IT-Forscher enttarnen Internetsurfer

Fedja · 2. Februar 2010

IT-Forscher enttarnen Internetsurfer

* 1. Teil: IT-Forscher enttarnen Internetsurfer
* 2. Teil: Was Kriminelle mit den Daten machen könnten

Anonym surfen im Web? Das war einmal. IT-Forschern ist es nach SPIEGEL-ONLINE-Informationen gelungen, Internetsurfer mit einem einfachen Trick namentlich zu identifizieren. Von der Sicherheitslücke sind Millionen Teilnehmer sozialer Netzwerke betroffen - es droht ein Datenschutz-GAU.

{bild-down: http://madmoo.de/blog/wp-content/uploads/2009/11/hacker.jpg}

Es ist ein Horrorszenario für Datenschützer, was Thorsten Holz, Gilbert Wondracek, Engin Kirda und Christopher Kruegel in ihrem 15-seitigen Aufsatz beschreiben ( PDF-Datei hier, 803 KB): Die Experten vom Isec-Forschungslabor für IT-Sicherheit, einer Kooperation der Technischen Universität Wien, dem Institute Eurécom und der University of California, dokumentieren einen technisch eher simplen Angriff, der eine seit zehn Jahren bekannte Sicherheitslücke ausnutzt. Betroffen sind alle Mitglieder von sozialen Netzwerken, die sich Netzwerk-Gruppen angeschlossen haben.

Was viele Menschen nicht wissen: Die jeweiligen Gruppenmitgliedschaften ergeben ein einzigartiges Profil, das Angreifer wie einen Fingerabdruck aus dem Browser ablesen können: "In einem sozialen Netzwerk gibt es eben nur sehr wenige Menschen, die in denselben Gruppen eingetragen sind", erklären Holz und Wondracek im Gespräch mit SPIEGEL ONLINE. "Bei Xing sind 1,8 Millionen Mitglieder in etwa 6500 öffentlichen Gruppen organisiert. Über 750.000 davon haben eine einzigartige Gruppenkonstellation, einen eindeutigen Fingerabdruck."

Wenn eine präparierte Website ihren Besuchern diesen Fingerabdruck abnehmen und mit einer Kartei aller Nutzer eines Netzwerks vergleichen kann, ist der anonyme Websurfer enttarnt.

Wer Mitglied bei Xing ist, kann es auf einer eigens von den Forschern eingerichteten Website gleich selbst ausprobieren: Man muss keine Daten eingeben, nicht einmal im sozialen Netzwerk eingeloggt sein. Die Experiment-Website errät - wenn ein paar Voraussetzungen erfüllt sind - den Namen des Surfers allein anhand der Spuren, die das Business-Netzwerk im Browser hinterlassen hat. Gegen den neuen Angriff hilft nur strikte Datenhygiene - und ein gehöriges Maß Paranoia.

Gilbert Wondracek kam die Idee zu diesem Ansatz, als er die Links in seinem Xing-Profil inspizierte. Er bemerkte: "Da werden personenbezogene Daten vom Browser gespeichert." Er besprach den Fund mit seinem Kollegen Thorsten Holz: "Solche Daten lassen sich mit Hilfe einer uralten Sicherheitslücke abgreifen, dem History Stealing."

Um bereits besuchte Links in einer anderen Farbe darstellen zu können, erhalten Websites Zugriff auf den Browserverlauf. Dass dies ein erhebliches Problem für die Privatsphäre eines Surfers darstellt, ist schon seit Jahren bekannt. Längst gibt es Scherzseiten, die sich das History Stealing zunutze machen: Didyouwatch .com erkennt, ob ein Webbesucher zuvor auf bekannten seiten surfte, Whattheinternetknowsaboutyou.com listet gleich die gesamte archivierte Surf-Vergangenheit des Besuchers auf. Solche Seiten schickt man Freunden zu, damit sie sich ertappt fühlen.

Automatisierte Anfragen beim Browser

Doch was die Sicherheitsforscher herausgefunden haben, ist kein Scherz. Dank History Stealing können sie auf die Gruppenzugehörigkeit eines spezifischen Surfers in sozialen Netzwerken schließen. "Wir waren richtig überrascht, wie einfach das geht", sagt IT-Experte Wondracek.

Nicht nur sie: Prompt erreichte die jungen Forscher eine Einladung zum nächsten " IEEE Symposium on Security & Privacy", einer renommierten Expertenkonferenz. Dort werden sie präsentieren, wie sie das History Stealing mit Hilfe einer entsprechend präparierten Website automatisieren: War unser Besucher schon einmal im Forum der Gruppe XY im sozialen Netzwerk YZ? Aus den Rückmeldungen können sie automatisiert ein Profil erstellen.

