Wird Facebook sicherer durch HTTPS?

Veröffentlicht: 03.03.2011 in Internet
Schlagwörter:, ,

Nachdem Facebook, wohl als Reaktion auf den Firesheep-Exploit, die Möglichkeit anbietet, alle Anfragen über HTTPS laufen zu lassen, verbreitet sich nun auf Facebook die Halbwahrheit, dass eine reine HTTP-Verbindung „gehackt“ werden kann und man doch bitte schnellstmöglich auf HTTPS umsteigen solle. Die Implikation ist wohl, dass eine HTTPS-Verbindung vor allem Übel der Welt (oder zumindest des Internets) zu bewahren weiß. Um das beurteilen zu können, muss man aber ein paar technische Details kennen.

Das SSL-Protokoll (der S-Teil von HTTPS) erfüllt drei Funktionen:

  1. Authentifizierung: Es verifiziert, dass am anderen Ende der Leitung tatsächlich die gewünschte Seite ist. Dazu werden von (hoffentlich) vertrauenswürdigen Stellen Zertifikate ausgestellt, die beglaubigen, dass der Besitzer des Zertifikats auch Inhaber einer Domain ist. Bei einer HTTPS-Verbindung muss die Website ihr Zertifikat präsentieren. Passt der Domainname im Zertifikat nicht zur gewünschten Zielseite oder ist das Zertifikat gefälscht, gibt der Browser eine Fehlermeldung aus.
  2. Vertraulichkeit: Dies wird durch Verschlüsselung erreicht, die das Mitlesen durch Unbefugte faktisch unmöglich macht. Man kann davon ausgehen, dass moderne Verschlüsselungsverfahren für praktische Anwendungen tatsächlich sicher sind.
  3. Integrität: Das bedeutet, dass ich genau die Daten zu Gesicht bekomme, die am anderen Ende losgeschickt wurden. Wenn ein Angreifer gezielt einzelne Bytes des verschlüsselten Datenstroms verändert, bleiben diese Änderungen nicht unentdeckt.

Damit ein Unbefugter an mein Facebook-Konto kann, muss er die Facebookseite dazu bringen, dass sie ihn für mich hält. Dazu gibt es mehrere Möglichkeiten.

  1. Er kann mein Passwort erraten oder mich dazu bringen, mein Passwort auf einer fremden Website anzugeben (Phishing). Dagegen hilft HTTPS überhaupt nicht. Wenn er Inhaber einer verwechselbar ähnlichen Domain ist (etwa facebock.com), könnte er sogar an ein gültiges SSL-Zertifikat herankommen und Leute trotz korrekter SSL-Verbindung täuschen. Wenn mein Passwort leicht zu erraten ist, ist mir sowieso nicht zu helfen.
  2. Er kann Zugang zu meinem E-Mail-Konto erlangen und das Passwort zurücksetzen lassen. Oder er kann mein Handy stehlen und über Facebook Mobile das Passwort zurücksetzen lassen. Im Prinzip ist beides eine Variation von 1. Auch hier hilft HTTPS logischerweise nichts.
  3. Er kann eine noch nicht bekannte Sicherheitslücke in Facebook selbst ausnutzen. Und wieder einmal ist HTTPS völlig nutzlos.
  4. Er kann, während ich angemeldet bin, den Datenverkehr zwischen Facebook und mir belauschen und so an den Cookie herankommen, mit dem Facebook mich identifiziert (damit ich nicht bei jedem Seitenzugriff mein Passwort neu übertragen muss). Diese Attacke ist durch das sogenannte Firesheep-Plugin zu Berühmtheit gelangt und hier hilft HTTPS tatsächlich.

Damit der Angreifer mich belauschen kann, muss er entweder meinen Rechner dazu bringen, statt mit Facebook mit ihm zu kommunizieren und den Datenverkehr dann weiterleiten (Man-In-The-Middle), oder an einer Stelle im Netz sein, wo er passiv mithören kann. Passives Mithören geht (vereinfacht gesagt) nur, wenn sich Angreifer und Opfer im gleichen Netzsegment befinden. Typischerweise ist das der Fall bei öffentlichen WLAN-Hotspots, im Internet-Cafe, in Firmennetzwerken, in Studentenwohnheimen oder überall sonst, wo mehrere Rechner in einem gemeinsamen lokalen Netzwerk verbunden sind.

Private DSL-Anschlüsse und UMTS-Surfer sind dagegen in der Regel in ihrem eigenen kleinen LAN und vor passivem Lauschen gut geschützt. Der Angreifer müsste dann entweder in die Wohnung oder beim Provider einbrechen. Beides dürfte den Aufwand nicht lohnen.

Für Man-In-The-Middle-Attacken gilt ähnliches: Ein Bösewicht könnte sein eigenes „öffentliches“ WLAN bereitstellen und Facebook-Zugriffe auf seine eigene gefälschte Seite umleiten. Das funktioniert, weil die automatische Netzwerkkonfiguration beim Einbuchen in ein solches Netz viel Spielraum für Manipulation lässt. Bei der DSL- oder UMTS-Einwahl sieht das aber schon wieder ganz anders aus und dürfte ohne Zugriff auf die Infrastruktur des Providers schwierig werden.

Fazit: Wer seinen Rechner in einem Netzwerk hat, wo er nicht weiß, wer außer ihm noch darin surft, kann durch HTTPS zusätzliche Sicherheit gewinnen. Alle anderen sind damit nicht besser dran. Und selbst mit HTTPS ist man noch lange nicht auf der sicheren Seite: Viele Facebook-Apps funktionieren nämlich zur Zeit nur ohne HTTPS, da die Anwendungsentwickler diesen Modus explizit unterstützen müssen, und im Zweifel genügt bereits ein einziger belauschter Seitenzugriff ohne SSL für eine erfolgreiche Attacke.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s