Sicherheitslücke IT-Forscher enttarnen Internetsurfer
Anonym surfen im Web? Das war einmal. IT-Forschern ist es nach SPIEGEL-ONLINE-Informationen gelungen, Internetsurfer mit einem einfachen Trick namentlich zu identifizieren. Von der Sicherheitslücke sind Millionen Teilnehmer sozialer Netzwerke betroffen - es droht ein Datenschutz-GAU.
Es ist ein Horrorszenario für Datenschützer, was Thorsten Holz, Gilbert Wondracek, Engin Kirda und Christopher Kruegel in ihrem 15-seitigen Aufsatz beschreiben ( PDF-Datei hier, 803 KB): Die Experten vom Isec-Forschungslabor für IT-Sicherheit, einer Kooperation der Technischen Universität Wien, dem Institute Eurécom und der University of California, dokumentieren einen technisch eher simplen Angriff, der eine seit zehn Jahren bekannte Sicherheitslücke ausnutzt. Betroffen sind alle Mitglieder von sozialen Netzwerken, die sich Netzwerk-Gruppen angeschlossen haben.
Was viele Menschen nicht wissen: Die jeweiligen Gruppenmitgliedschaften ergeben ein einzigartiges Profil, das Angreifer wie einen Fingerabdruck aus dem Browser ablesen können: "In einem sozialen Netzwerk gibt es eben nur sehr wenige Menschen, die in denselben Gruppen eingetragen sind", erklären Holz und Wondracek im Gespräch mit SPIEGEL ONLINE. "Bei Xing sind 1,8 Millionen Mitglieder in etwa 6500 öffentlichen Gruppen organisiert. Über 750.000 davon haben eine einzigartige Gruppenkonstellation, einen eindeutigen Fingerabdruck."
Wenn eine präparierte Website ihren Besuchern diesen Fingerabdruck abnehmen und mit einer Kartei aller Nutzer eines Netzwerks vergleichen kann, ist der anonyme Websurfer enttarnt.
Wer Mitglied bei Xing ist, kann es auf einer eigens von den Forschern eingerichteten Website gleich selbst ausprobieren: Man muss keine Daten eingeben, nicht einmal im sozialen Netzwerk eingeloggt sein. Die Experiment-Website errät - wenn ein paar Voraussetzungen erfüllt sind - den Namen des Surfers allein anhand der Spuren, die das Business-Netzwerk im Browser hinterlassen hat. Gegen den neuen Angriff hilft nur strikte Datenhygiene - und ein gehöriges Maß Paranoia.
Gilbert Wondracek kam die Idee zu diesem Ansatz, als er die Links in seinem Xing-Profil inspizierte. Er bemerkte: "Da werden personenbezogene Daten vom Browser gespeichert." Er besprach den Fund mit seinem Kollegen Thorsten Holz: "Solche Daten lassen sich mit Hilfe einer uralten Sicherheitslücke abgreifen, dem History Stealing."
Um bereits besuchte Links in einer anderen Farbe darstellen zu können, erhalten Websites Zugriff auf den Browserverlauf. Dass dies ein erhebliches Problem für die Privatsphäre eines Surfers darstellt, ist schon seit Jahren bekannt. Längst gibt es Scherzseiten, die sich das History Stealing zunutze machen: Didyouwatchporn.com erkennt, ob ein Webbesucher zuvor auf bekannten Pornoseiten surfte, Whattheinternetknowsaboutyou.com listet gleich die gesamte archivierte Surf-Vergangenheit des Besuchers auf. Solche Seiten schickt man Freunden zu, damit sie sich ertappt fühlen.
Automatisierte Anfragen beim Browser
Doch was die Sicherheitsforscher herausgefunden haben, ist kein Scherz. Dank History Stealing können sie auf die Gruppenzugehörigkeit eines spezifischen Surfers in sozialen Netzwerken schließen. "Wir waren richtig überrascht, wie einfach das geht", sagt IT-Experte Wondracek.
Nicht nur sie: Prompt erreichte die jungen Forscher eine Einladung zum nächsten " IEEE Symposium on Security & Privacy", einer renommierten Expertenkonferenz. Dort werden sie präsentieren, wie sie das History Stealing mit Hilfe einer entsprechend präparierten Website automatisieren: War unser Besucher schon einmal im Forum der Gruppe XY im sozialen Netzwerk YZ? Aus den Rückmeldungen können sie automatisiert ein Profil erstellen.
Das ist der digitale Fingerabdruck, auf den es die Forscher abgesehen haben. Den müssen sie nur noch mit einem Index aller Mitglieder aller Gruppen eines Netzwerkes vergleichen - nach dem Muster: Nenne mir die Namen aller Personen, die in den Gruppen X, Y und Z eingetragen sind - und Mehrfachnennungen mit einem Profilcheck ausschließen. "Letztlich," so Thorsten Holz, "bleibt typischerweise nur eine Person übrig, auf die alle Merkmale passen." (siehe Kasten)
Noch ist der von ihnen vorgeführte Angriff relativ plump: Er dauert mehrere Minuten und erkennt Gruppenmitgliedschaften nur, wenn man kürzlich in einer Gruppe aktiv war, Cookies und Javascript aktiviert hat. Das liegt aber auch daran, dass sich die Gruppe aus forschungsethischen Gründen mit ihrem Angriff zurückhalten musste: "Ein Angreifer, der diesen Einschränkungen nicht unterliegt", gibt Wondracek zu bedenken, "könnte noch viel mehr Tricks anwenden." So jemand könnte hartnäckiger im Browser auf Spurensuche gehen, Daten auslesen, unauffälligere Angriffsmethoden wählen. Die Forscher sind davon überzeugt, dass sich der Aufwand lohnt.
Geld durch Deanonymisierung
Denn wer den Namen eines Webbesuchers kennt, hält ein mächtiges Werkzeug in der Hand: Damit kann man Surfer erpressen, ihnen passgenaue Spam- und Phishingmails zuschicken, kann Konkurrenten oder Nebenbuhler auf der eigenen Website identifizieren, sie mittels Social Engineering zur Herausgabe von brisanten Informationen bringen. Unterdrückungsregimes könnten Fallen auslegen, etwa Webserver mit regierungskritischen Inhalten, und sogar Besucher identifizieren, die über einen Anonymisierungsdienst auf die Inhalte zugreifen - denn auch die verhindern nicht die Übertragung der beschriebenen digitalen Fingerabdrücke. Vor allem aber könnten zweifelhafte Websites und Werbedienste diese Informationen ansammeln, aufarbeiten, verkaufen: Spyware 2.0.
Kurzum: Mit Deanonymisierung kann man Geld machen. Und wo man im Internet Geld machen kann, da schreitet die technische Entwicklung rasant voran.
- 1. Teil: IT-Forscher enttarnen Internetsurfer
- 2. Teil: Was Kriminelle mit den Daten machen könnten
