Die Unsicherheit von unverschlüsselten WLAN-Infrastrukturen nutzt das Plugin für den Browser Firefox namens Firesheep aus: Es schneidet die im Klartext über das WLAN gesandten Cookies von anderen Nutzern mit. Viele Webseiten – der Autor das Plugins, Eric Butler, nennt beispielsweise Facebook und Twitter – verschlüsseln nicht die komplette Nutzersitzung, sondern wechseln nach einem per HTTPS gesicherten Login auf die unverschlüsselte Version der Site.

Ab diesem Moment ist das Cookie, in dem die Daten der Benutzersitzung gespeichert werden, leichte Beute für Datendiebe. Nur wenn auch das Cookie codiert würde, wäre ein Mitlauschen sinnlos. Wird das Cookie abgefangen, kann der Angreifer sich gleichzeitig mit dem legitimen Nutzer bei der betreffenden Website anmelden („Session Hijacking“ oder „Sidejacking“).

 

Das Problem der ungesicherte Cookies ist bereits seit mindestens sechs Jahren bekannt und es gibt auch bereits etliche Tools, die ähnliches bewerkstelligen wie Firesheep. Wie Eric Butler in seinem Blog schreibt, will er jetzt mehr Aufmerksamkeit auf das Problem lenken und hat daher ein leicht zu nutzendes, Laien-freundliches Plugin programmiert. Den Screenshots in Butlers Blog zufolge ist Firesheep in der Tat auch von Einsteigern ohne Technikkenntnisse anwendbar.

 

In einem Nachtrag zum ursprünglichen Blogeintrag liefern Butler und sein Kollege Ian Gallagher weitere Erläuterungen zur Funktionsweise. Außerdem geben Sie Tipps, wie sich Cookies auch in ungesicherten WLANs schützen lassen.

 

Übrigens: Der Name des Plugins setzt sich zusammen aus einem Teil des Browsernamens Firefox und der sogenannten Wall of Sheep. Die Wall ist ein fester Bestandteil der jährlich in Las Vegas stattfindenden Hackerkonferenz Defcon: Dort werden auf eine Leinwand all die Loginnamen (und die unkenntlich gemachten Passwörter) der Nutzer projiziert, die sich unvorsichtigerweise über das ungesicherte Konferenz-WLAN bei einer nicht per SSL gesicherten Site angemeldet haben.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.