Oft fliegen einem die interessantesten Dinge einfach so zu: Beispielsweise Logins, Passwörter und Sitzungsdaten sozialer Netze, die in offenen WLAN-Netzen unverschlüsselt in die Luft geblasen werden. Darauf weisen Sicherheitsexperten schon seit Längerem hin und fordern von den Betreibern gängiger sozialer Netze, Shopping-Sites, dass diese ihren Datenverkehr verschlüsselt und über Zertifikate gesichert abwickeln, beispielsweise über SSL.
Allerdings wurde und wird diese Forderung nach wie vor ignoriert. Das brachte den Programmierer Eric Butler auf die Idee, mit dem Firefox-Plugin „Firesheep“ ein Programm für den „Account-Diebstahl für Dummies“ zu entwickeln, dass die Brisanz des Themas steigern und den Druck auf die Diensteanbieter so erhöhen soll.
Zwar kann bereits seit langem jeder, der mit einem Snifferprogramm wie z.B. Wireshark in ein WLAN hineinhorcht, den dortigen Datenverkehr überwachen und Interessantes per Filterfunktion herausfischen. Aber das erfordert gewisse Kenntnisse über den Aufbau von Netzwerkprotokollen sowie eine Einarbeitung in die oftmals recht mächtigen aber auch unübersichtlichen Programme.
Butlers quelloffenes Firesheep betreibt HTTP-basiertes Session Hijacking, indem es in offenen WLANs nach Sitzungsdaten etlicher sozialer Netze wie etwa Twitter oder Facebook lauscht, diese bei ihrem Auftreten herausfischt und dem Browsernutzer in einer Sidebar anzeigt. Er kann daraufhin die Sitzungen auf Wunsch per Mausklick übernehmen und sich mit den Identitätsdaten des betreffenden Nutzers in dem sozialen Netzwerk bewegen.
Firesheep nutzt eine Lücke in der Datenübertragung zwischen Nutzer und Webdienst. Wenn man sich bei einem Dienst wie Twitter oder Facebook anmeldet, wird dem Nutzerrechner ein sogenannter Session-Cookie geschickt, der Sitzungs- und Statusdaten enthält. Der Erstkontakt ist bei den meisten Seiten durch Verschlüsselung geschützt, nicht jedoch die weitere Übertragung von Daten z.B. bei der Aktualisierung der Sitzung. Oftmals werden dabei Datenübertragungen zwar zunächst per verschlüsseltem HTTPS initiiert, dann aber über normales unverschlüsseltes HTTP fortgesetzt. Der Nutzer wähnt sich sicher, während seine Daten im Klartext über die Leitung oder in den Äther gehen.
Firesheep sucht dazu diese unverschlüsselt übertragenen Session-Cookies und schickt eine eigene Anfrage an die betreffende Seite samt einer Kopie des Cookies – gaukelt dem Dienst also vor, der echte Nutzer zu sein.
Butler kündigte sein Tool erst im Oktober 2010 auf der Hacker- und Security-Konferenz „ToorCon“ in San Diego an, auf der er dazu einen Vortrag hielt, den er treffenderweise „Hey Web 2.0: Fang an, die Daten der Nutzer zu schützen, statt dies nur zu behaupten“ betitelte. Ganz klar – hier sollte mal wieder der oftmals etwas trägen und behäbigen Unternehmenswelt eine mitgegeben werden. Was aber heute – leider – ebenso nötig erscheint, wie in den 80ern des letzten Jahrhunderts als die Hacker des Chaos Computer Clubs zeigten, wie man mit Hilfe BTX-basierter „Mehrwertdienste“ eine Bank ausnimmt (Youtube-Video Heute-Journal).
Firesheep wirft zudem eine spezifische-deutsche Frage auf: Handelt es sich dabei um ein Hackertool i.S.d. § 202 c StGB (der sog. „Hackerparagraph“)? Dafür würde sprechen, dass die zugrundeliegende Methode des automatisierte Session Hijacking wohl recht eindeutig den Angriffsformen auf IT-Systeme zugerechnet werden kann. Dagegen spricht, dass Firesheep ausschließlich auf Informationen zurückgreift, die über unverschlüsselte offene WLAN-Netze verbreitet werden und daher quasi-öffentlich verfügbar sind.
Zwar arbeiten Firmen wie z.B. Zscaler an Gegenmaßnahmen, um im Einsatz befindliche Firesheeps in WLAN-Netzen durch Rückmeldungen auf manipulierte Session-Cookies zu identifizieren. Aber das zugrunde liegende Problem der ganz oder teilweise unverschlüsselt übertragenen Identitätsinformationen für Internetdienste wird uns wohl noch einige Zeit erhalten bleiben.