Als die Firefox-Extension „Firesheep“ vorgestern veröffentlicht wurde, war der überwiegende Kommentar in der Hacker-Zunft ein lapidares „Ach, hat das jetzt also auch endlich mal jemand gemacht…“, denn was Firesheep nun jedem Firefox-Nutzer als Zusatzfunktion bietet, ist seit Jahren möglich (und wohl auch üblich):
Firesheep ermöglicht ohne großen Aufwand das Übernehmen von http-Sessions (also z.B. einer Anmeldung bei Facebook) unter 2 Bedingungen:
1. Der Computer des Angreifers und der des ‚Opfers’ befinden sich im gleichen, nicht verschlüsselten WLAN.
2. Die Verbindung zur fraglichen Seite wird über normales http und nicht per https / SSL, also unverschlüsselt übertragen.
Wenn diese beiden Bedingungen erfüllt sind (zum Beispiel in einigen jener sprichwörtlichen Berlin-Mitte-Bars beim Zugriff auf Facebook), dann reicht es, Firefox mit der Extension zu starten. Bevor der Latte Macchiato ausgetrunken ist, werden die ersten Accounts der Sitznachbarn zur freien Übernahme angeboten. In den übernommenen Accounts hat man dann alle Rechte eines angemeldeten Benutzers. Das kann das Bloggen auf dem persönlichen Blog, irgendwelche Scherze auf Facebook, oder unser aller Lieblingsbeschäftigung, das Twittern betreffen – kurzum: Jede Seite, auf der das Opfer gerade eingeloggt ist.
Sowohl das Unterhalten eines unverschlüsselten WLANs, als auch das Anbieten des Zugangs zu sicherheitsrelevanten Bereichen ohne https gelten zur Recht seit jeher als absolut-nicht-zu-empfehlen-bist-du-eigentlich-verrrückt. Leider hat sich das Verschlüsseln bei WLANs nach 10 Jahren des Predigens bei Weitem nicht flächendeckend, aber immer noch besser durchgesetzt als bei Webservern. Der Grund dafür ist (vermutlich) dass beim Verschlüsseln ein (heutzutage vernachlässigbarer) zusätzlicher Rechenaufwand für den Server anfällt.
Zwar bieten viele Anbieter ihre Dienste auch verschlüsselt an, so zum Beispiel Facebook, per default erfolgt der Zugriff aber unverschlüsselt, wenn sich der Besucher nicht die Mühe macht, das https:// manuell einzugeben. Die Unsicherheit von http greift aber nicht nur im unverschlüsselten WLAN – dort wird sie nur besonders eklatant, weil unsere Computer ihre TCP-Päcken in alle Richtungen durch den Äther schleudern. Greifen wir auf das Netz per Kabel zu, kann immer noch an potenziell jeder vermittelnden Stelle das gleiche unternommen werden (wenn auch nicht mit einem Firefox-Plugin). Als ich die Anzahl der vermittelnden Stellen gerade einmal probehalber bei Facebook.com per traceroute geprüft habe, waren es 11 an der Zahl.
Was muss also passieren?
Die Forderung ist einfach und seit vielen Jahren die gleiche: Https muss zum Standard beim Zugriff auf jegliche Form von nicht-öffentlichen Daten (Email, Facebook, Admin-Backends bei Content-Management-Systemen, etc.) werden – egal, ob per Kabel oder Luft.
Wer macht das bisher noch nicht?
Die Liste ist lang: Firesheep unterstützt unter anderem Amazon, Dropbox, Evernote, Facebook, Flickr, Windos Live, Tumblr, Twitter, WordPress, Yahoo und sogar GitHub (hab ich jetzt nicht alles geprüft). Im Januar ging Gmail mit gutem Beispiel voran und setzte alle Kommunikation auf https.
Wie kann ich mich schützen?
1. In offene WLANs unbedingt Sicherheitsvorkehrungen (https, VPN) treffen.
2. in WEP-verschlüsselten WLANs ebenso, denn der Aufwand ein Tool mit ähnlicher Funktion wie Firesheep auch für WEP-verschlüsselte Netzwerke zu bauen, wäre nur minimal höher – WEP-Netzwerke lassen sich in Minuten knacken, und der Firesheep-Sniffer müsste nur minimal verändert werden. WPA2 mit Client Isolation ist die einzige akzeptable Sicherung für ein WLAN.
3. Immer brav ans https:// denken. Die meisten Anbieter unterstützen es ja immerhin. Wer seine Bookmarks einmal aktualisiert, hat viel für seine Sicherheit getan. Update mit Dank an Balkonschläfer: Das HTTPS-Everywhere-Plugin von der EFF bemüht sich, möglichst alle Verbindungen über https herzustellen. Update mit Dank an Kirst3n: Force-TLS Addon für Firefox (TLS ≈ SSL).
4. Immer schön ausloggen. Bringt nicht viel, aber loggt bestenfalls den Angreifer mit aus.
5. Wenn möglich in fremden Netzen VPN nutzen, wodurch jeglicher Datenverkehr zumindest bis zum VPN-Anbieter, der eine Institution des uneingeschränkten Vertrauens sein sollte, verschlüsselt wird.
6. und wichtigster Punkt: Anbieter verfluchen, bei denen SSL nicht einfach default ist, und auf eine Verhaltensänderung hinarbeiten.
Dieses Ziel haben sich auch die Entwickler von Firesheep gesetzt: Indem die Sicherheitslücke nicht vorhandene Sicherheit einer großen Zahl von Nutzern demonstriert und zur Hand gereicht wird, soll ein Bewusstsein für die Notwendigkeit der Nutzung von seit Jahren verlangten Techniken geschaffen werden. Deshalb ist Firesheep open-source auf github erhältlich. Als Firefox-Extension läuft es auf allen weiter verbreiteten Betriebsystemen.
