Wettrüsten beim Cookie-Klau-Tool Firesheep [Update]

Die Resonanz auf das Firefox-Plug-in Firesheep ist weiterhin gewaltig, weil es so einfach zu bedienen ist und weiterhin zahlreiche Dienste und damit auch Anwender verwundbar sind. Mit Firesheep kann sich ein Angreifer in öffentlichen Netzen Zugriff auf die Accounts anderer Netzwerknutzer verschaffen. Rund 673.000 Downloads zeigt der Zähler auf github.com bislang an.

Unterdessen machen sich Sicherheitsforscher Gedanken darüber, wie man Angriffe mit dem Tool erkennen, abwehren oder verfeinern kann. Der Sicherheitsdienstleister ZScaler hat zur Alarmierung von Anwendern das Firefox-Plug-in Blacksheep veröffentlicht. Es sendet gefälschte Cookies ins Netz und beobachtet, ob jemand mit dem mitgelesenen Cookie versucht, auf eine Webseite zuzugreifen. Geschieht dies, so setzt jemand im Netz Firesheep oder ähnliche Tools ein. Blacksheep blendet dann im Browser eine Warnung mit der IP-Adresse des Angreifers ein. Blacksheep beruht auf dem Quellcode von Firesheep.

Blacksheep funktioniert laut Zscaler unter Windows und Mac OS X, eine Linux-Version soll bald folgen. Unter Windows ist zusätzlich die Installation der Netzwerkbibliothek WinPcap erforderlich. Allerdings unterstützt WinPcap nicht jeden WLAN-Treiber, sodass Blacksheep nicht von jedem Windows-Anwender im WLAN nutzbar ist. [Update] Der Firesheep-Entwickler Eric Butler hält Blacksheep ohnehin für keine sinnvolle Lösung, da Angreifer die eigenen Verbindungen vor Blacksheep verbergen oder ein anderes Tools benutzen könnten. [Update]

Das Unternehmen Antago hingegen hat eine Anleitung vorgestellt, wie man mit Firesheep auch in geswitchten Netzen auf einfache Weise Cookies sammeln kann. Standardmäßig ist Firesheep bislang auf geteilte Übertragungsmedien, also etwa unverschlüsselte WLANs, beschränkt, beziehungsweise auf solche, in denen alle den gleichen Schlüssel benutzen. Dann kann jeder alle Pakete im WLAN mitlesen.

In kabelgebundenen, geswitchten Netzwerken sieht man normalerweise nur den eigenen Datenverkehr und nicht den der anderen Anwender. Mit ARP-Spoofing kann man aber den Verkehr anderer PCs über seinen PC umleiten (MiTM), indem man den ARP-Cache anderer Systeme und die Zuordnung von Mac- zu IP-Adresse manipuliert. Weitere Infos zu ARP-Spoofing enthält der Artikel "Angriff von innen – Technik und Abwehr von ARP-Spoofing-Angriffen " auf heise Security.

Antagos Anleitung zeigt, wie man ein frei verfügbares ARP-Spoofing-Tool mit einem kleinen Windows-Programm und Firefox kombiniert. Ein Klick genügt dann, um den Datenverkehr eines bestimmten PC mitzulesen und Cookies zu sammeln. Neu ist diese Angriffsvariante nicht, sie ist aber auch für weniger fortgeschrittene Nutzer leicht nachvollziehbar. Vermutlich dürften Angriffsversuche mit Firesheep demnächst in Unternehmensnetzen verstärkt zu beobachten sein. Antego will mit seiner Anleitung nach eigener Aussage Webseiten wie Facebook, Wer-kennt-wen, StudiVZ und anderen zu einer (schnelleren) Sicherung ihre Seiten bewegen.

Microsoft will noch in diesem Jahr seine Mail-Dienste auf SSL umstellen, Facebook irgendwann in den nächsten Monaten. (dab)