Firesheep

Firesheep ist eine Erweiterung für den Webbrowser Mozilla Firefox, die es möglich macht in einem ungesicherten Netzwerk (z. B. öffentliches WLAN) mit wenig Aufwand Session Hijacking durchzuführen und damit verschiedene Internetdienste mit einer Identität eines anderen Nutzers in diesem Netzwerk zu nutzen. Dafür nutzt die Erweiterung einen Sniffer, der den Datenverkehr im Netzwerk mitliest und unverschlüsselte Session-Cookies verschiedener Dienste herausfiltert. Wurden solche gefunden, werden sie in einer Seitenleiste aufgelistet und mit einem Klick kann der betreffende Dienst mit der fremden Identität genutzt werden.

Sie wurde am 24. Oktober 2010 von Eric Butler veröffentlicht.^[1] Der Autor erklärte dazu, er wollte mit der Veröffentlichung dieser Erweiterung auf diese in sehr vielen Internetdiensten (darunter z. B. auch Amazon, Facebook und Twitter) vorhandene Schwachstelle aufmerksam machen und die Betreiber dieser Seiten zum Handeln bewegen. Seit der Firefox-Version 23 ist das Add-on offiziell nicht mehr kompatibel.

Verbreitung, Gegenmaßnahmen und Erkennung

Firesheep verbreitete sich anfangs sehr schnell und rief auch entsprechendes Echo in den Medien hervor. Bald darauf stellten einige Dienste wie Facebook und Twitter zuerst optional und später standardmäßig durchgehend verschlüsselte SSL-Verbindungen zur Verfügung, die einen Angriff, wie ihn Firesheep durchführt, ausschließen. ^[2]

Gegenmaßnahmen

Eine der Möglichkeiten sich gegen Firesheep zu schützen, besteht darin, eine sichere Verbindung zu verwenden. Dies kann zum Beispiel mit HTTPS^[3], einem VPN oder durch eine verschlüsselte WLAN-Verbindung realisiert werden.

Vermeidung von ungesicherten WLANs

Befindet man sich in einem verschlüsselten WLAN (WEP oder WPA), so wird der Angriff bereits deutlich schwieriger. In einem durch WEP verschlüsselten WLAN ist der Angriff noch durch Knacken der WEP-Verschlüsselung weiterhin möglich, bei WPA wird es aufgrund von eigens verschlüsselten Kommunikationskanälen für jeden Kommunikationspartner sehr schwierig noch einen erfolgreichen Angriff mit den Methoden von Firesheep zu starten.

Verwendung von VPN-Verbindungen

Der Endverbraucher kann auch ein kommerzielles oder privates Virtual Private Network (zum Beispiel OpenVirtual Private Network) verwenden, um den gesamten Datenverkehr zu verschlüsseln. Man muss jedoch den Betreiber des VPN vertrauen, dass dieser die Cookies nicht selbst stiehlt. Dies ist insbesondere ein Problem im Tor-Netzwerk, da der Traffic beim Verlassen des Exit-Knotens unverschlüsselt ist.

HTTPS

HTTPS bietet eine Ende-zu-Ende-Verschlüsselung zwischen dem User-Agent und dem Web-Server. Es ist allerdings zwingend erforderlich, dass der gesamte Verkehr zur Website im sicheren HTTPS-Kanal übertragen wird und nicht nur das Login, da der Benutzer sonst wieder für das Stehlen des Session-Cookie verwundbar wäre.

Erkennung

Um herauszufinden, ob jemand auf dem lokalen Netzwerk „Firesheep“ verwendet, bietet sich die Firefox-Programmerweiterung BlackSheep^[4] an. Diese Software versendet falsche Session-Informationen und beobachtet, ob die Session gestohlen wird. Während Firesheep im normalen Betrieb größtenteils passiv agiert, führt es, sobald es eine Session-ID gefunden hat, einen Request an dieselbe Domain mit den gestohlenen Informationen durch. Genau dieser Request wird von BlackSheep erkannt und der Benutzer wird gewarnt.

Siehe auch

• Session Hijacking
• Sicherheit von Webanwendungen

Einzelnachweise

1. ↑ Eric Butler: Codebutler - "firesheep". 24. Oktober 2010, abgerufen am 9. Mai 2012 (englisch). 
2. ↑ Daniel Bachfeld: Facebook jetzt durchgehend mit SSL-Verschlüsselung. 27. Januar 2011, abgerufen am 9. Mai 2012. 
3. ↑ Seth Schoen: The Message of Firesheep: "Baaaad Websites, Implement Sitewide HTTPS Now!" 29. Oktober 2010, abgerufen am 13. Mai 2012 (englisch). 
4. ↑ ZScaler: BlackSheep – Firefox Add-on. 8. November 2010, abgerufen am 13. Mai 2012 (englisch).