# taz.de -- Sicherheitslücke in Online-Netzwerken: Wie Firesheep Facebook & Co. kapert
       
       > Ein Sicherheitsexperte hat ein Programm geschrieben, mit dem man in
       > Sekunden Login-Daten in sozialen Netzwerken und auf E-Commerce-Seiten
       > ausspionieren kann.
       
 (IMG) Bild: Bleibt nicht immer ein Geheimnis: Login auf Facebook.
       
       Das [1][Demovideo] ist eindrucksvoll. Ein YouTube-Nutzer zeigt, wie man mit
       einer in dieser Woche erschienenen [2][neuen Software] namens Firesheep
       Sitzungen bei Twitter und Facebook "entführen" kann. Dazu muss man nur ein
       Ergänzungsprogramm im Browser Firefox hinzufügen und sich nur im gleichen
       Netz wie das Opfer befinden - ein Klick genügt, schon hat man Zugriff auf
       dessen Login-Daten. Firesheep beherrscht diesen Trick auch bei Amazon,
       Flickr, der Online-Seite der New York Times, Foursquare, einigen Google-
       und Yahoo-Diensten sowie einer ganzen Reihe weiterer bekannter
       Web-Angebote.
       
       Wie Firesheep funktioniert, das vom US-Sicherheitsexperten Eric Butler
       programmiert wurde, ist schnell erklärt. Zwar nutzen viele Webseiten zur
       Übertragung von Nutzernamen und Passwörtern die in den Browsern eingebaute
       Verschlüsselungstechnik SSL. Danach schalten sie aber wieder in den
       unverschlüsselten Modus um, was bedeutet, dass alle Daten potenziell
       sichtbar werden.
       
       Befindet man sich beispielsweise in einem WLAN-Café, in dem diverse andere
       Rechner parallel eingeloggt sind, kann jeder mitlesen, was der andere
       gerade im Netz so treibt - zumindest solange die Daten unverschlüsselt
       gesendet werden. Firesheep setzt dabei bei den sogenannten "Session
       Cookies" an. Das sind kleine Datenkrümel, die Internet-Angebote nach dem
       Login (und häufig auch später) auf die Festplatte des Nutzers schreiben.
       Die Cookies sind wie ein Ausweis: Wer Zugriff darauf hat, kann sich als
       Nutzer ausgeben, ohne dessen Passwort zu kennen.
       
       Da es um Sicherheit geht, war Firesheep-Programmierer Butler die
       Aufmerksamkeit des Netzes sicher. In den ersten 24 Stunden wurde sein
       kostenloses, quelloffenes Programm über 100.000 Mal heruntergeladen, bei
       Google USA wurden entsprechende Suchen zum Trendbegriff. Er habe sich lange
       überlegt, ob er Firesheep veröffentlichen sollte, so der
       Sicherheitsexperte, und habe sich dafür entschieden. "Kriminelle kennen das
       ja schon und ich weise den Vorwurf zurück, dass etwas wie Firesheep aus
       sonst unschuldigen Menschen plötzlich böse Menschen macht." Werkzeuge wie
       Firesheep seien seit Jahren verfügbar, nun zeige das Programm allen, wie
       einfach sie zu benutzen seien.
       
       Facebook, Twitter und Co. haben bislang noch nicht auf die Bedrohung
       reagiert. Peinlich für die großen Webseiten ist vor allem, dass eine
       Dauerverschlüsselung sensibler Dienste heutzutage kaum mehr Leistung kostet
       - ein Argument, dass über Jahre stets gebracht wurde. Google hat
       entsprechende Tests durchgeführt, nachdem das populäre Webmail-Programm
       Google Mail auf SSL umgestellt wurde. Der Ingenieur Adam Langley schrieb
       einmal, dieser Schritt sorge für ein Prozent mehr an Serverbelastung. Auch
       der zusätzliche Speicherbedarf halte sich stark in Grenzen.
       
       Bevor die großen Netzwerke reagieren und häufiger verschlüsseln, können
       Nutzer gegen Firesheep und ähnliche Hacker-Werkzeuge gleich mehrere
       Hilfsmaßnahmen ergreifen. Die wohl einfachste ist eine weitere
       Firefox-Ergänzung und hört auf den Namen [3][HTTPS Everywhere]. Das kleine
       Programm stammt von der US-Netzbürgerrechtsorganisation EFF und sorgt
       dafür, dass zahlreiche wichtige Seiten automatisch gezwungen werden, eine
       verschlüsselte Verbindung aufzubauen und zu halten.
       
