Tags: Sicherheit, Netzwerk, WLAN
Öffentliche WLAN-Hotspots sind vielerorts bereits Alltag und auch dort, wo es keine öffentlichen gibt, erwartet man inzwischen, zumindest als Kunde eines Hotels, Restaurants oder Cafés drahtlosen Zugang zum Internet angeboten zu bekommen. Doch auch persönliche Kunden-Zugänge sind oft nicht auf Verbindungsebene verschlüsselt, sondern es handelt sich um offene Zugänge, bei denen man sich erst später, nach aufgebauter WLAN-Kommunikation, an einem Browser identifiziert. Zusammen mit der Eigenart vieler sozialer Netzwerke, unverschlüsselt mit den Benutzern zu kommunizieren, ergibt sich hier eine ernste Sicherheitslücke: Die Übernahme einer solchen Sitzung ist absolut kein Problem und technisch nicht anspruchsvoll.
Ende-zu-Ende-Verschlüsselung bei Identifizierung per Cookie fehlt
Ohne Ende-zu-Ende-Verschlüsselung lässt sich die Sitzung durch einen beliebigen Netzwerk-Sniffer mit minimalem Aufwand übernehmen. Da der Angreifer in einem öffentlichen WLAN sowieso an das gleiche WAN-Interface angeschlossen ist wie sein Opfer, bleibt dieser Angriff auf der physischen Ebene unbemerkt.
Zwar verwenden heutzutage fast alle Websites eine SSL-Verbindung, wenn es an die Eingabe von Authentifizierungsinformationen geht, auch soziale Netzwerke wie Facebook, Twitter, Flickr & Co. Doch die eigentliche Kommunikation wird meist völlig offen per HTTP abgewickelt. Wiederkehrende Benutzer melden sich in der Regel nicht immer wieder neu an, sondern werden per Cookie identifiziert – unverschlüsselt über HTTP. Dies muss ein Angreifer lediglich abfangen und kann daraufhin die Sitzung übernehmen.
Davon ausgehend, dass Facebook und Twitter in immer stärkerem Maße nicht nur zum Privatvergnügen, sondern auch für Firmen-PR verwendet werden, haben Angreifen gute Chancen, in Hotel-Lobbies wichtige Login-Daten und andere vertrauliche Informationen abzugreifen und richtig Schaden stiften zu können.
Gehackt per Firefox-Erweiterung
Um dieses Szenario auszuprobieren, bedarf es keinerlei „Hacker“-Erfahrung. Man benötigt nur Firefox 3.x, die Proof-Of-Concept-Erweiterung Firesheep und den Treiber WinPcap, um unter Windows Netzwerk-Pakete aufzeichnen zu können. Sie erlaubt es, bequem in der Seitenleiste des Browsers alle stattfindenden Cookie-Logins in soziale Netzwerke zu verfolgen und sie per Klick sofort zu übernehmen.
Abhilfe: Konsequent HTTPS verwenden
Die meisten Social-Network-Dienste funktionieren auch per HTTPS, also SSL/TLS-verschlüsseltem HTTP, bei dem also auch ein Cookie-Login verschlüsselt vonstattengeht. Dies ist aber etwas langsamer und ressourcenhungriger, weswegen die Anbieter oft die Voreinstellung auf der unverschlüsselten Variante belassen, damit das Benutzererlebnis auch mobil und bei schlechter Anbindung möglichst unbeeinträchtigt bleibt.
Eine automatische Abhilfe kann man ebenfalls per Firefox-Add-On-erhalten: Die Erweiterung HTTPS Everywhere von der Electronic Frontier Foundation schaltet die Verbindung für bekannte Social-Network-Sites automatisch auf HTTPS um. Nutzer anderer Browser müssen gegebenenfalls auf User-Scripts ausweichen oder konsequent ihre Lesezeichen ändern, damit man auch unterwegs nicht in Hast und Eile seine Daten preisgibt.
Technisch kann das Problem nur seitens der Social-Network-Anbieter gelöst werden. Dem Benutzer bleibt vorerst nur, derartige Probleme durch den bewussten Umgang mit derartigen Diensten zu umschiffen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
Weitere Links