Das ist der digitale Fingerabdruck, auf den es die Forscher abgesehen haben. Den müssen sie nur noch mit einem Index aller Mitglieder aller Gruppen eines Netzwerkes vergleichen - nach dem Muster: Nenne mir die Namen aller Personen, die in den Gruppen X, Y und Z eingetragen sind - und Mehrfachnennungen mit einem Profilcheck ausschließen. "Letztlich," so Thorsten Holz, "bleibt typischerweise nur eine Person übrig, auf die alle Merkmale passen." (siehe Kasten)

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

IN VIER SCHRITTEN ZUM KLARNAMEN

Noch ist der von ihnen vorgeführte Angriff relativ plump: Er dauert mehrere Minuten und erkennt Gruppenmitgliedschaften nur, wenn man kürzlich in einer Gruppe aktiv war, Cookies und Javascript aktiviert hat. Das liegt aber auch daran, dass sich die Gruppe aus forschungsethischen Gründen mit ihrem Angriff zurückhalten musste: "Ein Angreifer, der diesen Einschränkungen nicht unterliegt", gibt Wondracek zu bedenken, "könnte noch viel mehr Tricks anwenden." So jemand könnte hartnäckiger im Browser auf Spurensuche gehen, Daten auslesen, unauffälligere Angriffsmethoden wählen. Die Forscher sind davon überzeugt, dass sich der Aufwand lohnt.

Geld durch Deanonymisierung

Denn wer den Namen eines Webbesuchers kennt, hält ein mächtiges Werkzeug in der Hand: Damit kann man Surfer erpressen, ihnen passgenaue Spam- und Phishingmails zuschicken, kann Konkurrenten oder Nebenbuhler auf der eigenen Website identifizieren, sie mittels Social Engineering zur Herausgabe von brisanten Informationen bringen. Unterdrückungsregimes könnten Fallen auslegen, etwa Webserver mit regierungskritischen Inhalten, und sogar Besucher identifizieren, die über einen Anonymisierungsdienst auf die Inhalte zugreifen - denn auch die verhindern nicht die Übertragung der beschriebenen digitalen Fingerabdrücke. Vor allem aber könnten zweifelhafte Websites und Werbedienste diese Informationen ansammeln, aufarbeiten, verkaufen: Spyware 2.0.

Kurzum: Mit Deanonymisierung kann man Geld machen. Und wo man im Internet Geld machen kann, da schreitet die technische Entwicklung rasant voran.

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

2. Teil: Was Kriminelle mit den Daten machen könnten

Meint es ein Angreifer ernst, wird er es wohl nicht wie Holz und Wondracek bei der Suche nach Namen belassen. Je nachdem, wie offenherzig ihre Opfer aber mit Profildaten in sozialen Netzwerken umgehen, könnten sie auch dessen Wohnort, Arbeitgeber, Freunde, Partner, Interessen, Bilder erfahren. Ein Schatz für Internetkriminelle, Überwachungsregimes, zwielichtige Internetwerber. Ein Dilemma für die Surfer: Die müssen nun zwischen Nutzbarkeit eines sozialen Netzwerkes, dessen Essenz die Exposition ist, und dem Datenschutz entscheiden.

Dabei hilft es nicht einmal, es den Angreifern nur schwerer zu machen. Internetgauner sind äußerst geringe Trefferquoten gewohnt: "Wenn einer 20 Millionen Spam-Mails verschickt", gibt Holz zu bedenken, "ist es schon lukrativ, wenn jeder Tausendste klickt." Mit Hilfe personalisierter E-Mails ließe sich diese Quote ganz einfach und risikolos steigern.

Auch die Betreiber von sozialen Netzwerken haben nicht viel Spielraum für Sicherheitsmaßnahmen. Holz und Wondracek schlagen zwar vor, an jeden Link innerhalb eines sozialen Netzwerks eine Zufallszahl anzuhängen, um Angreifern die Identifizierung von Personen zu erschweren. Allerdings kostet so eine Maßnahme viel Geld und Serverkraft. Die Surfer bemerken die Vorkehrungen vor allem daran, dass sie derartig geschützte Links nicht mehr als Lesezeichen speichern können - also als Surfhindernis.

Auch eine Blockade der für den Angriff so wichtigen Webcrawler scheint schier unmöglich: Ein illegaler Angreifer könnte einfach ein Botnet mieten und zehntausende Privatrechner die Recherchearbeit durchführen lassen - keine Chance für das soziale Netzwerk, so eine Attacke zu parieren.

