SPIEGEL ONLINE

SPIEGEL ONLINE

02. Februar 2010, 16:10 Uhr

Sicherheitslücke

IT-Forscher enttarnen Internetsurfer

Von Felix Knoke

Anonym surfen im Web? Das war einmal. IT-Forschern ist es nach SPIEGEL-ONLINE-Informationen gelungen, Internetsurfer mit einem einfachen Trick namentlich zu identifizieren. Von der Sicherheitslücke sind Millionen Teilnehmer sozialer Netzwerke betroffen - es droht ein Datenschutz-GAU.

Es ist ein Horrorszenario für Datenschützer, was Thorsten Holz, Gilbert Wondracek, Engin Kirda und Christopher Kruegel in ihrem 15-seitigen Aufsatz beschreiben ( PDF-Datei hier, 803 KB): Die Experten vom Isec-Forschungslabor für IT-Sicherheit, einer Kooperation der Technischen Universität Wien, dem Institute Eurécom und der University of California, dokumentieren einen technisch eher simplen Angriff, der eine seit zehn Jahren bekannte Sicherheitslücke ausnutzt. Betroffen sind alle Mitglieder von sozialen Netzwerken, die sich Netzwerk-Gruppen angeschlossen haben.

Was viele Menschen nicht wissen: Die jeweiligen Gruppenmitgliedschaften ergeben ein einzigartiges Profil, das Angreifer wie einen Fingerabdruck aus dem Browser ablesen können: "In einem sozialen Netzwerk gibt es eben nur sehr wenige Menschen, die in denselben Gruppen eingetragen sind", erklären Holz und Wondracek im Gespräch mit SPIEGEL ONLINE. "Bei Xing sind 1,8 Millionen Mitglieder in etwa 6500 öffentlichen Gruppen organisiert. Über 750.000 davon haben eine einzigartige Gruppenkonstellation, einen eindeutigen Fingerabdruck."

Wenn eine präparierte Website ihren Besuchern diesen Fingerabdruck abnehmen und mit einer Kartei aller Nutzer eines Netzwerks vergleichen kann, ist der anonyme Websurfer enttarnt.

Wer Mitglied bei Xing ist, kann es auf einer eigens von den Forschern eingerichteten Website gleich selbst ausprobieren: Man muss keine Daten eingeben, nicht einmal im sozialen Netzwerk eingeloggt sein. Die Experiment-Website errät - wenn ein paar Voraussetzungen erfüllt sind - den Namen des Surfers allein anhand der Spuren, die das Business-Netzwerk im Browser hinterlassen hat. Gegen den neuen Angriff hilft nur strikte Datenhygiene - und ein gehöriges Maß Paranoia.

Gilbert Wondracek kam die Idee zu diesem Ansatz, als er die Links in seinem Xing-Profil inspizierte. Er bemerkte: "Da werden personenbezogene Daten vom Browser gespeichert." Er besprach den Fund mit seinem Kollegen Thorsten Holz: "Solche Daten lassen sich mit Hilfe einer uralten Sicherheitslücke abgreifen, dem History Stealing."

Um bereits besuchte Links in einer anderen Farbe darstellen zu können, erhalten Websites Zugriff auf den Browserverlauf. Dass dies ein erhebliches Problem für die Privatsphäre eines Surfers darstellt, ist schon seit Jahren bekannt. Längst gibt es Scherzseiten, die sich das History Stealing zunutze machen: Didyouwatchporn.com erkennt, ob ein Webbesucher zuvor auf bekannten Pornoseiten surfte, Whattheinternetknowsaboutyou.com listet gleich die gesamte archivierte Surf-Vergangenheit des Besuchers auf. Solche Seiten schickt man Freunden zu, damit sie sich ertappt fühlen.

Automatisierte Anfragen beim Browser

Doch was die Sicherheitsforscher herausgefunden haben, ist kein Scherz. Dank History Stealing können sie auf die Gruppenzugehörigkeit eines spezifischen Surfers in sozialen Netzwerken schließen. "Wir waren richtig überrascht, wie einfach das geht", sagt IT-Experte Wondracek.

Nicht nur sie: Prompt erreichte die jungen Forscher eine Einladung zum nächsten " IEEE Symposium on Security & Privacy", einer renommierten Expertenkonferenz. Dort werden sie präsentieren, wie sie das History Stealing mit Hilfe einer entsprechend präparierten Website automatisieren: War unser Besucher schon einmal im Forum der Gruppe XY im sozialen Netzwerk YZ? Aus den Rückmeldungen können sie automatisiert ein Profil erstellen.

