Vor ein paar Tagen ist das Firefox-Add-On Firesheep (Bericht) auf einer Konferenz vorgestellt worden. Firesheep untersucht den Datenverkehr in drahtlosen Netzen (WLAN) auf Pakete, die unverschlüsselt an Dienste wie zum Beispiel Twitter oder Facebook gesendet werden. Aus diesen Paketen filtert Firesheep jene heraus, die Session Cookies enthalten. Session Cookies werden dazu verwendet, einen eingeloggten Benutzer gegenüber einer Website zu indentifizieren. Firesheep ermöglicht es, mit Hilfe der Session Cookies die Session des anderen Benutzers zu kapern und so zum Beispiel dessen Facebook-Account zu verwenden.
Dabei ist es egal, ob man sich in einem verschlüsselten oder unverschlüsselten WLAN befindet. In beiden Fällen können die in diesem WLAN eingeloggten Benutzer die Session Cookies mitlesen.
Websites, die für alle Vorgänge (also nicht nur zur Übertragung des Passworts) eine per SSL verschlüsselte Verbindung verwenden, sind von diesem Problem nicht betroffen. Leider verwenden viele Websites (z.B. Facebook) SSL nur für die Übertragung des Passworts beim Login-Vorgang.
Wie kann ich verhindern, dass jemand meine Accounts verwendet?
Ein VPN (Virtual Private Network) verwenden. VPN sind ursprünglich dafür gedacht, mehrere private LANs über das Internet zu verbinden oder es einem Benutzer zu ermöglichen, von überall auf der Welt über das Internet auf ein privates LAN (z.B. das Firmennetzwerk) zuzugreifen. Die Verbindung vom Client (z.B. dem Notebook im Internetcafé) zum VPN-Endpunkt (z.B. einem Server der Firma) ist verschlüsselt, der weitere Weg der Pakete vom VPN-Endpunkt zum Empfänger (z.B. Facebook) nicht unbedingt.
Uni Wien
Die Uni Wien stellt einen VPN-Server zur Verfügung, der auch dazu gedacht ist, Online-Angebote von Zeitschriften wie z.B. Nature von daheim aus über den Zugang der Universität Wien nützen zu können. Jeder, der einen gültigen Mailbox-Account (für Mitarbeiter) oder unet-Account (für Studierende) hat, kann diesen VPN-Server verwenden. Wie das geht, steht hier (VPN via Klient), genauere Anleitungen für einige verschiedene Betriebssysteme findet man hier. Wenn die Verbindung aufgebaut ist, ist der eigene Computer Teil des Datennetzes der Uni Wien.
Wegen des Rechenaufwands und der nötigen Bandbreite sind VPN-Verbindungen langsamer als direkte Verbindungen. Im eigenen Interesse sollte man die VPN-Verbindung nicht für bandbreitenintensive Dienste wie z.B. Youtube oder illegale Dinge wie z.B. Filesharing verwenden, sondern nur Dinge tun, die den Benützungsbedingungen des Uni Wien-Datennetzes entsprechen.
Andere
Viele andere Unis und Arbeitgeber bieten VPN-Zugänge an–Fragen schadet nicht. Außerdem gibt es einige Anbieter von kostenpflichtigen VPN-Endpunkten, die zum Teil auch Nutzer anwerben, die regional begrenzte Dienste wie z.B. Hulu von außerhalb verwenden möchten.
Der große Spaß ist ja, dass man über das eduroam-Netz eine über PEAP ausgehandelte AES-verschlüsselte Verbindung (WPA2) verwenden könnte und das auch sicher wäre — wenn die Uni Wien einem das Zertifikat des Authentifizierungsservers bereitstellen würde, damit man Man-in-the-Middle-Attacken erkennen kann. Das war einmal der Fall, aber offenbar sind ist es der ZID geworden, dass die ganzen User angelaufen kommen, deren WLAN nicht geht, wenn sie das Zertifikat einmal wechsen. Das haben sie zumindest einmal getan (Wechsel der Zertifizierungsstelle), und dieses Zertifikat funktioniert noch immer, nur muss man es noch aus der Zeit haben, als man es sich von der ZID-Homepage herunterladen konnte…
Ich sehe gerade, auf der Einrichtungsseite für S60-Handys gibt es diesen Link noch (auf der für Ubuntu bzw. NetworkManager 0.9 wird explizit angegeben, das Zertifikat auszulassen und die Warnung zu ignorieren), vielleicht weil S60 sonst nicht will — bin gerade zu faul das auszuprobieren. Hier ist es jedenfalls: http://www.aco.net/fileadmin/aconet/Zertifikate/AddTrustExternalCARoot.cer
Zumindest dem Dateinamen nach ist das wohl ein CA-Zertifikat, insofern sollte man vielleicht wissen, was man tut, wenn man es sich systemweit installiert, zumindest unter Linux und auf S60 muss man das für diesen Zweck aber nicht. Unter Mac OS X muss man es wohl in die Keychain importieren, da wäre ich mir nicht so sicher.
Tja, wenn Sicherheit nur einfach und bequem wäre…
Auch die Anleitung für Windows XP enthält die lapidare Anweisung „Entfernen Sie das Häckchen Serverzertifikat überprüfen.“ Leider.
Auf der anderen Seite muss man auch sagen, dass diese Methode immer noch einiges sicherer ist als ein typischer Café-Hotspot.
Pingback: Das Nokia Lumia 800 im Langzeittest
Öffentliche Hotspots sind mir suspekt. Die Lösung der Uni Wien scheint mir um ein Vielfaches sicherer zu sein, wobei ja explizit gesagt wird, es sollen nur Inhalte damit genutzt werden, die für das Studium oder für den jeweiligen Fachbereich relevant sind. Damit können öffentliche Hotspots für Wlan mit der Uni-Lösung nicht wirklich verglichen werden. Das Problem mit dem Zertifikat sollte sich bald lösen lassen, sonst entsteht leicht der Eindruck, dass die Nutzung viel zu kompliziert und zu langwierig ist, um wirklich von Nutzen sein zu können.