Mit Firesheep wird Hacking zum Kinderspiel
Vorsicht: Firefox-Erweiterung fängt Login-Daten ab
Kleines Programm, große Wirkung: Die Firefox-Erweiterung Firesheep von Eric Buttler macht das Hacken von Benutzerkonten von Webdiensten wie Twitter oder Facebook zum Kinderspiel, zumindest in ungeschützten WLAN-Netzwerken. Der Software-Entwickler will damit auf eine Sicherheitslücke in der Login-Prozedur vieler Webdienste aufmerksam zu machen.
Butler beschreibt das Problem, das den Betreibern der Webdienste längere Zeit bereits bekannt ist, detailliert auf seiner Homepage. Zwar werde stets der Login durch eine sichere Verbindung geschützt, im Anschluss würden aber alle Informationen über einen Cookie zwischen dem Server und dem Nutzer-Rechner ungeschützt übertragen. In unverschlüsselten WLAN-Netzwerken könnten diese Informationen einfach abgefangen und missbraucht werden, um sich unter einer fremden Identität in Webdienste wie Facebook oder Twitter einzuloggen.
Hacken für Dummies
Mit Firesheep kann dies nun jeder Internetnutzer durchführen. Er muss dafür nur das Plugin installieren, sich mit einem ungeschützten WLAN-Netz verbinden und den Button "Capture" (Aufzeichnen) drücken. Schon kann er sich bequem in jedes Konto unvorsichtiger Nutzer einklinken, die sich in diesem Netz mit einem ungeschützten Webdienst verbinden. Butler hat das Programm auf der Hackerkonferenz ToorCon kürzlich vorgestellt.
Facebook hat auf Anfrage des US-amerikanischen Technikblogs Techcrunch versichert, in den kommenden Monaten eine verschlüsselte Übertragung anbieten zu wollen. Die Funktion werde derzeit ausgiebig getestet. In der Zwischenzeit verweist das Unternehmen auf die Möglichkeit, zu überwachen, von welchen Geräten der Nutzer bei Facebook eingeloggt ist und ungewollte Sitzungen über das Kontrollzentrum zu schließen. In der deutschen Facebook-Version stand diese Funktion derzeit aber noch nicht zur Verfügung.