Kriminelle Tools fischen Cookies

Originalartikel von Ben April (Senior Threat Researcher bei Trend Micro)

In der letzten Woche sind mindestens zwei Werkzeuge aufgetaucht, die den Diebstahl von Konten bei Facebook, Twitter oder praktisch von jeder anderen Web 2.0-Plattform über Drag-and-Drop möglich machen, wenn jemand etwa aus einem Café surft. Technisch gesehen, war ein solcher Angriff noch nie schwierig zu bewerkstelligen, doch mit den neuen Tools wird das Unterfangen geradezu trivial.

Idiocy stellt sich selbst als Warnung an Leute dar, die ohne Sicherheitsvorkehrungen im Internet browsen. Es handelt sich um ein 130 Zeilen langes Python-Skript, das offene drahtlose Netzwerke nach Twitter-Cookies absucht und diese Informationen nutzt, um jede gefundene Sitzung zu kapern und dort einen Tweet abzusetzen. Die Nachricht lautet: „Ich habe Twitter ohne Sicherheit über ein öffentliches Netzwerk genutzt und alles, was ich bekam, war dieser lausige Tweet. http://jonty.co.uk/idiocy-what”

Das zweite Tool Firesheep (von Trend Micro als HKTL_FYRSNIFF erkannt) ist raffinierter. Es ist ein Firefox-Plugin, das in der Lage ist, Sitzungs-Cookies von einer ganzen Reihe von Sites zu sammeln und dann die Sitzung im nutzereigenen Browser zu kapern. Die Liste der Sites, die das Plugin angreifen kann, lässt sich vom Nutzer sogar noch erweitern.

Der Name Firesheep ist wahrscheinlich eine Hommage an Wall-of-sheep oder Wall-of-shame, Tools, die auf vielen Sicherheits- und Netzwerkkonferenzen gezeigt wurden und die auf die gleiche Weise arbeiten. Das Vorführen auf großen Bildschirmen während Konferenzen, wie Kennwörter zu sammeln sind, ist eine hervorragende Gelegenheit, die Dringlichkeit aufzuzeigen, Systemfehler zu korrigieren. Doch bevor jemand diese Art von Tools nutzt, sollte er auch sicherstellen, dass seine Vorführung auch tatsächlich legal ist.

Sidejacking-Angriffe mithilfe dieser Tools sind einfach durchzuführen. Sobald ein User seinen Nutzernamen und das Kennwort beim Anmelden an einer Site eingegeben hat, erhält er ein Cookie. Normalerweise ist dies ein zufälliger Token, dessen passende Kopie nur der erfolgreich angemeldete Nutzer und die Site haben. Diese Tools überwachen das Netzwerk und kapern diese Tokens entweder, wenn die Site sie an den Nutzer schickt, nachdem er sich angemeldet hat, oder wenn er die nächste Seite anfordert. Mit dem Besitz des Tokens ist es ganz einfach, sich den Browser und die Sitzung anzueignen. Einige Sites schicken den Benutzernamen und das Kennwort immer noch im Klartext ohne Verschlüsselung!

Es gibt ein paar simple Dinge, die ein Nutzer zu seinem Schutz vor dieser Gefahr tun kann. In erster Linie sollte er, wo immer möglich, SSL nutzen. Viele beliebte Sites bieten einen SSL-Zugang, indem der Nutzer nur http:// in der Adresszeile durch https:// ersetzt. Google etwa offeriert dies bereits für alle seine Dienste. Geht ein Nutzer auf http://mail.google.com, so wird er automatisch auf https://mail.google.com umgeleitet. Twitter, Facebook und viele andere bieten dies ebenfalls an. Der Nutzer muss lediglich seine Bookmarks aktualisieren. Andere Sites wie Linkedln sind noch nicht soweit.

Früher mussten sich Administratoren bezüglich SSL zwischen Sicherheit und Performance entscheiden, doch heute ist dies aus Endanwenderperspektive kein Problem mehr. Google behauptet, sie hätten keine zusätzlich Hardware für dies Mehr an Sicherheit benötigt. Aber auch wenn mehr Ausrüstung dafür erforderlich ist, so macht die bessere Sicherheit diesen Aufwand wett.

Zudem sollten sich Nutzer über die Gefahren im Klaren sein, wo sie sich an unsicheren Sites anmelden. Gehen sie ins Internet über eine unsichere drahtlose Verbindung – etwa in einem Café oder am Flughafen – so kann jedes andere Gerät im Raum, das über drahtlose Fähigkeiten verfügt, sehen, was an diese unsicheren Sites geschickt wird.

Eine weitere Option ist, ein VPN zu nutzen. Einige Router oder drahtlose Systeme bieten dies an. Hat der User einen sicheren Kanal von seiner Maschine zu einem vertrauenswürdigen Server aufgesetzt, so kann er alles über diese sichere Verbindung versenden und niemand kann seine Zugangsdaten stehlen. Diese Option erfordert zusätzliches Setup und kann sich auch auf die Netzwerkleistung auswirken.

Schließlich gibt es noch etwas Neues: HTTP Strict Transport Security (HSTS). Der spezifizierte Mechanismus befindet sich noch im Draft-Stadium, doch haben ihn einige Browser bereits eingebaut. Mit HSTS können Server ihre Clients davon in Kenntnis setzen, dass sie nur über einen sicheren Channel zugänglich sind. Somit haben Site-Betreiber die Möglichkeit, dem Browser eines Nutzers zuzusichern, dass jede künftige Kommunikation mit der Site sicher ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*