Fraunhofer-Institut warnt vor Angriffen auf soziale Netzwerke
Fraunhofer-Institut warnt vor Angriffen auf soziale Netzwerke
Logo: Facebook.de / Montage: teltarif.de
Das Fraunhofer-Institut für sichere Informationstechnologie hat ein Dossier zur Sicherheit in sozialen Netzwerken
veröffentlicht. Neben allgemeinen Informationen beschäftigt
sich das fast 90-seitige Werk mit konkreten Angriffsmöglichkeiten, sei es
technisch oder durch so genanntes Social Engineering. Letzteres bedient sich heutzutage
aber auch immer öfter technischer Hilfsmittel. Die Zeiten des "Dumpster Diving",
des Suchens nach Informationen in den Müllcontainern, neigen sich langsam ihrem
Ende zu.
Ziel eines Social-Engineering-Angriffes ist es, an Informationen von Firmen oder einzelnen Personen zu gelangen, um diesen – in welcher Art und Weise auch immer – Schaden zuzufügen. Heute könnte man soziale Netzwerke als Müllcontainer der großen Unternehmen bezeichnen. Dem Dossier nach nutzen viele Mitarbeiter ihre persönlichen Profile auch beruflich und geben bewusst oder unbewusst Informationen preis, die Angreifer nutzen können, um gegen ein Unternehmen vorzugehen. Immer häufiger werden dabei auch die Profile verschiedener sozialer Netzwerke miteinander verbunden, was oftmals zu einem zusätzlichen Satz an Informationen führt.
Robin Sage: Fiktive Person befreundet sich mit US-Regierungangestellte
Fraunhofer-Institut warnt vor Angriffen auf soziale Netzwerke
Logo: Facebook.de / Montage: teltarif.de
In den letzten Jahren gab es immer wieder Fälle, in denen berichtet wurde, dass es
gelungen ist, über so genannte "Crawler", das sind Programme, die das Sammeln der
Daten automatisieren, an Informationen von Tausenden von Nutzern zu gelangen. Das
Fraunhofer-Dossier verdeutlicht dabei, dass ein solcher Angriff nicht unbedingt
von Experten durchgeführt werden muss. Mit einem frei verfügbaren Programm ist es
beispielsweise möglich über ein kopiertes Facebook-Profil
an die Daten der Freunde zu gelangen und diese offline zu speichern, sobald sie eine
Freundschaftsanfrage des vermeintlichen Freundes annehmen. Facebook-Applikationen
befreundeter Profile können dabei sogar an Daten gelangen, ohne dass es den Besitzern
bewusst sein muss – auch hier ist also Vorsicht geboten. Das eigene Facebook-Profil
sollte in den Privatsphäre-Einstellungen entsprechend strikt reguliert sein.
Ein besonders spektakulärer Fall von Social Engineering war der von Robin Sage [Link entfernt] , einer fiktionalen IT-Sicherheitsspezialistin, die vom IT-Fachmann Thomas Ryan Ende 2009 ins Leben gerufen wurde. Es gelang ihm, mehrere hochrangige US-Fachleute als Freunde zu gewinnen, darunter auch Angestellte in US-Regierungsbehörden und den globalen Top-500-Unternehmen. Robin Sage erhielt schon nach kurzer Zeit Job-Angebote von Firmen. Ein Angestellter der Raumfahrtbehörde NASA bat ihn sogar um eine Lesung seiner wissenschaftlichen Ergebnisse.
Schadsoftware im Vorbeisurfen
Das Fraunhofer-Institut warnt vor einer weiteren Gefahr. In der Vergangenheit kam es immer wieder zu Vorfällen, bei denen Nutzer auf Werbung klickten, die ihnen angezeigt wurde. Im Anschluss wurden sie über mehrere Werbe-Internetseiten auf eine andere Website geleitet, auf der sich schlussendlich ein Schadprogramm befand. Dieses wurde dann über bekannte Schwachstellen des Browsers und der von ihm verwendeten Software auf dem Rechner installiert.
Weniger gefährlich, aber dennoch unerfreulich ist die Tatsache, dass Facebook-Applikationen, die Freunde nutzen, auf die eigenen Daten zugreifen können. Die etwa 60 Berechtigungen für Facebook-Applikationen sind in 23 Applikationen unterteilt. Dem Dossier folgend wollen 67 Prozent der Zusatzprogramme auf persönliche Daten wie Name, Geschlecht und Freundesliste zugreifen. Für gefährlich hält das Fraunhofer-Institut die Berechtigungen zum ständigen Zugang zu den Daten und zu den Informationen, die Freunde mit einem teilen.
Die Verfasser empfehlen zusätzlich den Einsatz des Browser-Addons Facebook-Disconnect, dass das Versenden von Informationen besuchter Websites an Facebook unterbindet. Generell wird empfohlen, nicht ständig einen Browser-Tab offen zu haben, in dem Facebook geöffnet ist. Dies erleichtert dem sozialen Netzwerk die Zuordnung von beispielsweise Kaufgewohnheiten zu einem bestimmten Nutzerprofil.
Mit Browser-Erweiterungen und Apps Facebook-Profile kapern
Was vielen nicht bewusst sein dürfte ist, wie einfach es ist, Profile in sozialen Netzwerken und auch auf anderen Seiten zu übernehmen, solange wie diese nicht per HTTPS-Verbindung mit dem Server kommunizieren. Bei der Anmeldung wird auf dem Rechner des Anwenders vereinfacht gesagt ein Cookie hinterlegt. Genau dieses Cookie kann bei einer normalen HTTP-Verbindung abgefangen werden und der Angreifer kann sich so gegenüber dem Netzwerk als angemeldeter Nutzer präsentieren.
In unserem Test mit einem dafür angelegten Facebook-Profil gelang uns dieser Zugriff auch innerhalb eines mit WPA2 verschlüsseltem Netzwerk, wobei uns der Netzwerkschlüssel bekannt war. Nach erfolgreicher Übernahme konnten wir Freunde hinzufügen, an unsere Pinnwand schreiben und Einstellungen ändern. Dazu sei aber erwähnt, dass solch ein Zugriff nicht gerade legal ist und viele Nutzer und Webseiten mittlerweile sicherere HTTPS-Verbindungen verwenden. Das erste Programm, das einen solchen Angriff für alle verfügbar machte, wurde vor gut drei Jahren veröffentlicht. Seit Anfang des Monats ist die HTTPS-Verbindung nun auch bei Facebook standardmäßig aktiviert. Wer sichergehen will, dass er so oft wie möglich diese Art der Verbindung nutzt, dem empfehlen die Forscher die Verwendung der Browser-Erweiterung HTTPS-Everywhere.