Das ist der digitale Fingerabdruck, auf den es die Forscher abgesehen haben. Den müssen sie nur noch mit einem Index aller Mitglieder aller Gruppen eines Netzwerkes vergleichen - nach dem Muster: Nenne mir die Namen aller Personen, die in den Gruppen X, Y und Z eingetragen sind - und Mehrfachnennungen mit einem Profilcheck ausschließen. "Letztlich," so Thorsten Holz, "bleibt typischerweise nur eine Person übrig, auf die alle Merkmale passen." (siehe Kasten)

Noch ist der von ihnen vorgeführte Angriff relativ plump: Er dauert mehrere Minuten und erkennt Gruppenmitgliedschaften nur, wenn man kürzlich in einer Gruppe aktiv war, Cookies und Javascript aktiviert hat. Das liegt aber auch daran, dass sich die Gruppe aus forschungsethischen Gründen mit ihrem Angriff zurückhalten musste: "Ein Angreifer, der diesen Einschränkungen nicht unterliegt", gibt Wondracek zu bedenken, "könnte noch viel mehr Tricks anwenden." So jemand könnte hartnäckiger im Browser auf Spurensuche gehen, Daten auslesen, unauffälligere Angriffsmethoden wählen. Die Forscher sind davon überzeugt, dass sich der Aufwand lohnt.

Geld durch Deanonymisierung

Denn wer den Namen eines Webbesuchers kennt, hält ein mächtiges Werkzeug in der Hand: Damit kann man Surfer erpressen, ihnen passgenaue Spam- und Phishingmails zuschicken, kann Konkurrenten oder Nebenbuhler auf der eigenen Website identifizieren, sie mittels Social Engineering zur Herausgabe von brisanten Informationen bringen. Unterdrückungsregimes könnten Fallen auslegen, etwa Webserver mit regierungskritischen Inhalten, und sogar Besucher identifizieren, die über einen Anonymisierungsdienst auf die Inhalte zugreifen - denn auch die verhindern nicht die Übertragung der beschriebenen digitalen Fingerabdrücke. Vor allem aber könnten zweifelhafte Websites und Werbedienste diese Informationen ansammeln, aufarbeiten, verkaufen: Spyware 2.0.

Kurzum: Mit Deanonymisierung kann man Geld machen. Und wo man im Internet Geld machen kann, da schreitet die technische Entwicklung rasant voran.

Was Kriminelle mit den Daten machen könnten

Meint es ein Angreifer ernst, wird er es wohl nicht wie Holz und Wondracek bei der Suche nach Namen belassen. Je nachdem, wie offenherzig ihre Opfer aber mit Profildaten in sozialen Netzwerken umgehen, könnten sie auch dessen Wohnort, Arbeitgeber, Freunde, Partner, Interessen, Bilder erfahren. Ein Schatz für Internetkriminelle, Überwachungsregimes, zwielichtige Internetwerber. Ein Dilemma für die Surfer: Die müssen nun zwischen Nutzbarkeit eines sozialen Netzwerkes, dessen Essenz die Exposition ist, und dem Datenschutz entscheiden.

Dabei hilft es nicht einmal, es den Angreifern nur schwerer zu machen. Internetgauner sind äußerst geringe Trefferquoten gewohnt: "Wenn einer 20 Millionen Spam-Mails verschickt", gibt Holz zu bedenken, "ist es schon lukrativ, wenn jeder Tausendste klickt." Mit Hilfe personalisierter E-Mails ließe sich diese Quote ganz einfach und risikolos steigern.

Auch die Betreiber von sozialen Netzwerken haben nicht viel Spielraum für Sicherheitsmaßnahmen. Holz und Wondracek schlagen zwar vor, an jeden Link innerhalb eines sozialen Netzwerks eine Zufallszahl anzuhängen, um Angreifern die Identifizierung von Personen zu erschweren. Allerdings kostet so eine Maßnahme viel Geld und Serverkraft. Die Surfer bemerken die Vorkehrungen vor allem daran, dass sie derartig geschützte Links nicht mehr als Lesezeichen speichern können - also als Surfhindernis.

Auch eine Blockade der für den Angriff so wichtigen Webcrawler scheint schier unmöglich: Ein illegaler Angreifer könnte einfach ein Botnet mieten und zehntausende Privatrechner die Recherchearbeit durchführen lassen - keine Chance für das soziale Netzwerk, so eine Attacke zu parieren.

