Plugin gegen "Krümelmonster"
"Cookie Monster" soll im WLAN Cookies klauen können, selbst wenn sich das Opfer etwa bei Google verschlüsselt angemeldet hat. Die aktuelle Version von NoScript soll dem Angriff vorbeugen können.
- Daniel Bachfeld
Für den von Mike Perry auf der vergangenen Defcon beschriebenen Cookie-Klau gibt es nun eine erste Beschreibung des angekündigten automatischen Tools Cookie Monster. Perry hat allerdings bislang nur Konfigurationsdateien und READMEs dazu veröffentlicht, das Tool selbst soll aber in Kürze als Quellcode erscheinen.
Cookie Monster lauscht im WLAN mit und leitet Verbindungen des Opfers über den Rechner des Angreifers um, um in aufgerufene Webseiten zusätzliche Seitenaufrufe über unverschlüsselte Verbindungen zu verursachen. Das dabei etwa zu Google übertragene Cookie kann Cookie Monster nun mitlesen, selbst wenn das Opfer sich ursprünglich über eine gesicherte Verbindung bei Google angemeldet hat und das Cookie zuerst per SSL übertragen wurde. Der Angreifer kann sich mit dem Cookie nun bei Google anmelden und beispielsweise auf die Mail oder Dokumente seines Opfers zugreifen.
Abhilfe gegen solche Angriffe verspricht ab Version 1.8.0.5 das Firefox-Plugin NoScript durch die Option "Forced Secure Cookies". Damit überprüft NoScript laut Beschreibung alle empfangenen Set-Cookie-Header über verschlüsselte Verbindungen und setzt gegebenenfalls das Sicherheitsflag für das Cookie, bevor der Browser es speichert. Dies verhindert nämlich, dass der Browser das Cookie für ungesicherte Verbindungen verwenden darf – NoScript holt nach, was viele Sites nicht setzen. Allerdings hilft dies nicht bei Seiten, die das Cookie bereits vor dem Wechsel zu einer gesicherten Verbindung übertragen. Bei Google Mail soll dies aber nicht der Fall sein.
Update:
Das neue NoScript-Feature "Forced Secure Cookies" sorgt auch für Probleme. Setzt beispielsweise eine Site bei einer verschlüsselten Anmeldung via https ein Session-Cookie, verwendet für die normalen Seite aber unverschlüsselte http-Seiten, dann kommt dort das Session-Cookie nicht mehr an. Für den Anwender sieht es aus, als wäre die Anmeldung fehlgeschlagen.
Dies ist unter anderem bei den heise online-Foren der Fall. Um die Übertragung des Passworts abzusichern, erfolgt die Anmeldung auf einer verschlüsselten https-Seite. Die Foren-Seiten selbst sind jedoch aus Performance-Gründen unverschlüsselt. Abhilfe schafft es, "*.heise.de" auf die Ausnahmeliste zu setzen. Gegen den Missbrauch von möglicherweise geklauten Session Cookies schützt die standardmäßig aktive Funktion "Auf IP-Adresse beschränken".
Siehe dazu auch:
- Ausspioniert trotz Verschlüsselung, Bericht auf heise Security
- CookieMonster Core Logic, Configuration, and READMEs, Meldung von Mike Perry
- CookieMonster NoScript vs Insecure Cookies, Meldung von Giorgio Maone
(dab)