Sich in fremde Facebook-Account einloggen mit FireSheep – so gehts und so schützt man sich

Update Dezember 2011:
Aus den folgenden Ausführungen ist ein kleiner Artikel für das Webstandards-Magazin entstanden. Für eine größere Version draufklicken:

Webstandards Magazin 12/2011, S. 75.

* * * 

In Deutschland machte in den letzten Tagen die Angst vor FireSheep die Runde. Tatsächlich scheint mir nach einigen Tests dieses Tool bedenklich und bemerkenswert zugleich. Worum geht es?

FireSheep ist eine Erweiterung für den Firefox-Browser. Entwickelt wurde sie von Eric Butler, der auf seiner Seite angibt, damit aufzeigen zu wollen, was für ein Problem Facebook und andere soziale Netzwerke oder auch Online-Email-Services haben.

Konkret ermöglich einem FireSheep, die Identität von Usern zu übernehmen, welche sich im gleichen Netzwerk auf Facebook einloggen.

Wie geht das?

  1. Man lädt die Erweiterung hier runter und installiert sie gemäß den Anweisungen.
  2. Die Erweiterung kann in Firefox unter Ansicht–>Sidebar sichtbar gemacht werden.
  3. Man drückt auf »Start Capturing« und wartet darauf, dass sich jemand, der mit dem gleichen WLAN verbunden ist, einloggt. Das sieht dann so aus:


Alle Konten, die links zu sehen sind, können benutzt werden. Man kann also alles tun, was die betreffenden User bei Facebook auch tun würden, also Status ändern, Freunde annehmen, Freunde entfreunden, Bilder hoch- und runterladen etc. Das geht nicht nur, wenn jemand bei Facebook eingeloggt ist, sondern auch schon nur beim Drücken auf den »Like«-Button etc. Und nicht nur bei Facebook, sondern auch, wenn jemand online Gmail-Mails liest etc. Selbstverständlich dürfte es kaum legal sein, fremde Mails zu lesen, Facebook-Accounts zu missbrauchen – das habe ich übrigens beim Erstellen dieses Beitrags auch nicht getan.

Das Problem ist, dass beim Übermitteln des Passworts dieses zwar verschlüsselt wird (man kann sich also nur so lange eines fremden Accounts bemächtigen, wie die andere Person nicht angemeldet ist), nicht aber alle anderen Daten, welche gesendet oder empfangen werden. Das nutzt FireSheep aus.

Und nun die entscheidende Frage – wie schützt man sich davor?

  1. Man sollte sich nur noch auf https://facebook.com einloggen. s steht dabei für eine Verschlüsselungstechnik,
  2. Man sollte, wenn immer möglich, in öffentlichen oder unverschlüsselten WLANs eine Verbindung per VPN herstellen.
  3. Oder aber sich nur zuhause bei sensiblen Diensten anmelden.

Bei mspro gibts weitere Hinweise zum Umgang mit Firesheep und zur Sicherheit.

Die WAP-Abzocke – die TEDs von SF (auch eine Anleitung)

Die Sportübertragungen des Schweizer Fernsehens blenden regelmäßig Aufforderungen ein, man solle sich an TEDs beteiligen, bei denen auch attraktive Preise verlost würden, beispielsweise ein Auto. Die Teilnahme kann auf zwei Arten erfolgen: Die zweite Möglichkeit muss Usern angeboten werden: Denn man darf nur Gewinnspiele anbieten, wenn eine kostenlose Teilnahmemöglichkeit besteht.

Diese Gewinnspiele (oder TEDs) dienen natürlich als Einnahmequelle für SF. Deshalb wurde und wird ein Weg gesucht, wie man die Gratisteilnahme möglichst unattraktiv gestalten kann. WAP ist dieser Weg: Wer erinnert sich schon an diese Bananenhandys von Nokia, die sowas wie Internet hatten? Genau, das war WAP.

* * *

Und jetzt kommt die Anleitung, wie man in einem normalen Browser (ich gehe mal von Firefox aus) WAP-Links öffnen kann – um so gratis an diesen Gewinnspielen teilzunehmen (Update: Das Problem »Unbekannter Gerätetyp« ist gelöst, danke PcTipp!):

  1. Firefox installieren.
  2. Die Erweiterung wmlbrowser hier installieren.
  3. Die Erweiterung XHTML Mobile Profile installieren.
  4. Die Erweiterung Modify Headers installieren.
  5. Firefox neu starten.
  6. Menu: Extras/Modify Headers – dann:
    Drop Down-Menu oben links: »modify«
    erstes Kästchen: user-agent
    zweites Kästchen: SonyEricssonW810i/R4CE Browser/NetFront/3.3 Profile/MIDP-2.0 Configuration/CLDC-1.1
  7. WAP-Links wie z.B. wap.5gegen5.sf.tv können nun direkt im Browser geöffnet und bearbeitet werden.

