreifer dieses Cookie übernommen kann hat er damit auch den Account übernehmen da er sich mittels des Sessioncookies jetzt als legitimer Besucher gegenüber dem Webserver ausweisen kann. Somit ist er jetzt zum Beispiel in der Lage das Kennwort zu ändern, oder jede beliebige andere Änderung im Kontext des gekaperten Benutzerkontos auszuführen.

Das neue an dem Plugin von Butler ist nicht dass es diese Attacke möglich macht, das war auch bisher mit verschiedenen Tools und dem entsprechenden Knowhow möglich. Neu ist dass es diesen Vorgang quasi automatisiert und dem Angreifer die Accounts welche so übernehmbar sind mittels einer grafischen Oberfläche auf dem Silbertablett serviert.

Nur wenige Webseiten bieten die Möglichkeit den gesamten Datenverkehr zwischen dem Browser und dem Webserver mittels https oder ssl zu verschlüsseln. dann wäre ein solcher Angriff wie nicht möglich. Auch bei der Nutzung einer verschlüsselten WLAN Verbindung ist es nicht möglich mit dem Tool an die Sessioncookies zu gelangen.

Da grundsätzlich jede Webseite davon betroffen ist welche Anmeldedaten unverschlüsselt überträgt ist die einzige Möglichkeit sich davor zu schützen solche Webseiten nicht in unverschlüsselten Funknetzwerken zu nutzen. darauf schnell am Flughafen oder bei Starbucks über einen T-Mobile Hotspot die neuesten Nachrichten bei facebook abzufragen sollte man in zukunft wohl besser verzichten…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.