Noch nie war Datendiebstahl so einfach. Mit dem kostenlosen Firefox-Addon Firesheep können selbst Unerfahrene fremde Mails mitlesen und Facebook-Konten ausspionieren. Die Browser-Erweiterung erfreut sie sich bereits großer Beliebtheit – in nur drei Tagen verzeichnete der Entwickler über 280.000 Downloads.
So funktioniert Firesheep: Onlinedienste wie Facebook oder Webmailer erzeugen beim User-Login eine Sitzungsnummer. Diese wird im Cookie oder der Webadresse gespeichert. Mit Hilfe der Sitzungsnummer identifizieren Onlinedienste den Nutzer, wenn er auf eine Unterseite wechselt. Firesheep fischt eben diese Nummer aus dem WLAN-Datenstrom und zeigt sie dem Datendieb. Der muss nur noch auf die Nummer klicken und kann dann im fremden Account herumschnüffeln – zumindest, bis das Opfer sich wieder ausloggt.
So wehren Sie sich:
Augen auf in unverschlüsselten Drahtlos-Netzwerken – nur dort funktioniert Firesheep. Auf Nummer Sicher gehen Sie, wenn Sie in offenen WLANs keine Login-Daten eingeben.
Nutzen Sie nur Full-SSL-Dienste. Üblicherweise schützen Onlinedienste ihre Nutzer beim Anmelden per SSL-Verschlüsselung – zu erkennen am „https://“ in der Adresszeile. Damit wird aber nur das Passwort geschützt. Um Firesheep auszusperren, muss die SSL-Verschlüsselung auch nach dem Login aktiv bleiben. Diese Full-SSL-Sicherung gibt es jedoch erst bei einigen Anbietern: Dazu gehört etwa Googlemail. Microsoft führt Full-SLL gerade für Hotmail, SkyDrive und andere Live-Dienste ein. Facebook will in den kommenden Monaten nachziehen.
Verschlüsseln Sie Ihre Verbindung in öffentlichen WLANs mit einem VPN-Dienst wie Cyberghost VPN.
Das Firefox-Addon Blacksheep stellt Firesheep-Köder auf. Greift ein Firesheep-Addon in die Falle, warnt Blacksheep vor dem „Feuerschaf“ und zeigt sogar die IP-Adresse des Schnüfflers an . Spätestens jetzt sollten Sie sich von ungesicherten Onlinediensten abmelden.
Tipp: Das Firefox-Addon HTTPS Everywhere zwingt Online-Dienste automatisch in den SSL-Modus, sofern dieser zur Option steht. Chrome-User wählen Secure Login Helper. Apropos „Secure Login Helper“ – auf der nächsten Seite finden Sie ein fertig geschnürtes Browser-Paket, das den Login Helper bereits enthält und besonders großen Wert auf Datenschutz legt. Dabei vergisst unser Browser-Paket aber nicht Geschwindigkeit und Komfort.
Quelle: CIO
So funktioniert Firesheep: Onlinedienste wie Facebook oder Webmailer erzeugen beim User-Login eine Sitzungsnummer. Diese wird im Cookie oder der Webadresse gespeichert. Mit Hilfe der Sitzungsnummer identifizieren Onlinedienste den Nutzer, wenn er auf eine Unterseite wechselt. Firesheep fischt eben diese Nummer aus dem WLAN-Datenstrom und zeigt sie dem Datendieb. Der muss nur noch auf die Nummer klicken und kann dann im fremden Account herumschnüffeln – zumindest, bis das Opfer sich wieder ausloggt.
So wehren Sie sich:
Augen auf in unverschlüsselten Drahtlos-Netzwerken – nur dort funktioniert Firesheep. Auf Nummer Sicher gehen Sie, wenn Sie in offenen WLANs keine Login-Daten eingeben.
Nutzen Sie nur Full-SSL-Dienste. Üblicherweise schützen Onlinedienste ihre Nutzer beim Anmelden per SSL-Verschlüsselung – zu erkennen am „https://“ in der Adresszeile. Damit wird aber nur das Passwort geschützt. Um Firesheep auszusperren, muss die SSL-Verschlüsselung auch nach dem Login aktiv bleiben. Diese Full-SSL-Sicherung gibt es jedoch erst bei einigen Anbietern: Dazu gehört etwa Googlemail. Microsoft führt Full-SLL gerade für Hotmail, SkyDrive und andere Live-Dienste ein. Facebook will in den kommenden Monaten nachziehen.
Verschlüsseln Sie Ihre Verbindung in öffentlichen WLANs mit einem VPN-Dienst wie Cyberghost VPN.
Das Firefox-Addon Blacksheep stellt Firesheep-Köder auf. Greift ein Firesheep-Addon in die Falle, warnt Blacksheep vor dem „Feuerschaf“ und zeigt sogar die IP-Adresse des Schnüfflers an . Spätestens jetzt sollten Sie sich von ungesicherten Onlinediensten abmelden.
Tipp: Das Firefox-Addon HTTPS Everywhere zwingt Online-Dienste automatisch in den SSL-Modus, sofern dieser zur Option steht. Chrome-User wählen Secure Login Helper. Apropos „Secure Login Helper“ – auf der nächsten Seite finden Sie ein fertig geschnürtes Browser-Paket, das den Login Helper bereits enthält und besonders großen Wert auf Datenschutz legt. Dabei vergisst unser Browser-Paket aber nicht Geschwindigkeit und Komfort.
Quelle: CIO