Neue Werkzeuge zum Datenklau in sozialen Netzwerken

Firefox-Plugin sammelt Sitzungs-Cookies von Webseiten, um dann die Sitzung im Browser des Opfers zu kapern

(10.11.10) - Mindestens zwei neue kostenlose, kriminelle Werkzeuge gibt es, mit denen der Diebstahl von Konten bei Facebook, Twitter oder von jeder anderen Web 2.0-Plattform praktisch über Drag-and-Drop möglich ist. Voraussetzung für den fragwürdigen Erfolg der Aktion: Der Nutzer surft über ungesicherte Verbindungen, etwa in einem Café oder am Flughafen. Kommen die Cyberkriminellen an die Anmeldeinformationen heran, erlangen sie damit die Kontrolle über die Nutzerkonten in sozialen Netzwerken und können sie damit für ihre Machenschaften missbrauchen.

Die Angriffe mithilfe dieser Tools sind einfach durchzuführen. Sobald ein User seinen Nutzernamen und das Kennwort beim Anmelden an einer Webseite eingegeben hat, erhält er ein so genanntes Cookie. Dabei handelt es sich um einen nach dem Zufallsprinzip generierten Marker, in der Fachsprache Token genannt, dessen passende Kopie nur der erfolgreich angemeldete Nutzer und die Webseite haben. Die neuen kriminellen Werkzeuge schnüffeln nun in ungesicherten Netzwerken und kapern diese Tokens, sobald die Webseite sie nach der Anmeldung an den Nutzer schickt, oder wenn dieser die nächste Seite anfordert. Mit dem Besitz des Tokens ist es ganz einfach, sich den Browser und die Sitzung anzueignen. Leider verschicken einige Webseiten die Anmeldeinfor-mationen immer noch im Klartext ohne Verschlüsselung!

Anwender können sich selbst schützen

Nutzer können sich vor dieser Gefahr schützen: In erster Linie sollten sie nach Möglichkeit beim Zugang ins Internet von öffentlichen Orten aus verschlüsselte Verbindungen mit Hilfe von SSL (Secure Socket Layer) nutzen. Viele beliebte Websites wie etwa Google, Twitter oder Facebook bieten einen solchen sicheren Zugang. Dazu wird in der Adresszeile http:// durch https:// ersetzt.

Zudem sollten sich Nutzer darüber im Klaren sein, dass beim Surfen im Internet über ein ungeschütztes WLAN - etwa in einem Café oder am Flughafen - jedes andere Gerät im Raum, das über drahtlose Fähigkeiten verfügt, sehen kann, was an diese Webseiten geschickt wird. Deshalb ist das Aufsetzen eines sicheren Verbindungskanals über VPN (Virtual Private Network) sinnvoll. Einige Router oder drahtlose Systeme bieten dies an.

Schließlich gibt es noch eine neue Möglichkeit: HTTP Strict Transport Security http://en.wikipedia.org/wiki/Strict_Transport_Security (HSTS). Der spezifizierte Mechanismus befindet sich noch im Entwurf, doch haben ihn einige Browser bereits eingebaut. Mit HSTS können Rechner im Netz anfragende PCs - zum Beispiel den im Café genutzten Laptop - davon in Kenntnis setzen, dass sie nur über einen sicheren Kanal zugänglich sind. Somit haben Betreiber von Webseiten oder sozialen Netzwerken die Möglichkeit, dem Browser eines Nutzers zuzusichern, dass jede künftige Kommunikation mit ihren Angeboten sicher ist.

Die Tools im Einzelnen:

Idiocy ist vergleichsweise harmlos und präsentiert sich als Warnung an Leute, die ohne Sicherheits-vorkehrungen im Internet surfen. Es handelt sich um einen 130 Zeilen langen Softwarecode (ein Python-Skript), der offene drahtlose Netzwerke nach Twitter-Cookies absucht und diese Informationen nutzt, um jede gefundene Sitzung zu kapern und dort seine Nachricht abzusetzen. Sie lautet: "Ich habe Twitter ohne Sicherheit über ein öffentliches Netzwerk genutzt und alles, was ich bekam, war dieser lausige Tweet. http://jonty.co.uk/idiocy-what"

Beim zweiten, raffinierteren Tool handelt es sich um ein Firefox-Plugin. Firesheep (von Trend Micro als HKTL_FYRSNIFF erkannt) kann Sitzungs-Cookies von einer ganzen Reihe von Webseiten sammeln, um dann die Sitzung im Browser des Opfers zu kapern. (Trend Micro: ma)