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

FOLGENDE SZENARIEN SCHWEBEN DEN FORSCHERN VOR

Soziale Kontrolle

Herauszufinden, wie sich trotzdem Schutzmaßnahmen ergreifen lassen könnten, ist nun eine gemeinsame Aufgabe von Sicherheitsexperten und Netzwerk-Anbietern. Von SPIEGEL ONLINE auf das Datenschutzproblem aufmerksam gemacht, hat Xing die beiden Forscher nun eingeladen, an einem Sicherheitskonzept für das Netzwerk zu arbeiten, teilt die Pressestelle mit. Aber auch andere Netzwerke sollten zügig Schutzvorkehrungen treffen, fordert Holz. Gerade in Netzwerken mit jungen Nutzern ist es sehr populär, sich in vielen Gruppen einzutragen: "Je mehr Gruppen, desto besser funktioniert unser Angriff."

Dabei muss man gar nicht einmal das Schlimmste befürchten: Wahrscheinlich verwenden Angreifer das History Stealing eher dazu, alte Angriffsmethoden zu verfeinern. Wer bisher Spam-Mails an per Zufallsgenerator erzeugte E-Mail-Adressen schickt, kann jetzt echte Namen beschicken. Wer Onlinebanking-Teilnehmer mit Phishing-Attacken zur Herausgabe von PIN- und TAN-Nummern bringen will, kann sie jetzt unter ihrem echten Namen als vermeintlich echter Freund ansprechen. Die nächste Betrugs-E-Mail kommt plötzlich von einem echten Firmenkontakt statt von einem Ölbaron aus Nigeria. Und will sich ein Internetangreifer noch glaubwürdiger als Freund ausgeben, ruft er einfach auf dem Handy an - die Nummer kennt er aus dem Netzwerk-Profil.

Experimentierfreude jedenfalls werden Internetgauner sicherlich entwickeln: "Diese neue Angriffsmethode ist so simpel, dass auch technisch nicht sehr versierte Hacker sie umsetzen können", meint Thorsten Holz. Vermutlich ist das alles noch nicht einmal illegal. Wer History Stealing betreibt, nutzt ein völlig legales Feature jedes Webbrowsers. Das automatisierte Durchkämmen von sozialen Netzwerken verstößt vielleicht gegen die Nutzungsbedingungen der Anbieter - trotzdem bieten ganz legale Dienstleister so einen Service im Netz für ein paar Dollar an.

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Opfer-Dossiers vom Cyberverbrecher

Der Hack hat es in sich: Wer etwa eine Sicherheitslücke bei Facebook nutzt, spielt mit den Daten von 350 Millionen Mitgliedern weltweit. Besonders verlockend für Holz und Wondracek: Es gibt Millionen von Gruppen. Verbindet man diese Daten mit anderen Informationen aus Datenraubzügen, könnten Cyberverbrecher wahre Opfer-Dossiers erstellen - automatisch, billig, hochaktuell.

Und so ist auch das Schadenspotential der neuen Angriffsmethode noch gar nicht ausgelotet. Zumal wirklichen Schutz vor diesem Angriff nur das konsequente Abschalten der Surf-History bietet, eine Möglichkeit, die beispielsweise der Google-Browser Chrome nicht einmal anbietet. Nur wer dort konsequent im "Inkognito"-Modus surft, ist vor der Deanonymisierung sicher.

Mit Firefox, Internet Explorer und Opera lässt sich der Surfverlauf zwar komplett abschalten, damit büßt man aber auch Internetbequemlichkeit ein. Dass sich das Gros der Internetsurfer das antut, ist unwahrscheinlich - vor allem, weil es einiges technisches Verständnis vom Browser erfordert. Holz: "Die Erfahrung zeigt, dass nur wenige solche Sicherheitsmaßnahmen freiwillig ergreifen."

Vor allem aber machen sich die Wiener Forscher Sorgen, dass ihr Angriff nicht nur auf sozialen Netzwerken wie Facebook und Xing funktioniert, sondern auch auf Shopping-Plattformen, in Foren, Beratungsnetzwerken, Preissuchmaschinen - eigentlich allem, was unter dem Begriff Web 2.0 firmiert.

Thorsten Holz: "Prinzipiell sind alle Internetangebote betroffen, in denen sich Leute unter ihrem Klarnamen anmelden und in Gruppen organisieren."

Damit rührt der Angriff an den zwei Säulen des modernen Umgangs im Internet: Der relativen Anonymität beim Surfen und der Tendenz zur Entblößung in sozialen Netzwerken. Seine technische Einfachheit demonstriert, dass im Internet viele Datenschutzrisiken auf so tiefer Ebene im Design angelegt sind, dass es wirklichen Schutz nicht geben kann: Wer von der Entblößung profitieren will, muss auch das Risiko einer Entblößung tragen. Der Traum vom anonym nutzbaren Medium ist ausgeträumt.

