Skip to main content

Firefox Add-on Firesheep bringt Hacking zu den Massen

Sie möchten mit nur einem Klick das Amazon-, Facebook-, Twitter- oder Windows Live-Konto einer anderen Person hacken? Eine Firefox-Erweiterung namens Firesheep behauptet, dass man die aktuelle Benutzersitzung einer Person über eine offene Wi-Fi-Verbindung hijacken kann.

Ich habe die Erweiterung getestet und zu meinem Entsetzen funktioniert sie wie angekündigt - fast genau das.

Zum Vergrößern klicken

[Weiterführende Literatur: Beste NAS-Boxen für Media-Streaming und Backup]

Firesheep wurde von dem in Seattle ansässigen Softwareentwickler Eric Butler entwickelt, der die Erweiterung entwickelte, um die Sicherheitsrisiken von Session-Hijacking, auch bekannt als Sidejacking, hervorzuheben .

Firesheep zielt auf 26 Online-Dienste ab und umfasst viele beliebte Online-Dienste wie Amazon, Facebook, Foursquare, Google, die New York Times, Twitter, Windows Live, Wordpress und Yahoo. Die Erweiterung ist auch anpassbar, so dass ein Hacker andere Webseiten ansprechen kann, die nicht von Firesheep aufgelistet sind.

Während Firesheep beängstigend klingt (und noch einmal die Sicherheitsbedenken bei Verwendung von offenem WLAN hervorhebt), ist die neue Firefox-Erweiterung nicht so beängstigend wie es klingt .

Funktionsweise von Firesheep

Firesheep ist im Grunde genommen ein Paket-Sniffer, der den gesamten unverschlüsselten Web-Verkehr einer offenen Wi-Fi-Verbindung zwischen einem Wi-Fi-Router und den Computern desselben Netzwerks analysieren kann. Die Erweiterung wartet darauf, dass sich jemand an einer der 26 in der Firesheep-Datenbank aufgelisteten Sites anmeldet. Wenn Sie sich beispielsweise bei Amazon anmelden, kommuniziert der Amazon-spezifische Cookie Ihres Browsers mit der Website und enthält personenbezogene Daten wie Ihren Benutzernamen und eine Amazon-Sitzungsnummer-ID.

Wenn Ihr Browser Cookie-Informationen hin und her tauscht Auf der Website kann eine dritte Partei diese Kommunikation übernehmen und Informationen einschließlich Ihres Benutzernamens und Ihrer Sitzungs-ID erfassen. Normalerweise enthält das Cookie kein Passwort. Aber auch ohne Ihr Passwort bedeutet die Tatsache, dass Firesheep Ihr ​​Session-Cookie erhalten hat, dass ein Hacker, zumindest theoretisch, auf Ihr Konto zugreifen und nahezu uneingeschränkten Zugang erhalten kann. Wenn der Hacker Ihr Yahoo Mail-Cookie erhalten hat, könnte er eine E-Mail senden, wenn es Facebook wäre, könnte er eine Nachricht senden und so weiter. Alle Operationen, die Ihr Passwort erfordern, wie beispielsweise der Zugriff auf Ihre Kreditkarteninformationen bei Amazon, sollten jedoch nicht mit Firesheep möglich sein.

Feuerprobe in den Test

Klicken zum Vergrößern

Da ich nicht in der Nähe von a war Heute habe ich Firesheep in meinem eigenen Heimnetzwerk mit Firefox 3.6 für Mac OS X getestet. Das Problem ist, dass ich zu Hause WPA2-Verschlüsselung verwende, einen Wi-Fi-Sicherheitsstandard, der den gesamten Benutzerverkehr zwischen Ihrem PC und dem Internet verschlüsselt Router. Der einzige Weg, Firesheep zu testen, war auf meinem eigenen Rechner, den ich sowohl in Firefox als auch in Chrome durchstöberte.

Um loszulegen, habe ich Firesheep in Firefox installiert und dann auf View> Sidebars> Firesheep geöffnet . Ich sah dann eine leere Seitenleiste mit einem Knopf an der Oberseite, der "Start Capturing" sagte. Sobald ich auf die Schaltfläche geklickt habe, um mit dem Snooping zu beginnen, fragt die Erweiterung nach dem Master-Passwort meines Computers, damit die Erweiterung auf meinen Computer zugreifen und Änderungen daran vornehmen kann. Unnötig zu sagen, das ist nicht etwas, was ich Ihnen empfehlen würde, auf Ihrem eigenen Computer zu versuchen.


Nachdem die Seitenleiste funktionierte, fing es an, Benutzer-IDs wie versprochen für Websites wie Amazon, Facebook, Google und The New York Times zu holen . Firesheep konnte meinen Benutzernamen und mein Profilfoto (wenn verfügbar) abrufen und dann jedes Konto in der Seitenleiste anzeigen.

Wenn ich dieses System über ein unverschlüsseltes WLAN-Netzwerk in einem Café getestet hätte, hätte ich es theoretisch tun sollen Ich konnte einfach auf eines der Konten klicken, die ich in der Firesheep-Seitenleiste gesehen hatte, und dann fast uneingeschränkten Zugriff auf das Konto erhalten. Aber in meinen Tests ist das nicht passiert.

Firesheep wird eingekorrallt

Click to Enlarge

Nachdem das Sniffing durchgeführt wurde, sollte ich in der Lage sein, auf jede Benutzer-ID in meiner Sidebar zu klicken und dann meine Online-Accounts zu sehen. Offensichtlich konnte ich dies tun, wenn ich ein Konto nutzte, bei dem ich mich bei der Verwendung von Firefox angemeldet hatte, da der Browser meine tatsächlichen Sitzungs-IDs sowie die gestohlenen Cookies in Firesheep enthielt. Aber als ich versuchte, Zugang zu meinem Konto bei der New York Times zu erhalten, bei dem ich mich mit Chrome angemeldet hatte, konnte Firesheep mir keinen Zugang zu meinem Konto in Firefox geben. Dies war trotz der Tatsache, dass mein Benutzername und Profilbild in Firesheep erschien.