* * *

Auch die Idee zu diesem Beitrag ist nicht von mir, sie sei bei Luke herzlich verdankt (siehe Kommentare). (Die Anleitung ist von mir.) Hier der Artikel des Ideengebers – ein Artikel, der nie erschienen ist:

Bis zu 20000 Franken winken den Teilnehmern bei Gewinnspielen in Sendungen des Schweizer Fernsehens SF– etwa in den populären Spielshows «Deal or no Deal» oder «1 gegen 100». Der einfachste Weg um mitzumachen, führt über eine gebührenpflichtige Telefonnummer oder SMS. Kosten pro Versuch: 80 Rappen.
Die Lotteriverordnung verlangt bei solchen Gewinnspielen eine Möglichkeit zur Gratisteilnahme. SF bietet deshalb den Zuschauern an, über WAP mitzuspielen. Nutzen kann das nur, wer ein Handy hat, das sich über WAP ins Internet einwählen kann. Bloss: Viele Mobiltelefone der neusten Generation können mit der veralteten WAP-Technologie nichts mehr anfangen. Wer etwa mit dem iPhone von Apple beim SF gratis mitzocken will, kriegt eine Fehlermeldung. Auch über einen normalen Computer kann man nicht mitspielen.
Der Verdacht liegt nahe: Die Gratisteilnahmemöglichkeit, ist so angelegt, dass sie wenig genutzt wird – und beim Schweizer Fernsehen die Kasse möglichst kräftig klingelt. «Dass Wettbewerbsanbieter eine Gratisteilnahme nur über WAP anbieten, ist unschön,» sagt X X, von der Lotterie- und Wettkommission Comlot. Die Kommission überwacht die Einhaltung der Vorschriften des Lotteriegesetzes.
Das Bundesgericht hat zwar entschieden, dass eine Gratis-Teilnahmemöglichkeit per WAP genügt. Trotzdem sagt X: «So verkommt die Gratisteilnahmemöglichkeit zur Farce. Eine einfache Teilnahmemöglichkeit über Internet wäre wünschenswert.» Z vom Konsumentenschutz doppelt nach: «Das Schweizer Fernsehen als gebührenfinanzierter Sender soll bei Gewinnspielen eine einfache Gratisteilnahmemöglichkeit schaffen, die von allen genutzt werden kann.»
Eine andere Taktik um mit Gewinnspielen Geld zu verdienen, wählt die Zeitung Blick beim aktuellen «Mega-Los-Spiel»: Die Gratisteilnahme ist derart kompliziert, dass kaum einer die Mühe auf sich nehmen dürfte: Wer ohne einen Blick zu kaufen, um die Preise von insgesamt 400000 Franken mitspielen will, muss sich im Internet registrieren. Dann erhält er per SMS einen Code, mit dem er wiederum im Internet eine Losnummer beziehen kann. Nun muss er sich über WAP ein zweites Mal registrieren um wiederum per SMS einen Code zur Gratisteilnahme zu krigen. Diesen Code muss er nun zusammen mit der Losnummer per SMS einsenden. Wer hingegen bereit ist einen Franken zu zahlen, kann mit einer einzigen SMS oder einem Mausklick mitmachen.
X von der Comlot hat für solche Praktiken kein Verständnis: «Weil die Gratisteilnahme derart aufwändig und kompliziert ist, liegt der Anteil an Gratisteilnehmern oft lediglich im Bereich von wenigen Prozenten. Das war nie die Idee des Gesetzgebers.» Wegen des Bundesgerichturteils seien der Comlot aber die Hände gebunden. Wirklich etwas ändern dürfte sich erst mit dem neuen Lotteriegesetz. Doch weil sich die Kantone querlegen, ist die Vorlage seit 2004 sisitert. Mit einem neuen Entwurf wird erst 2011 gerechnet.
Sowohl das Schweizer Fernsehen wie auch die Firma Ringier berufen sich bei ihren Gewinnspielen darauf, dass gemäss Bundesgerichtsurteil eine Gratisteilnahmemöglicheit per WAP ausreicht. N vom SF betont, dass WAP-fähige Handys immer noch weiter verbreitet sind als smartphones. «WAP- Internetseiten sind zudem resistenter gegen Manipulationen als normale Internetseiten.» M von Ringier weist darauf hin, dass die Gratisteilnahme beim Blick-Wettbewerb auch mit den neusten Smartphones möglich sei.
Ob die Unternehmen mit den Gewinnspielen Geld verdienen, wollen sie nicht bekanntgeben.

Zur Krise der Medien – Ein Beispiel: Das Magazin

Die WoZ dieser Woche ist als »WoZ Spezial« erschienen – und behandelt die Krise der Medien: Eine Krise, die nicht nur durch den Einbruch am Werbemarkt entstanden ist, sondern aus mehreren Gründen zu einer Erosion journalistischer Standards und zu einer Preisgabe der Wertschätzung und des traditionellen Selbstverständnisses von Journalisten, wie Kurt Imhof im Interview mit der NZZ festgehalten hat. In einer Umfrage hat er ermittelt, dass gerade den News-JournalistInnen von Gratiszeitungen und Lokalradios klassische journalistische Werte fehlten, sie sich andererseits aber mit ihrem Beruf identifizierten, und so, wenn sie zu »seriöseren« Medien wechseln, dieser Kultur mitnehmen. Imhof bilanziert:

Das braucht es: Zunächst die Erinnerung an die uralte Einsicht der liberalen Aufklärungsbewegung, dass die Qualität der öffentlichen Kommunikation die Qualität der Demokratie bedingtes braucht auch die ebenso alte Einsicht, dass diese Aufgabe weder ein blosses Geschäft noch eine Aufgabe des Staats sein kann. Daraus folgt auf der strukturellen Seite die Reduktion der Abhängigkeit des Qualitätsjournalismus von Werbeeinnahmen, und zwar durch öffentliche Mittel und Stiftungsmittel sowie durch eine Steigerung der Verkaufspreise, durch den Abbau der Selbstkannibalisierung des Journalismus durch Gratismedien und durch die Lösung der indirekten Bindung der Einnahmen des öffentlichen Rundfunks an Einschaltquoten. Auf der kulturellen Seite ist ein gesteigertes Qualitätsbewusstsein für Journalismus aufseiten der Macher wie des Publikums Voraussetzung wie Produkt der genannten strukturellen Massnahmen.
Zurück zur WoZ. In der Analyse der sich immer mehr verschiebenden Schnittstelle PR – Journalismus bemerkt Susan Boos einleitend:
Der König hält sich Hofberichterstatter, der Diktator verfügt Zensur, und die Demokratie braucht kritischen, unabhängigen Journalismus, würde man meinen. Inzwischen ist aber vieles durcheinandergeraten wie zum Beispiel beim «Magazin» des «Tages-Anzeigers» vom 7. November. Auf dem Titelblatt sind lange Beine in Stilettos abgebildet, nur Beine, kein Kopf. Auf der nächsten Seite zwei dünne Frauen, viel Bein und Stilettos. Auf Seite drei kommt das eigentliche Titelblatt mit einem älteren Herrn in Trenchcoat, darunter das Zitat: «Auschwitz war für mich ein Gewinn.»

Das sitzt: «H&M»-Werbung verschränkt mit Auschwitz. Der ungarische Schriftsteller und Nobelpreisträger Imre Kértesz, der Auschwitz überlebt hat, muss gegen die mageren Models des Modehauses antreten – das lässt sich kaum toppen.

Doch wem fällt es noch auf?
Antwort: Mir ist das heute aufgefallen, und zwar erstens wieder auf der verdammten Titelseite (ich würde gerne eine andere Wortwahl vornehmen, aber es gelingt mir nicht: Wie kann Das Magazin die Titelseite verkaufen?):
Und zweitens beim Text von Daniel Binswanger. Zwar setzt er sich gewohnt kritisch-fundiert mit der Rolle der Schweizer Großbanken auseinander, nennt aber sowohl UBS als auch CS im Titel und siehe da – beim Stichwort »Lobbying-Offensive« platziert die CS doch auch gleich ein Inserat neben diesem Artikel. Die Frage, ob das Huhn (der Text) oder das Ei (die Inserentin) zuerst gewesen seien, drängt sich beängstigenderweise auf.
Es bleibt: Das werbefreie Internet (Kurzanleitung: Firefox installieren, AdBlockPlus installieren, Filterliste abonnieren, fertig) – bei dem zwar Artikel von Inserierenden eingekauft sein mögen – und die WoZ.
Noch ein P.S.: