Liebe Leserinnen und Leser,
auf der Security-Konferenz Toorcon im Oktober stellte Eric Butler http://codebutler.com ein neues Tool namens Firesheep vor und machte sich damit bei vielen Website-Betreibern richtig unbeliebt. Es ist eine Firefox-Extension, die es möglich macht, auf Knopfdruck die Web-Sessions anderer Anwender zu übernehmen, indem das Tool den Traffic mitschneidet und die Authentisierungs-Cookies speichert.
Als Einsatzszenario waren insbesondere unverschlüsselte WLANs gedacht, wie man sie bei vielen kommerziellen Anbietern in Cafés und auf Flughäfen antrifft: Zwar findet die Bezahlung meistens verschlüsselt statt, danach fliegen die Datenpakete aber klar lesbar durch die Luft. Diese Tatsache machte sich Firesheep nicht als erstes Tool zu Nutze. Aufsätze, die das Problem des HTTP-Session-Hijacking beschreiben, gab es beispielsweise schon 2004, wie Butler selbst feststellt. Selten wurde es Anwendern aber so einfach gemacht wie mit Firesheep.
"Musste das wirklich sein", stöhnen die betroffenen Betreiber auf, aber Butler rechtfertigt sich damit, er habe nur möglichst deutlich auf das Problem hinweisen wollen. Und das ist ihm zweifellos gelungen. Der Firesheep-Programmierer gibt in seinem Blog eine Reihe von Hinweisen, wie das Problem an der Wurzel zu packen sei: Surfen über das Tor-Netzwerk, SSH- oder VPN-Tunnels und konsequenter Einsatz von SSL-Verschlüsselung auf sensiblen Websites.
Als vorbildlich hebt er Google Mail heraus, das schon seit längerem den kompletten Traffic über SSL verschlüsselt. Auch Microsofts Hotmail bietet mittlerweile SSL, aber nur als optionales Feature, das Anwender eigens aktivieren müssen. Das sei eher unwahrscheinlich, mein Butler, man müsse die User quasi zu ihrem Sicherheitsglück zwingen. Der Git-Hosting-Provider Github reagierte schnell, erst mit einem kurzfristigen Bugfix und dann ebenfalls mit SSL-Verschlüsselung. Manche Anwender ärgerten sich auch dann wieder, denn auf einmal mussten selbst Kommandozeilentools wie Wget mit Zertifikaten umgehen, was spätestens dann zum Problem wird, wenn selbstsignierte Zertifikate ins Spiel kommen.
Wer als Anbieter möglichst sichergehen will, sollte jedenfalls SSL einsetzen, wenn Authentifizierungsdaten im Spiel sind. Ein ebenfalls in Butlers Blog verlinktes Dokument der Google-Techniker mit dem Titel "Overclocking SSL" gibt Tipps zum praktischen Einsatz und macht mit dem Mythos Schluss, dass SSL jeden Server über alle Maßen belastet. Bleibt nur noch zu hoffen, das die OpenSSL-Bibliothek aufhört durch eigene Bugs Schlagzeilen zu machen.
Viel Spaß beim Lesen des Hefts wünscht