Safer Internet Day
Wie nutzt man eine Sicherheitslücke aus?
Heute ist Safer Internet Day. Der internationale Tag des sicheren Verhaltens im Netz. Doch anstatt Euch die zweihundertste Belehrung zu geben, dass Ihr keine Alkohol-Bilder auf StudiVZ hochladen sollt, zeigen wir Euch mal, wie eine Sicherheitslücke in der Praxis funktioniert.
Ein Expertenteam aus Österreich hat in der vergangenen Woche ein Verfahren vorgestellt, mit dem sich Nutzer von Social Networks identifizieren lassen – mit Name und Vorname.
Das ist viel einfacher, als das Wort „Sicherheitslücke“ vermuten lässt: Man muss kein Hacker sein und Passwörter knacken, man muss nicht einmal kriminelle Energie aufwenden. Was wir jetzt besprechen, ist quasi legal – solange Ihr das nicht zum Massengeschäft macht oder Eure Lehrer damit erpresst.
So findet man heraus, welche Seiten Ihr besucht
Internetbrowser stellen Links, die schon einmal aufgerufen wurden, in einer besonderen Farbe dar (meistens ein schmutziges lila). Das Bild rechts zeigt das am Beispiel der Wikipedia.
Wenn wir nun wissen wollen, wo Ihr so herumgesurft seid, müssen wir Euch nur auf eine präparierte Seite locken und eine Liste von Webadressen darauf testen, ob sie im Browser eine andere Farbe bekommen.
Weil man so im Prinzip Eure gesamte Surfgeschichte aufdecken kann, heißt dieses Verfahren History Stealing.
So findet man heraus, in welchen Gruppen Ihr seid
Mit genau dieser Methode könnten wir nun herausfinden, in welchen StudiVZ-Gruppen Ihr Mitglied seid. Jede Gruppe bekommt nämlich im Browser eine eindeutige Adresse (URL). Fast immer sind das bestimmte Nummern, die in der Adresszeile auftauchen.
Habt Ihr eine dieser Gruppenseiten besucht (und das wissen wir ja aus Schritt 1), können wir ziemlich sicher davon ausgehen, dass Ihr Mitglied dieser Gruppen seid.
So identifiziert man Euch anhand Eurer Gruppen
Bis hierhin war alles ganz einfach – das Verfahren ist seit fast zehn Jahren bekannt. Die Experten der Uni Wien haben nun mit einem automatischen Programm das Business-Netzwerk Xing Klick für Klick abgegrast und auf ihren Servern alle Gruppen und deren Mitglieder abgespeichert. Das verbieten die Anbieter zwar in ihren AGB, haben bisher aber auch keine wirksamen Maßnahmen dagegen ergriffen.
Nun kommt der eigentliche Kniff: Nehmen wir mal an, Steffi ist in den Gruppen "Erstwähler", "Werbekauffrauen Berlin" und "Alumni Uni Potsdam"; Sven dagegen in den Gruppen "Erstwähler", "Alumni Uni Potsdam" und "Bauingenieur-Forum".
Anhand dieses Musters kann man sie erkennen: es gibt nämlich nicht viele Menschen, die gleichzeitig Mitglieder der selben Gruppen sind – ein ziemlich exakter Fingerabdruck, anhand dessen die Forscher nach eigener Aussage 80 Prozent aller Xing-Mitglieder eindeutig identifizieren konnten.
Alles was wir jetzt noch tun müssen, ist die Gruppenmitgliedschaften mit den von Euch besuchten Gruppenseiten zu vergleichen – letzteres plaudert Euer Browser gern aus, wie wir oben gesehen haben. Die Methode funktioniert im Prinzip bei allen Social Networks, auch bei Facebook.
Was kann man mit den so gewonnen Daten tun?
Noch ist das Verfahren, das gesamte Netzwerk nach Gruppenmitgliedschaften durchzukämmen, ziemlich aufwändig. Doch sind solche Fälle in der Vergangenheit schon vorgekommen (zum Beispiel im StudiVZ-Skandal letztes Jahr) und es ist eigentlich nur eine Frage der Zeit, bis entsprechende Datensammlungen zum Download im Netz kursieren.
Wie gesagt: All das ist nicht mal Hackerei im eigentlichen Sinne, es werden nur Daten ausgewertet, die quasi öffentlich zugänglich sein. Man muss kein einziges Passwort knacken und auch nicht Euer W-Lan belauschen.
Wer die Sache professionell angeht, kann jede Menge anstellen, wenn Euer Name einmal bekannt ist:
- In Facebook oder StudiVZ könnten Betrüger Namen Eurer Freunde heraussuchen und Euch mit ihrem Namen eine Mail schreiben: „Hey hier Susi! Brauche ganz schnell Deine Kontonummer, habe eine Überraschung für Dich :-)“ Würdet Ihr Verdacht schöpfen?
- Unter den Seiten, die Ihr regelmäßig besucht, ist vermutlich auch die Eurer Online-Bank. Betrüger wüssten dann schon wie Ihr heißt und bei welcher Bank Ihr Kunde seid. Das kann schnell gefährlich werden.
- Ganz Übelmeinende könnten Euch eine Falle stellen und Euch erpressen: „Sollen wir Deinen Uni-Kollegen erzählen, dass Du manchmal auf Pornoseiten unterwegs bist? Wir haben Logdateien, die das eindeutig beweisen“.
Was kann ich dagegen tun?
Die Antwort ist ganz einfach und trotzdem anstrengend: Seid paranoid! Löscht zum Beispiel nach jedem Besuch auf Facebook und Co. den Verlauf Eures Browsers (in Firefox heißt das Chronik).
Alle Browser lassen sich so einstellen, dass sie beim Beenden die Chronik automatisch löschen – so seid Ihr beim nächsten Mal wenigstens jungfräulich unterwegs. Darüber hinaus kann es auch nicht schaden, alle anderen Sicherheitstipps zu befolgen – und keine Alkoholbilder auf StudiVZ hochzuladen.
Außerdem könnt Ihr testen, ob Ihr betroffen seid. Für das Netzwerk Xing haben die Forscher eine Beispielseite gebaut, auf der Ihr nachschauen könnt, ob Ihr identifizierbar seid.
