Tag: Facebook hacken

Sich in fremde Facebook-Account einloggen mit FireSheep - so gehts und so schützt man sich

Veröffentlicht in 1. November 2010 21:37 von

Update Dezember 2011:
Aus den folgenden Ausführungen ist ein kleiner Artikel für das Webstandards-Magazin entstanden. Für eine größere Version draufklicken:

Webstandards Magazin 12/2011, S. 75.

* * *

In Deutschland machte in den letzten Tagen die Angst vor FireSheep die Runde. Tatsächlich scheint mir nach einigen Tests dieses Tool bedenklich und bemerkenswert zugleich. Worum geht es?

FireSheep ist eine Erweiterung für den Firefox-Browser. Entwickelt wurde sie von Eric Butler, der auf seiner Seite angibt, damit aufzeigen zu wollen, was für ein Problem Facebook und andere soziale Netzwerke oder auch Online-Email-Services haben.

Konkret ermöglich einem FireSheep, die Identität von Usern zu übernehmen, welche sich im gleichen Netzwerk auf Facebook einloggen.

Wie geht das?

  1. Man lädt die Erweiterung hier runter und installiert sie gemäß den Anweisungen.
  2. Die Erweiterung kann in Firefox unter Ansicht->Sidebar sichtbar gemacht werden.
  3. Man drückt auf »Start Capturing« und wartet darauf, dass sich jemand, der mit dem gleichen WLAN verbunden ist, einloggt. Das sieht dann so aus:


Alle Konten, die links zu sehen sind, können benutzt werden. Man kann also alles tun, was die betreffenden User bei Facebook auch tun würden, also Status ändern, Freunde annehmen, Freunde entfreunden, Bilder hoch- und runterladen etc. Das geht nicht nur, wenn jemand bei Facebook eingeloggt ist, sondern auch schon nur beim Drücken auf den »Like«-Button etc. Und nicht nur bei Facebook, sondern auch, wenn jemand online Gmail-Mails liest etc. Selbstverständlich dürfte es kaum legal sein, fremde Mails zu lesen, Facebook-Accounts zu missbrauchen - das habe ich übrigens beim Erstellen dieses Beitrags auch nicht getan.

Das Problem ist, dass beim Übermitteln des Passworts dieses zwar verschlüsselt wird (man kann sich also nur so lange eines fremden Accounts bemächtigen, wie die andere Person nicht angemeldet ist), nicht aber alle anderen Daten, welche gesendet oder empfangen werden. Das nutzt FireSheep aus.

Und nun die entscheidende Frage - wie schützt man sich davor?

  1. Man sollte sich nur noch auf https://facebook.com einloggen. s steht dabei für eine Verschlüsselungstechnik,
  2. Man sollte, wenn immer möglich, in öffentlichen oder unverschlüsselten WLANs eine Verbindung per VPN herstellen.
  3. Oder aber sich nur zuhause bei sensiblen Diensten anmelden.

Bei mspro gibts weitere Hinweise zum Umgang mit Firesheep und zur Sicherheit.