Fraunhofer-Institut warnt vor Angriffen auf soziale Netzwerke

Fraunhofer-Institut warnt vor Angriffen auf soziale Netzwerke
Logo: Facebook.de / Montage: teltarif.de Das Fraun­hofer-Institut für sichere Infor­mations­techno­logie hat ein Dossier zur Sicher­heit in sozia­len Netz­werken ver­öffent­licht. Neben all­gemei­nen Infor­mationen beschäf­tigt sich das fast 90-seitige Werk mit kon­kreten Angriffs­möglich­keiten, sei es technisch oder durch so genanntes Social Engineering. Letzteres bedient sich heut­zutage aber auch immer öfter tech­nischer Hilfs­mittel. Die Zei­ten des "Dumpster Diving", des Suchens nach Infor­mationen in den Müll­containern, neigen sich lang­sam ihrem Ende zu.

Ziel eines Social-Engineering-Angriffes ist es, an Informationen von Firmen oder einzelnen Personen zu gelangen, um diesen – in welcher Art und Weise auch immer – Schaden zuzufügen. Heute könnte man soziale Netzwerke als Müllcontainer der großen Unternehmen bezeichnen. Dem Dossier nach nutzen viele Mitarbeiter ihre persönlichen Profile auch beruflich und geben bewusst oder unbewusst Informationen preis, die Angreifer nutzen können, um gegen ein Unternehmen vorzugehen. Immer häufiger werden dabei auch die Profile verschiedener sozialer Netzwerke miteinander verbunden, was oftmals zu einem zusätzlichen Satz an Informationen führt.

Robin Sage: Fiktive Person befreundet sich mit US-Regierungangestellte

Fraunhofer-Institut warnt vor Angriffen auf soziale Netzwerke
Logo: Facebook.de / Montage: teltarif.de In den letzten Jahren gab es immer wieder Fälle, in denen berichtet wurde, dass es gelungen ist, über so genannte "Crawler", das sind Programme, die das Sammeln der Daten automatisieren, an Informationen von Tausenden von Nutzern zu gelangen. Das Fraunhofer-Dossier verdeutlicht dabei, dass ein solcher Angriff nicht unbedingt von Experten durchgeführt werden muss. Mit einem frei verfügbaren Programm ist es beispielsweise möglich über ein kopiertes Facebook-Profil an die Daten der Freunde zu gelangen und diese offline zu speichern, sobald sie eine Freundschaftsanfrage des vermeintlichen Freundes annehmen. Facebook-Applikationen befreundeter Profile können dabei sogar an Daten gelangen, ohne dass es den Besitzern bewusst sein muss – auch hier ist also Vorsicht geboten. Das eigene Facebook-Profil sollte in den Privatsphäre-Einstellungen entsprechend strikt reguliert sein.

Ein besonders spektakulärer Fall von Social Engineering war der von Robin Sage [Link entfernt] , einer fiktionalen IT-Sicherheitsspezialistin, die vom IT-Fachmann Thomas Ryan Ende 2009 ins Leben gerufen wurde. Es gelang ihm, mehrere hochrangige US-Fachleute als Freunde zu gewinnen, darunter auch Angestellte in US-Regierungsbehörden und den globalen Top-500-Unternehmen. Robin Sage erhielt schon nach kurzer Zeit Job-Angebote von Firmen. Ein Angestellter der Raumfahrtbehörde NASA bat ihn sogar um eine Lesung seiner wissenschaftlichen Ergebnisse.

Schadsoftware im Vorbeisurfen

Das Fraunhofer-Institut warnt vor einer weiteren Gefahr. In der Vergangenheit kam es immer wieder zu Vorfällen, bei denen Nutzer auf Werbung klickten, die ihnen angezeigt wurde. Im Anschluss wurden sie über mehrere Werbe-Internetseiten auf eine andere Website geleitet, auf der sich schlussendlich ein Schadprogramm befand. Dieses wurde dann über bekannte Schwachstellen des Browsers und der von ihm verwendeten Software auf dem Rechner installiert.

Weniger gefährlich, aber dennoch unerfreulich ist die Tatsache, dass Facebook-Applikationen, die Freunde nutzen, auf die eigenen Daten zugreifen können. Die etwa 60 Berechtigungen für Facebook-Applikationen sind in 23 Applikationen unterteilt. Dem Dossier folgend wollen 67 Prozent der Zusatzprogramme auf persönliche Daten wie Name, Geschlecht und Freundesliste zugreifen. Für gefährlich hält das Fraunhofer-Institut die Berechtigungen zum ständigen Zugang zu den Daten und zu den Informationen, die Freunde mit einem teilen.

Die Verfasser empfehlen zusätzlich den Einsatz des Browser-Addons Facebook-Disconnect, dass das Versenden von Informationen besuchter Websites an Facebook unterbindet. Generell wird empfohlen, nicht ständig einen Browser-Tab offen zu haben, in dem Facebook geöffnet ist. Dies erleichtert dem sozialen Netzwerk die Zuordnung von beispielsweise Kaufgewohnheiten zu einem bestimmten Nutzerprofil.

Mit Browser-Erweiterungen und Apps Facebook-Profile kapern

Was vielen nicht bewusst sein dürfte ist, wie einfach es ist, Profile in sozialen Netzwerken und auch auf anderen Seiten zu übernehmen, solange wie diese nicht per HTTPS-Verbindung mit dem Server kommunizieren. Bei der Anmeldung wird auf dem Rechner des Anwenders vereinfacht gesagt ein Cookie hinterlegt. Genau dieses Cookie kann bei einer normalen HTTP-Verbindung abgefangen werden und der Angreifer kann sich so gegenüber dem Netzwerk als angemeldeter Nutzer präsentieren.

In unserem Test mit einem dafür angelegten Facebook-Profil gelang uns dieser Zugriff auch innerhalb eines mit WPA2 verschlüsseltem Netzwerk, wobei uns der Netzwerkschlüssel bekannt war. Nach erfolgreicher Übernahme konnten wir Freunde hinzufügen, an unsere Pinnwand schreiben und Einstellungen ändern. Dazu sei aber erwähnt, dass solch ein Zugriff nicht gerade legal ist und viele Nutzer und Webseiten mittlerweile sicherere HTTPS-Verbindungen verwenden. Das erste Programm, das einen solchen Angriff für alle verfügbar machte, wurde vor gut drei Jahren veröffentlicht. Seit Anfang des Monats ist die HTTPS-Verbindung nun auch bei Facebook standardmäßig aktiviert. Wer sichergehen will, dass er so oft wie möglich diese Art der Verbindung nutzt, dem empfehlen die Forscher die Verwendung der Browser-Erweiterung HTTPS-Everywhere.