US-CERT warnt vor unsicheren Cookies

Das amerikanische CERT warnt vor einem Sicherheitsproblem, das vor allem in unsicheren Netzen wie zum Beispiel an WLAN-Hotspots zum Tragen kommt und dazu führen kann, dass Angreifer die Accounts ihrer Opfer komplett übernehmen können. Die Problematik als solche ist nicht neu und durchaus bekannt; das CERT will sie wohl den Anwendern wegen der Veröffentlichung von Tools wie Ferret erneut ins Bewusstsein rufen. Das auf der letzten Blackhat-Konferenz vorgestellte Tool sammelt in Funknetzen unter anderem Session-Cookies ein.

Bei vielen Diensten wie beispielsweise Google Mail, erfolgt zwar die Anmeldung verschlüsselt, sodass Lauscher im Netz die Zugangsdaten, also insbesondere das Passwort, nicht mitlesen können. Der eigentliche Zugriff auf den Dienst erfolgt dann jedoch oft aus Performance- und damit Kosten-Gründen unverschlüsselt. Um die nachfolgenden Zugriffe des Web-Browsers einer Sitzung zuzuordnen, setzt die Web-Site bei der Anmeldung ein Session-Cookie, das der Browser dann bei jedem weiteren Zugriff an den Server sendet.

Gelingt es einem Angreifer, ein solches Session-Cookie abzufangen, kann er damit unter Umständen die Sitzung des Users komplett übernehmen und auch ohne das Passwort zum Beispiel dessen Mail lesen. Überhaupt kann er alles, was keine erneute Eingabe des Passworts erfordert. Wenn das Cookie lange gültig ist und vom Web-Server nicht – etwa beim Abmelden – entwertet wird, kann der Übeltäter damit auch über einen längeren Zeitraum sein Unwesen treiben. Besonders gefährdet sind Nutzer von WLAN-Hotspots, weil jeder im gleichen Funknetz unverschlüsselt gesendete Daten einfach mitlesen kann. Aber auch in fest verkabelten Netzen kann ein Angreifer, der am gleichen Switch hängt, die Übertragung der Daten beispielsweise über ARP-Spoofing belauschen.

Das US-CERT will dieses Risko insbesondere auf den Web-Sites von Microsoft, Google und Yahoo ausgemacht haben; ob eBay und Myspace anfällig sind, ist derzeit noch unklar. Es gibt eine Reihe von Techniken, sich gegen dieses Angriffsszenario zu schützen. So hilft es beispielsweise, wenn man, wie es beispielsweise im Heise-Forum möglich ist, eine Sitzung an eine IP-Adresse koppeln kann. Einen Angreifer hinter dem selben NAT-Router hält das jedoch nicht ab; er erscheint nach außen ohnehin mit der selben IP-Adresse, nämlich der des Routers.

Wirklich vollständigen Schutz bietet nur die Verschlüsselung der kompletten Sitzung. Bietet der Dienstbetreiber das nicht an, können sich beispielsweise Hotspot-Nutzer vor dem neugierigen Nachbarn im Funknetz schützen, indem sie ihren kompletten Verkehr durch einen VPN-Tunnel leiten. Damit bleibt zwar der Übertragungsweg vom VPN-Endpunkt zum Web-Server ungeschützt. Aber zum Mitlauschen wäre dort dann schon Zugriff auf die Infrastruktur der Provider beziehungsweise Backbones erforderlich.

Siehe dazu auch:

• Web sites may transmit authentication tokens unencrypted Sicherheitsnotiz des US-Cert

(odi)