Es ist auch wichtig zu beachten, dass ich Firesheep's gestohlenen Cookie nicht verwenden konnte, um mich wieder anzumelden, nachdem ich mich von einem der getesteten Online-Dienste abgemeldet hatte.

Nun, wie gesagt, meine Tests waren nicht perfekt, seit ich Firesheep auf einer Maschine benutzt habe, und mein Heimnetzwerk ist bereits sehr sicher. Also wäre mein Test möglicherweise anders gelaufen, wenn ich Firesheep bei einem ahnungslosen Benutzer über ein offenes, unverschlüsseltes WLAN-Netzwerk in einem Café oder einer Bar getestet hätte.

Firesheep Sidejacking-Grenzen

Es ist keine Frage, dass Firesheep ein wichtiges Web-Browsing hervorhebt Sicherheitslücke, die Ihr Konto einem böswilligen Hacker aussetzen könnte. Aber es ist auch wichtig zu beachten, dass Sidejacking seine Grenzen hat. Die Verwendung von Firesheep wird Ihr Benutzerpasswort wahrscheinlich nicht preisgeben. So kann ein Hacker Firesheep verwenden, um in Ihrem Namen Maßnahmen zu ergreifen, wie beispielsweise eine E-Mail senden, eine Statusaktualisierung veröffentlichen oder einen Tweet senden. Es ist jedoch unwahrscheinlich, dass Firesheep dazu verwendet werden kann, Ihr Konto zu stehlen, indem Sie Ihr Passwort auf Sie übertragen. Es sei denn natürlich, Sie verwenden einen Dienst, mit dem Sie Ihr Passwort ändern können, ohne das aktuelle Passwort eingeben zu müssen - ein seltenes Ereignis in diesen Tagen.

Dennoch ist Firesheep und Sidejacking im Allgemeinen immer noch eine ernsthafte Sicherheitsbedrohung Verwenden von offenem oder ungeschütztem Wi-Fi. Hier sind ein paar grundlegende Dinge, die Sie tun können, um sich bei der Verwendung von öffentlichem Wi-Fi zu schützen:

Verwenden Sie ein VPN

Verwenden Sie einen Virtual Private Network-Client wie die kostenlose Version von HotSpot Shield. Diese Software erstellt im Grunde einen sicheren Tunnel für Ihre Daten zwischen dem WLAN-Router und Ihrem Computer. Das bedeutet, dass Firesheep keine Daten zwischen Ihrem Computer und dem Router stehlen kann, da die gesamte Kommunikation verschlüsselt wird.

HTTPS Everywhere

Wenn Sie ein Firefox-Benutzer sind, können Sie auch Erweiterungen wie HTTPS Everywhere verwenden von der Electronic Frontier Foundation. Diese Erweiterung zwingt bestimmte Websites dazu, eine sichere SSL-Verbindung für die gesamte Browsersitzung zu verwenden und nicht nur die Anmeldung. Das Problem mit HTTPS Everywhere funktioniert nur auf einer begrenzten Anzahl von Websites, die das vollständige SSL-verschlüsselte Surfen unterstützen. Häufig verwendet eine Site die SSL-Verschlüsselung für Ihre Anmeldung, stellt Sie jedoch nach der Anmeldung wieder auf den unverschlüsselten HTTP-Standard um. Weitere Informationen finden Sie auf der Seite HTTPS Everywhere von EFF.

Verwenden Sie Strict-Transport-Security (STS)

Strict Transport Security (STS) ist eine relativ neue Sicherheitsfunktion, die in einigen Browsern erscheint. STS zwingt Ihren Browser automatisch zu einer sicheren Verbindung mit jeder Webseite, die SSL-Verschlüsselung unterstützt. Sobald Sie STS verwenden, können Sie eine unsichere Verbindung nicht mehr verwenden, wenn Sie eine Verbindung zu einer bestimmten Website wie Facebook oder Amazon herstellen. Chrome hat STS seit Chrome 4 unterstützt, und Firefox 4 wird STS enthalten, sobald die offizielle Version in den kommenden Monaten auf den Markt kommt. Beachten Sie, dass STS immer noch relativ neu ist und möglicherweise nicht für alle Browser verfügbar ist.

Wenn Sie auf Ihrem Router zu Hause kein Kennwort haben, stellen Sie sicher, dass Sie eines eingerichtet haben. Wenn Ihr Router WPA2 unterstützt, verwenden Sie diesen Sicherheitsstandard anstatt des weit verbreiteten und weniger sicheren Standards WEP.

Firesheep macht es möglicherweise einfacher als je zuvor, andere Personen über offenes, unverschlüsseltes WLAN zu schnüffeln Denken Sie daran, dass Sidejacking ein alter Trick ist, der seit mindestens 2007 existiert. Um sicher zu gehen, stellen Sie sicher, dass Sie über eine offene Wi-Fi-Verbindung eine sichere Verbindung mit einem VPN oder HTTPS (SSL) verwenden. Verwenden Sie zu Hause den WPA2-Standard, wenn Ihr Router dies unterstützt, oder schützen Sie Ihren Router zumindest mit einem WEP-Passwort. Vergessen Sie auch nicht, dass Sie für hochsensible Online-Aktivitäten wie den Zugriff auf Ihre Bank- oder Kreditkartenkonten niemals eine offene WLAN-Verbindung nutzen sollten.

Verbinden Sie sich mit Ian ( @ianpaul ) auf Twitter.