Herauszufinden, wie sich trotzdem Schutzmaßnahmen ergreifen lassen könnten, ist nun eine gemeinsame Aufgabe von Sicherheitsexperten und Netzwerk-Anbietern. Von SPIEGEL ONLINE auf das Datenschutzproblem aufmerksam gemacht, hat Xing die beiden Forscher nun eingeladen, an einem Sicherheitskonzept für das Netzwerk zu arbeiten, teilt die Pressestelle mit. Aber auch andere Netzwerke sollten zügig Schutzvorkehrungen treffen, fordert Holz. Gerade in Netzwerken mit jungen Nutzern ist es sehr populär, sich in vielen Gruppen einzutragen: "Je mehr Gruppen, desto besser funktioniert unser Angriff."

Dabei muss man gar nicht einmal das Schlimmste befürchten: Wahrscheinlich verwenden Angreifer das History Stealing eher dazu, alte Angriffsmethoden zu verfeinern. Wer bisher Spam-Mails an per Zufallsgenerator erzeugte E-Mail-Adressen schickt, kann jetzt echte Namen beschicken. Wer Onlinebanking-Teilnehmer mit Phishing-Attacken zur Herausgabe von PIN- und TAN-Nummern bringen will, kann sie jetzt unter ihrem echten Namen als vermeintlich echter Freund ansprechen. Die nächste Betrugs-E-Mail kommt plötzlich von einem echten Firmenkontakt statt von einem Ölbaron aus Nigeria. Und will sich ein Internetangreifer noch glaubwürdiger als Freund ausgeben, ruft er einfach auf dem Handy an - die Nummer kennt er aus dem Netzwerk-Profil.

Experimentierfreude jedenfalls werden Internetgauner sicherlich entwickeln: "Diese neue Angriffsmethode ist so simpel, dass auch technisch nicht sehr versierte Hacker sie umsetzen können", meint Thorsten Holz. Vermutlich ist das alles noch nicht einmal illegal. Wer History Stealing betreibt, nutzt ein völlig legales Feature jedes Webbrowsers. Das automatisierte Durchkämmen von sozialen Netzwerken verstößt vielleicht gegen die Nutzungsbedingungen der Anbieter - trotzdem bieten ganz legale Dienstleister so einen Service im Netz für ein paar Dollar an.

Opfer-Dossiers vom Cyberverbrecher

Der Hack hat es in sich: Wer etwa eine Sicherheitslücke bei Facebook nutzt, spielt mit den Daten von 350 Millionen Mitgliedern weltweit. Besonders verlockend für Holz und Wondracek: Es gibt Millionen von Gruppen. Verbindet man diese Daten mit anderen Informationen aus Datenraubzügen, könnten Cyberverbrecher wahre Opfer-Dossiers erstellen - automatisch, billig, hochaktuell.

Und so ist auch das Schadenspotential der neuen Angriffsmethode noch gar nicht ausgelotet. Zumal wirklichen Schutz vor diesem Angriff nur das konsequente Abschalten der Surf-History bietet, eine Möglichkeit, die beispielsweise der Google-Browser Chrome nicht einmal anbietet. Nur wer dort konsequent im "Inkognito"-Modus surft, ist vor der Deanonymisierung sicher.

Mit Firefox, Internet Explorer und Opera lässt sich der Surfverlauf zwar komplett abschalten, damit büßt man aber auch Internetbequemlichkeit ein. Dass sich das Gros der Internetsurfer das antut, ist unwahrscheinlich - vor allem, weil es einiges technisches Verständnis vom Browser erfordert. Holz: "Die Erfahrung zeigt, dass nur wenige solche Sicherheitsmaßnahmen freiwillig ergreifen."

Vor allem aber machen sich die Wiener Forscher Sorgen, dass ihr Angriff nicht nur auf sozialen Netzwerken wie Facebook und Xing funktioniert, sondern auch auf Shopping-Plattformen, in Foren, Beratungsnetzwerken, Preissuchmaschinen - eigentlich allem, was unter dem Begriff Web 2.0 firmiert.

Thorsten Holz: "Prinzipiell sind alle Internetangebote betroffen, in denen sich Leute unter ihrem Klarnamen anmelden und in Gruppen organisieren."

Damit rührt der Angriff an den zwei Säulen des modernen Umgangs im Internet: Der relativen Anonymität beim Surfen und der Tendenz zur Entblößung in sozialen Netzwerken. Seine technische Einfachheit demonstriert, dass im Internet viele Datenschutzrisiken auf so tiefer Ebene im Design angelegt sind, dass es wirklichen Schutz nicht geben kann: Wer von der Entblößung profitieren will, muss auch das Risiko einer Entblößung tragen. Der Traum vom anonym nutzbaren Medium ist ausgeträumt.

URL:

Mehr auf SPIEGEL ONLINE:

Mehr im Internet


© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH