[bola]

Zitat:

Nie war Identitätsdiebstahl einfacher: Mit einem simplen Hackprogramm kann sich jetzt jeder in Facebook-, Amazon-, Ebay-Konten anderer Menschen einloggen. Außerdem im Überblick: Code-Sperre auf neuen iPhones ist kein Hindernis und angeblich gehen täglich 25.000 Filesharer-Beschwerden bei Hadopi ein.

Bereits über 125.000 Möchtegern-Hacker haben ein Programm heruntergeladen, mit dem sie sich via W-Lan bequem in fremde Konten von Mitgliedern sozialer Netzwerke wie Facebook, Twitter, Flickr, aber auch Webshops wie Amazon und Ebay oder Netzdienste wie Google einloggen können. Dazu scannt das Programm ungeschützte Netzwerke - etwa unverschlüsselte W-Lan-Funknetze! - und listet die Mitgliedschaften der angeschlossenen Netzwerkteilnehmer auf dem Täter-Computer auf. Ein Klick genügt und der vermeintliche Hacker kann sich im fremden Facebook-Konto austoben, Terror-Einkäufe bei Amazon tätigen oder die Ebay-Reputation mit Sammelkäufen ruinieren.

Die Angriffsmethode ist nicht neu - das Programm fischt die unverschlüsselten Cookie-Dateien aus den W-Lan-Übertragungen und gibt sich damit etwa als legitim eingewählter Facebook-Surfer aus; im Grunde tat Google nichts anderes, als es W-Lan-Daten en passant abhörte. Aber die Konsequenzen sind weitreichend: Niemals war Identitätsdiebstahl auch für Computeranfänger so einfach. Wer jetzt noch ein ungeschütztes W-Lan betreibt oder sich in ungeschützte W-Lans, etwa im Cafe oder am Flughafen, einwählt, riskiert, dass Fremde sich in seine Online-Konten hacken. Mit dem Download der Firefox-Erweiterung Firesheep ist für den Angreifer fast alles getan.

Firesheep steht mit offenem Quellcode auf der Programmierer-Plattform Github kostenlos zum Download, der Programmierer Eric Butler tritt mit Klarnamen in der Presse auf. Im Gespräch mit dem Techcrunch-Blog erklärte Butler, mit seinem Hack habe er auf eine uralte Sicherheitslücke aufmerksam machen wollen (andere gute Hacker begrüßten die Veröffentlichung von Firesheep bereits als "nützlich"). In seinem Blog erklärt Butler: "Das Problem ist überall bekannt und wurde schon zu Tode diskutiert, und trotzdem schaffen es sehr erfolgreiche Websites immer noch nicht, ihre Kunden zu schützen."

Dabei ist die Lösung so einfach: Verschlüsselte Internetverbindungen überall. Das Problem ist, dass herkömmliche Web-Daten unverschlüsselt über das HTTP-Protokoll übertragen werden. Mit HTTPS gibt es längst auch verschlüsselte Verbindungen - die aber langsamer sind, weswegen viele Websites sie nicht einsetzen, um ihre Besucher nicht mit Wartezeiten zu vergraulen. Genau diese Verschlüsselung wäre aber für relativ sicheres Surfen nötig. Die amerikanische Bürgerrechtsorganisation EFF hat deswegen das Sicherheitsprogramm " HTTPS Everywhere" ins Netz gestellt, das HTTPS auf vielen großen Websites erzwingt, etwa Google Search, Twitter, Facebook, Amazon, GMX, Paypal.

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[A Six Dollars Diner]

wer auch so dumm ist und sein WLAN nicht sicher! selber Schuld!

[Dead Space]

Jup, also wer hat heute noch sein Heimnetzwerk oder auch im Cafe völlig unverschlüsselt und ohne Schutz? Da muss man schon ziemlich naiv sein.

[Sâilence]

Ich habe auch sehr viele im Bekanntenkreis die es nicht einsehen ihr WLAN zu verschlüsseln... ich schüttel auch bei jedem Besuch den Kopf wenn ich frage wie es mittlerweile mit WPA2 oder ähnlichen aussieht. Antwort ist meistens immer son standard Satz "Brauchen wir nicht - bringt eh nix, leute die reinwollen kommen auch mit WPA2 rein" ...

Ich sag ja selber auch nicht, wenn die Spermien jemanden Schwängern wollen kommen sie am Kondom vorbei, deshalb benutz ich erst gar keins

[Prince]

Zitat:

Mit Firesheep steht ab sofort eine Erweiterung für den Browser Firefox zur Verfügung, die es ermöglicht, die Daten von anderen Nutzern abzufangen, die sich im selben Netzwerk aufhalten.

Die Software fängt so genannte Session-Cookies ab. Dabei handelt es sich um Daten, die zwischen Server und Browser ausgetauscht werden, um den Nutzer zu identifizieren. Grundsätzlich ermöglichen sie es, dass sich die Anwender nicht bei jedem Seitenabruf neu anmelden müssen, sondern eingeloggt bleiben.

Diesen Datenaustausch zwischen Server und Browser kann man mit Hilfe der richtigen Hilfsmittel natürlich auch abfangen und verwenden. Firesheep vereinfacht diesen recht komplizierten Vorgang. Die Sessions von Nutzern im gleichen Netzwerk lassen sich ausspähen, um unter fremden Benutzernamen auf bestimmte Dienste wie beispielsweise Facebook zuzugreifen.

Der Firesheep-Entwickler Eric Butler will nach eigenen Angaben auf die Sicherheitsprobleme populärer Websites wie Twitter und Facebook aufmerksam machen. Voraussetzung für die Nutzung ist ein Netzwerk, das man sich mit anderen Leuten teilt, beispielsweise in einem Café oder einer anderen öffentlichen Einrichtung.

Ein wirksamer Schutz ist das Tool HTTPS Everywhere von der Electronic Frontier Foundation (EFF). Es erzwingt durch eine HTTPS-Verbindung die Abfrage des Passworts auf den Websites, bei denen sich mit Firesheep die Sessions ausspähen lassen. Hat man das Passwort eingegeben, wird wieder auf HTTP gewechselt, so dass man nicht mit jedem Klick auf einer Website das Passwort neu eingeben muss.

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[L´Air]

Wenn man sein Heimnetzwerk nicht verschlüsselt sollte man sich nich wundern, wenn z.B. auf einmal irgenwas auf der Ebayrechnung steht oder das Facebookprofil gehackt wurde. Aber wenn einer wirklich in dein Netzwerk rein will kommt er auch rein. Aber die meisten die sowas machen suchen sich ja " leichte Opfer" .

[P@nic]

w-lan kommt mir eh nicht ins haus!

[xXUnbelievableXx]

Verstehe ich auch nicht wie man immernoch unverschlüsselte (ungesicherte) W-LAN Netze betreiben kann im privat Bereich.

[Morninghammer]

Auch wenn der Thread ausgegraben wurde...

@xXUnbelievableXx
Zumal man dazu wohl bei 99% der Router die Sicherheitsfunktion erstmal AUSschalten müsste^^
Sind doch eigentlich alle von Werk aus gesichert.