Account-Diebstahl

news, security, ycom
Ycom | (nicht eingeloggt) | Forenübersicht Link zu dieser Seite

» Navigation


» Eigenschaften


Sprache: Deutsch
Eröffnet: 08.11.2010
Von: Yhoko
Teilnehmer: 7
Beobachter: 6
Beiträge: 10
Wörter: ~800
Gewicht: 52%

» Tags


news
security
ycom

» Letzte Beiträge


Yhoko
09.11.2010, 03:12 von Yhoko: Nr. 1
Liebe Spieler,

Bitte lest diese Nachricht sorgfältig durch.

Wer nur das Allernötigste wissen will, klickt bitte hier.

Was ist das Problem?

Wie unsicher das Internet ist bekommt man im Moment besonders deutlich zu spüren. Wer sich öffentlich per WLAN verbindet (z.B. im Cafe, in der Schule oder am Bahnhof) und auf Seiten unterwegs ist, bei denen man sich anmelden muss (Facebook, Amazon, DeviantArt oder auch Yhoko.com) muss davon ausgehen, dass sein Account bereits übernommen wurde.

Wie geht das?

Die Firefox-Erweiterung "Fire Sheep" ermöglicht es, eine fundamentale Schwachstelle des Internets auszunutzen und das klappt erschreckend gut, ja geradezu reibungslos. Das Stichwort hierfür lautet "session hijacking" und basiert darauf, dass der Täter eure Session kopiert und dann quasi unter eurem Namen auf der entsprechenden Seite eingeloggt ist.

Hilft mir ein "sicherer Login"?

Viele Webseiten haben den Login-Vorgang mittels SSL abgesichert, doch die Schwachstelle ist überhaupt nicht auf einen Login angewiesen! Es reicht völlig, wenn ihr z.B. eine beliebige Facebook-Seite aufruft und dabei bereits eingeloggt wart. Es spielt auch keine Rolle, ob ihr die URL von Hand eingebt oder einen Link anklickt. Oder ob JavaScript oder Plugins aktiviert sind. In dem Moment, wo ihr die Seite aufruft, erscheint beim Angreifer der Account in einer Liste, wo er sich bequem per Doppelklick unter eurem Namen einloggen kann. Dasselbe gilt für Yhoko.com und alle anderen Webseiten, die mit ungesicherten Sessions arbeiten.

 
Was kann ich tun?

Der beste Schutz heisst HTTPS, ist aber leider nicht für alle Webseiten verfügbar. Ob HTTPS aktiv ist, seht ihr an der Adresszeile - Je nach Browser und Sicherheitsstufe färbt sie sich gelb, zeigt ein Schlösschen oder einen grünen oder blauen Balken mit dem Firmennamen an. Ist ein solches Merkmal vorhanden, dann ist die Verbindung sicher.

Generell könnt ihr folgendes tun

  • Verwendet das [http] HTTPS everywhere Plugin für Firefox. Es versucht automatisch, jede Seite zunächst per HTTPS aufzurufen.
  • Unterlasst das Surfen in öffentlichen Netzen, bis die Anbieter ihre Seiten mit HTTPS gesichert haben.
  • Loggt euch immer aus, wenn ihr eine Seite verlasst, denn so wird die Session geschlossen und ein möglicher Angreifer wird ebenfalls ausgeloggt.

Tipp: Probiert es selbst! Besucht eine Webseite und ersetzt das // am Anfang durch https:// (also einfach das s einfügen), wenns klappt seid ihr auf dieser Seite sicher. Achtung bei Seiten wie z.B. DeviantArt, dort werdet ihr einfach nur wieder auf // weitergeleitet. Das https:// muss bleiben, sonst ist die Verbindung nicht sicher.

Bin ich sicher?

Du bist (unter anderem) vor der Schwachstelle sicher, wenn...

  • du bist über ein VPN verbunden.
  • du eine Webseite via https:// öffnest und dadurch eine sichere Verbindung aufbaust.
  • du als einziger an deinem Internet-Anschluss sitzt.
  • dein Netzwerkkabel direkt am Router/Modem eingesteckt ist.
  • du über ein speziell gesichertes Funknetz verbunden bist (z.B. MiFi).

Was passiert nun?

Die genannte Schwachstelle ist universell und durch die jüngste Bekanntmachung wird sie auch immer mehr Betreibern bewusst (gemacht). Mittelfristig wird wohl daher jede (sensible) Webseite mit HTTPS gesichert. Bis die Grossen wie Facebook reagieren, könnte es aber noch etwas dauern, zumal HTTPS den Server auch stärker belastet als normal. Ich persönlich bin bereits in Diskussionen wegen einem Zertifikat für Yhoko.com, leider sind die Dinger aber nicht ganz billig und die Umstellung auf HTTPS erfordert zudem einen Haufen technische Änderungen.

Für den Moment kann ich daher wirklich nur empfehlen, öffentliche WLANs zu meiden (in privaten Netzen ist das Problem freilich auch vorhanden, jedoch kennt kennt man dort zumindest die anderen Teilnehmer).

Viel Glück da draussen!

Yhoko

Varon
08.11.2010, 18:33 von Varon: Nr. 2
Warum zum Geier bringt Mozilla sowas raus o_O

Yhoko
08.11.2010, 18:37 von Yhoko: Nr. 3
Mozilla hat damit nichts zu tun und ich bin sicher es gibt vergleichbare Erweiterungen/Plugins für alle grossen Browser. Der Entwickler möchte mit diesem kinderleicht zu bedienenen Tool Druck auf die Admins ausüben, damit diese alte Lücke endlich geschlossen wird. Demonstriert wurde das Verfahren bereits vor Jahren, nur bis heute nicht sonderlich ernst genommen.

Varon
08.11.2010, 18:38 von Varon: Nr. 4
Verstehe... ist ja gruselig.

Lunalux
08.11.2010, 20:43 von Lunalux: Nr. 5
is firefox nicht sogar "freeware" und kann von so gut wie jedem bearbeitet werden?
da kann dann mozilla ja eigentlich nix für wenn irgendjemand so ein addon schreibt

Ecco
08.11.2010, 23:33 von Ecco: Nr. 6
Firefox is Freeware, aber ich glaube du meinst damit eher Open-Souce.
Plugins für den Fifo kann rausbringen wer will, nur werden eben meines wissens nach nicht alle von Mozilla geprüft und signiert.
Dass es sowas gibt is mir allerdings neu und was soll ich sagen.. erschreckend oö

Yhoko
09.11.2010, 03:12 von Yhoko: Nr. 7
Nachtrag: Jeder der über ein VPN verbindet ist geschützt.

Shi
14.11.2010, 14:45 von Shi: Nr. 8
Ich werde im Verlauf des Tages mal FireSheep selbst testen und auch als Maßnahme das Firefox-Addon BlackSheep, welches man bei chip.de und weiteren bekannten Seiten downloaden kann. BlackSheep ist leider keine direkte Abwehrmaßnahme, allerdings verschickt es ein gefälschtes Cookie und warnt einen dann davor, wenn jemand mit FireSheep online ist.

Venezo
14.11.2010, 15:45 von Venezo: Nr. 9
VPN? Ws heißt das?

Corvidae
14.11.2010, 15:47 von Corvidae: Nr. 10
Virtuelle persönliche (oder private, weiß es nicht ganz genau) Netzwerke. Quasi ein Netzwerk im Netzwerk

» Neu


(keine neuen Beiträge)


» Neuer Beitrag


(keine Berechtigung)

Ycom | (nicht eingeloggt) | Forenübersicht Link zu dieser Seite