       Dazu gehören nicht nur Facebook und Twitter, sondern auch Shopping-Angebote
       wie Amazon, das Online-Lexikon Wikipedia. Das gilt auch für die
       Suchmaschine Google, die bereits seit einigen Monaten verschlüsselt genutzt
       werden kann, was sich leider noch nicht rumgesprochen hat. HTTPS Everywhere
       wird regelmäßig aktualisiert und lässt sich mit [4][etwas Mühe] auch an
       spezielle Fälle anpassen. Zu beachten ist, dass nicht jeder Anbieter alles
       verschlüsselt. So kommen bei Wikipedia nur die Texte und Suchanfragen per
       SSL zum Nutzer, Bilder derzeit leider noch nicht.
       
       Alternativ kann man erwägen, bei der Nutzung offener WLAN-Netze mit einem
       so genannten VPN (Virtual Private Network) zu arbeiten. Dabei wird eine
       direkte und verschlüsselte Verbindung zu einem vertrauenswürdigen Server im
       Internet aufgebaut. Andere Nutzer im gleichen Netz sehen nichts mehr,
       gesurft wird über diesen zusätzlichen "Ausgang", den man abgesichert
       erreicht. VPN-Zugänge werden häufig von Firmen eingesetzt oder auch von
       privaten Anbietern für einige Euro im Monat verkauft.
       
       29 Oct 2010
       
       ## LINKS
       
 (DIR) [1] http://www.youtube.com/watch?v=eUyrMVkRTlI
 (DIR) [2] http://codebutler.com/firesheep
 (DIR) [3] http://www.eff.org/https-everywhere
 (DIR) [4] http://www.eff.org/https-everywhere/rulesets
       
       ## AUTOREN
       
 (DIR) Ben Schwan
       
       ## TAGS
       
 (DIR) Schwerpunkt Überwachung
 (DIR) Schwerpunkt Überwachung
 (DIR) Schwerpunkt Überwachung
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Twitter verkauft User-Daten: Jeder zweite Tweet wird ausgewertet
       
       Der Kurznachrichtendienst hat eine neue Einnahmequelle: Er bietet
       Marketingfirmen an, Tweets in Echtzeit zu sehen – in einem zur
       Profilbildung auswertbaren Format.
       
 (DIR) Neues Programm RockMelt: Ins Netz mit dem Freunde-Browser
       
       Viele Nutzer bewegen sich in sozialen Netzwerken und stellen dort ihre
       Inhalte ins Netz. Die Macher von RockMelt glauben, dass sie einen eigenen
       Browser brauchen.
       
 (DIR) Neues Such-Angebot Blekko: Suchmaschine als Spamfilter
       
       Viele Suchmaschinen sind voller Spameinträge und nutzlosem Material
       sogenannter Content-Farmen. Die Suche von Blekko will das Problem mit einer
       besseren Sortierung lösen.
       
 (DIR) Nutzerdaten wurden verkauft: Facebook bekommt Lecks nicht dicht
       
       Das Online-Netzwerk hat eingeräumt, dass Anwendungsentwickler Nutzerdaten
       an Infosammler veräußert haben. Externe Anwendungen werden schlecht
       kontrolliert.
       
 (DIR) Umbau auf MySpace: Vom Weltnetzwerk zum Nischenraum
       
       Einst war es das Online-Netzwerk schlechthin. Dann kam Facebook. Jetzt gibt
       MySpace den Wettstreit um Größe auf und will sich als
       Unterhaltungsplattform neu erfinden.
       
 (DIR) Neues Datenleck im Online-Netzwerk: Facebook-Werbung outet Mitglieder
       
       Wer auf Facebook werben will, kann seine Zielgruppe detailreich definieren.
       Eine Wissenschaftlerin zeigte nun, dass sich damit auch sensible
       Nutzer-Infos finden lassen.
       
 (DIR) Soziale Netzwerke am Arbeitsplatz: Konzerne sperren Facebook-Zugang
       
       Mehrere Dax-Konzerne habe ihren Mitarbeitern den Zugang zu sozialen
       Netzwerken wie Facebook und Twitter gesperrt. Sie begründeten dies unter
       anderem mit Sicherheitsbedenken.