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Quelle: Sicherheitslücke: IT-Forscher enttarnen Internetsurfer - SPIEGEL ONLINE

Anzeige

dipsrot · 3. Februar 2010

AW: IT-Forscher enttarnen Internetsurfer

naja, da gabs ja die seite Start Panicking! die macht sowas ähnliches...

dann wird halt ab jetzt wie verrückt cookies gelöscht bei den paranoiden

lolomat · 3. Februar 2010

AW: IT-Forscher enttarnen Internetsurfer

wer lesen kann ist klar im vorteil.......

es wird per javascript die history ausgelesen, das ist kein cookie

dipsrot · 3. Februar 2010

AW: IT-Forscher enttarnen Internetsurfer

ja dann wird halt history gelöscht

-=LuIgI=- · 3. Februar 2010

AW: IT-Forscher enttarnen Internetsurfer

Hey,

bei mir wird bei den aufeglisteten Seiten keine History gefunden,
dass kommt davon wenn man den Brwoser nichts speichern oder protokollieren lässt=)

Gruß LuIgI

KindergartenKid · 3. Februar 2010

AW: IT-Forscher enttarnen Internetsurfer

Naja, ich lasse schon länger keine History mehr speichern. Brauch man eh viel zu selten...
Den "Bug" gibts ja schon länger, jetzt wird er halt bekannter & die Methode um die Leute ausfindig zu machen verstärkt das ganze natürlich noch...

Also wer leicht paranoide Ansätze hat (wie ich^^) der lässt einfach keine History anlegen, fertig

nofuture · 3. Februar 2010

AW: IT-Forscher enttarnen Internetsurfer

Also wer Javascript benutzt ist selber schuld. Aber wie da schon steht es geht ja auch geschickter. Aber die Lösung ist doch letztenendes ziemlich banal. Keine History und Cookies nach jeder Benutzung des Browsers löschen. Und wer sich im Internet mit seinen Realdaten irgendwo anmeldet wie in sozialen Netzwerken ist letztenendes selber schuld. Wer auf Anonymität verzichtet nur weil er nichtmehr im stande ist auf konventionellem Wege mit seinen Freunden in Kontakt zu bleiben ist selber Schuld

YaLcIn · 3. Februar 2010

AW: IT-Forscher enttarnen Internetsurfer

Bei mir wird ebenfalls, seit einigen Monaten nichts mehr gespeichert.
Man erkennt eben nach einier Zeit, dass das Internet garnicht sicher ist.

googelt mal noch eurer icq oder msn Adresse, eventuell nach eurer e-mail.

Ich selber versuchte Anonym zu bleiben,aber habe gemerkt,dass es nicht funktioniert.

Thrake7 · 3. Februar 2010

AW: IT-Forscher enttarnen Internetsurfer

gibt es eigentlich ne möglichkeit, die gleich auszuschalten?

YaLcIn · 3. Februar 2010

AW: IT-Forscher enttarnen Internetsurfer

Unter firefox kann man einstellen, dass die garnicht gespeichert wird.
Jedenfalls ist es bei mir so.Außer die Favo. links

xXsoureXx · 3. Februar 2010

AW: IT-Forscher enttarnen Internetsurfer

ich surfe schon lange nicht mehr ohne plugins wie noscript oder adblock... von
daher wird das mit dem Javascript nicht ganz so leicht bei mir gehen^^

nur weil man in einem sozialen Netzwerk mit seinem richtigen Name angemelde ist, heißt das doch noch lange nicht, dass man auf "konventionellem" Wege keinen Kontakt zu seinen Freunden hat..

grafix · 3. Februar 2010

AW: IT-Forscher enttarnen Internetsurfer

Hab ich bei mir auch so eingestellt.
Diese genannten Seiten (whattheinternetknowsaboutyou etc) haben bei mir auch nichts gefunden aus dem Grund. Die Testseite der Forscher ist ja nur für XING-Nutzer (ist in der Originalquelle zu finden der Link)...

absolute_ownz · 3. Februar 2010

AW: IT-Forscher enttarnen Internetsurfer

History + Cookies werden bei mir eh gelöscht nach dem beenden

Kann mir jmd. erklären was das Problem ist wenn man javascript an hat?

In Zukunft wird man eh nirgendswo mehr sicher sein, was nicht heißen soll, dass ich social Networks für gut heiße

xXsoureXx · 3. Februar 2010

AW: IT-Forscher enttarnen Internetsurfer

lies dir mal Schritt zwei durch:

Das auslesen der History wird mit Javascript verwirktlicht.

Gonzorium · 3. Februar 2010

AW: IT-Forscher enttarnen Internetsurfer

Wenn man die History deaktiviert hat, kann Javascript aber auch nichts finden.
Heutzutage Javascript zu deaktivieren ist doch unmöglich, jede zweite Seite braucht ajax.
Aber ne Whitelist wie mit Noscript ist ne Lösung.

Nützliche Suchen

IT-Forscher enttarnen Internetsurfer

Videos zum Themenbereich