Überlegen Sie zweimal, bevor Sie sich mit kostenlosem WLAN-Zugang bei Facebook anmelden – es sei denn, es macht Ihnen nichts aus, wenn Schnüffler Ihr Profil lesen und möglicherweise ändern.
Ein Softwareentwickler hofft, Benutzer über die Gefahren der Verwendung ungesicherter WLAN-Netzwerke mit einem Computerprogramm aufzuklären, mit dem sich Facebook- und Twitter-Konten leicht hacken lassen.
Mit einem Download von Firesheep, einem Plug-In für Mozillas FireFox-Webbrowser, genügt Geduld und ein paar Klicks, um auf das Profil einer Person auf einer Vielzahl von Websites zuzugreifen, einschließlich der Foto-Sharing-Site Flickr und der WordPress-Blogging-Plattform.
Story continues below Werbung
Das Programm schnüffelt Log-ons über das Netzwerk und verbindet Firesheep Benutzer mit diesen Konten.
„Websites haben die Verantwortung, die Menschen zu schützen, die auf ihre Dienste angewiesen sind. Sie haben diese Verantwortung zu lange ignoriert, und es ist Zeit für alle, ein sichereres Web zu fordern „, schrieb Eric Butler aus Seattle in einem Blogbeitrag, in dem er sein Programm erläuterte.
Butler, der Interviewanfragen ablehnte, sagte, dass nicht alle Websites anfällig für Firesheep sind, aber zu viele Websites sind nicht sicher genug, um Hacker zu vereiteln. Während eingegebene Anmeldeinformationen geschützt sein können, sind die benutzeridentifizierenden Informationen in Cookies – kleine Textdateien, auf die Websites auf dem Computer eines Benutzers zugreifen – nicht geschützt.
„In einem offenen drahtlosen Netzwerk werden Cookies grundsätzlich durch die Luft geschrien, was diese Angriffe extrem einfach macht“, schrieb Butler.
„Die einzige effektive Lösung für dieses Problem ist die vollständige Ende-zu-Ende-Verschlüsselung, die im Web als HTTPS oder SSL bekannt ist.“
In etwas mehr als 24 Stunden wurde Firesheep mehr als 129.000 Mal heruntergeladen. Unter den Nutzern war Ian Robertson, ein IT-Profi in Ottawa, der seinen Laptop zu ein paar lokalen Coffee-Shops nahm das Programm eine Probefahrt mit einem Kollegen zu geben.
„Ich konnte ungefähr ein halbes Dutzend Konten auf Facebook sehen und mich tatsächlich in ihre Konten einloggen, alle ihre Fotos, alle ihre privaten Informationen, ihre Telefonnummern anzeigen – alles“, sagte Robertson.
Geschichte geht weiter unten advertisement
“ Nur für einen Test mit einem meiner Kollegen habe ich mich in sein Profil eingeloggt und konnte seinen Status in Single ändern. Und innerhalb von etwa 10 Minuten kommentierte seine Freundin und sagte: ‚Warum??“
Robertson sagte, er sei überrascht, wie einfach es zu bedienen sei, und befürchtete, dass andere es für weitaus bösartigere Zwecke herunterladen könnten als er.
„Du fühlst dich irgendwie mächtig, denke ich, als könntest du einfach da reingehen und wegspamen, wenn du willst“, sagte er.
Firesheep ist auf dem Radar des kanadischen Datenschutzbeauftragten, aber es gab keine öffentlichen Anfragen zu dem Programm und es laufen keine Ermittlungen, sagte Sprecherin Anne-Marie Hayden.
Sie hat zur Kenntnis genommen, dass das Gesetz über den Schutz personenbezogener Daten und elektronische Dokumente verlangt, dass Unternehmen Sicherheitsvorkehrungen zum Schutz personenbezogener Daten treffen.
„Personenbezogene Daten werden durch Sicherheitsvorkehrungen geschützt, die der Sensibilität der Informationen angemessen sind. Die Sicherheitsvorkehrungen sollen personenbezogene Daten vor Verlust oder Diebstahl sowie vor unbefugtem Zugriff, Offenlegung, Kopieren, Verwendung oder Änderung schützen“, heißt es in Abschnitt 7 des Gesetzes, in dem es auch heißt, dass der Schutz physische und technologische Maßnahmen umfassen sollte „zum Beispiel die Verwendung von Passwörtern und Verschlüsselung.“
„Da wir dieses Problem nicht untersucht haben, können wir nicht sagen, ob eine bestimmte Website gegen die Sicherheitsvorkehrungen des Gesetzes verstoßen hat“, sagte Hayden.
In einer Erklärung sagte Facebook, es arbeite daran, seine Verschlüsselung zu verbessern, und warnte vor den Risiken der Nutzung der Website über WLAN.
„Wir haben Fortschritte beim Testen des SSL-Zugriffs auf Facebook gemacht und hoffen, ihn in den kommenden Monaten als Option anbieten zu können“, heißt es in der Erklärung.
„Wie immer raten wir Menschen, beim Senden oder Empfangen von Informationen über ungesicherte Wi-Fi-Netzwerke Vorsicht walten zu lassen.“
Kris Constable, Gründer des in Victoria ansässigen Unternehmens PrivaSecTech, sagte, die Sicherheitsprobleme unsicherer drahtloser Netzwerke könnten für die breite Öffentlichkeit eine Neuigkeit sein, aber sie wurden lange Zeit von Hackern ausgenutzt.
Firesheep beseitigt nur die Eintrittsbarriere für Möchtegern-Hacker.
„Die Sache, die es getan hat, hat den Angriff viel schöner gemacht … es ist so, wie es in den Filmen aussieht „, sagte Constable.
Er hofft, dass Firesheep endlich genug Druck auf die Wirtschaftsführer ausüben wird, um in eine bessere Verschlüsselung zu investieren.
„Wenn Sie so etwas wie Verschlüsselung zu jeder Technologie hinzufügen, wird es Unternehmen mehr kosten, sie zu implementieren, so dass sie nicht motiviert sind, es zu tun, obwohl es die Menschen sicherer machen wird“, sagte er.
„Aber hoffentlich (Firesheep) wird Unternehmen zwingen, mehr Verschlüsselung zu verwenden, und ich denke, mit mehr Bewusstsein … die Leute werden tatsächlich anfangen zu denken: ‚Nun, wenn ich über sensible Dinge spreche, muss ich vielleicht anfangen, meine E-Mails zu verschlüsseln. Die Leute werden mit jeder Website, die sie besuchen, und jeder E-Mail, die sie senden, anfangen zu denken, ist es verschlüsselt oder nicht?“
Zum Schutz vor Hackern bei der Verwendung von Open WiFi empfiehlt Butler ein weiteres FireFox-Plug-In namens HTTPS-Everywhere, das von der Electronic Frontier Foundation entwickelt wurde. Es schützt vor Datenverlust bei der Nutzung von Websites wie Facebook, Twitter, Amazon, WordPress.com blogs und PayPal.