Sich in fremde Facebook-Account einloggen mit FireSheep – so gehts und so schützt man sich

Update Dezember 2011:
Aus den folgenden Ausführungen ist ein kleiner Artikel für das Webstandards-Magazin entstanden. Für eine größere Version draufklicken:

Webstandards Magazin 12/2011, S. 75.

* * * 

In Deutschland machte in den letzten Tagen die Angst vor FireSheep die Runde. Tatsächlich scheint mir nach einigen Tests dieses Tool bedenklich und bemerkenswert zugleich. Worum geht es?

FireSheep ist eine Erweiterung für den Firefox-Browser. Entwickelt wurde sie von Eric Butler, der auf seiner Seite angibt, damit aufzeigen zu wollen, was für ein Problem Facebook und andere soziale Netzwerke oder auch Online-Email-Services haben.

Konkret ermöglich einem FireSheep, die Identität von Usern zu übernehmen, welche sich im gleichen Netzwerk auf Facebook einloggen.

Wie geht das?

  1. Man lädt die Erweiterung hier runter und installiert sie gemäß den Anweisungen.
  2. Die Erweiterung kann in Firefox unter Ansicht–>Sidebar sichtbar gemacht werden.
  3. Man drückt auf »Start Capturing« und wartet darauf, dass sich jemand, der mit dem gleichen WLAN verbunden ist, einloggt. Das sieht dann so aus:


Alle Konten, die links zu sehen sind, können benutzt werden. Man kann also alles tun, was die betreffenden User bei Facebook auch tun würden, also Status ändern, Freunde annehmen, Freunde entfreunden, Bilder hoch- und runterladen etc. Das geht nicht nur, wenn jemand bei Facebook eingeloggt ist, sondern auch schon nur beim Drücken auf den »Like«-Button etc. Und nicht nur bei Facebook, sondern auch, wenn jemand online Gmail-Mails liest etc. Selbstverständlich dürfte es kaum legal sein, fremde Mails zu lesen, Facebook-Accounts zu missbrauchen – das habe ich übrigens beim Erstellen dieses Beitrags auch nicht getan.

Das Problem ist, dass beim Übermitteln des Passworts dieses zwar verschlüsselt wird (man kann sich also nur so lange eines fremden Accounts bemächtigen, wie die andere Person nicht angemeldet ist), nicht aber alle anderen Daten, welche gesendet oder empfangen werden. Das nutzt FireSheep aus.

Und nun die entscheidende Frage – wie schützt man sich davor?

  1. Man sollte sich nur noch auf https://facebook.com einloggen. s steht dabei für eine Verschlüsselungstechnik,
  2. Man sollte, wenn immer möglich, in öffentlichen oder unverschlüsselten WLANs eine Verbindung per VPN herstellen.
  3. Oder aber sich nur zuhause bei sensiblen Diensten anmelden.

Bei mspro gibts weitere Hinweise zum Umgang mit Firesheep und zur Sicherheit.

10 thoughts on “Sich in fremde Facebook-Account einloggen mit FireSheep – so gehts und so schützt man sich

  1. Detail am Rande: AFAIK ist Gmail stets verschluesselt. Nichtsdestotrotz, die Startseite (mit Suchfeld) uebermittelt die E-mail-Adresse (und weitere Teile von personalisierten Google-Diensten) unverschluesselt, was natuerlich die Identitaet des fremden Nutzers verraet.

  2. Bin anscheinend gestern Opfer von jemanden aus Paris geworden,aber Facebook hats gerafft und ich mußte im endeffekt ein neues Passwort erstellen,aber ich schätz mal das wird mir in diesem Fall dann nicht viel nützen :-(

  3. Bei mir hatte sich jemand in Facebook und StudiVz eingeloggt, ich hatte die Passwörter geändert aber ich benutze kein WLAN, sonder Kabelverbindung.

    Ich habe ein bisschen Angst, dass sich dieser jemand auch woanders eingeloggt hat, wie kann ich das herausfinden?

  4. Pingback: Warnung vor WLAN-Spione « DrewJosh

  5. “(man kann sich also nur so lange eines fremden Accounts bemächtigen, wie die andere Person nicht angemeldet ist), nicht aber alle anderen Daten, welche gesendet oder empfangen werden. Das nutzt FireSheep aus.”

    sorry, aber den musst du mir nochmals erläutern: ich würde eher sagen: “man kann sich also nur so lange eines fremden Accounts bemächtigen, wie die andere Person angemeldet ist”

    schliesslich geht es ja um das sog. session-hijacking, über das cookie wird die session quasi vom andern “geklaut”… und eine session existiert nur solange der andere eben gerade eingeloggt ist, resp. kein session-timeout zum zuge kommt…

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ photo

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s