Sozial aber unsicher Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


06.05.2009 Oliver Weiss

Sozial aber unsicher

Soziale Netzwerke erleben derzeit einen Höhenflug. Nur wenige Anwender sind sich jedoch bewusst, wieviele Gefahren die unvorsichtige Nutzung birgt.

Es ist gemeinhin bekannt, dass sich unvorsichtige User in Online Communities wie Xing, StudiVz und Facebook durch unüberlegte Angaben, durch Bilder und Ähnliches für die breite Öffentlichkeit transparent machen. Neben dem freiwilligen Verlust der Privatsphäre durch die Offenheit vieler User lauern jedoch zusätzliche Bedrohungen. Dass Social Networks auch technologisch zahlreiche Sicherheitsrisiken bergen, ist den wenigsten bewusst. Die Compass Security AG hat etliche Schwachstellen identifiziert, die es ermöglichen, User-Accounts zu manipulieren und kompromittieren, Nachrichten mitzulesen und vieles mehr.

Ulrike Peter, Senior Vice President der PR-Agentur Sprengel & Partner, hat am eigenen Leib erlebt, wie schnell man einer derartigen Attacke zum Opfer fallen kann: "Ich telefonierte mit Marco Di Filippo von unserem Kunden Compass Security und er schickte mir dabei eine E-Mail mit dem Link https://www.xing.com/bestoffers, in der er ein Angebot bei Xing suggerierte. Es öffnete sich nach dem Anklicken die übliche XING-Anmeldemaske und ich habe mich wie gewohnt in meinen Account eingeloggt. Nachdem ich dies getan hatte, las er mir mein Passwort vor. Ich war völlig perplex."

ZUGRIFF AUF WEITERE ACCOUNTS Dieses Beispiel diente Demozwecken, verdeutlicht aber die Brisanz sowie die möglichen Folgen. Der Angreifer, der durch eine derartige "Man in the Middle-Attacke" an ein Passwort oder weitere Daten gelangt, könnte sich so beispielsweise auch Zugriff zu weiteren Accounts des jeweiligen Users verschaffen. Denn die meisten Menschen neigen dazu, immer das gleiche Kennwort zu verwenden. Gleichzeitig könnten die Angreifer eine Vielzahl solcher Links im Web 2.0 oder bei Google streuen und unbedarfte User würden sie bedenkenlos nutzen.

Der Wegbereiter sind typische Schwachstellen in Social Networks, die sich mit denen anderer Web-Applikationen decken. Die in vorherigem Fall angewandte Angriffsmethode nennt sich Redirecting-Attacke und lässt sich auf alle möglichen Plattformen übertragen, für die eine Authentifikation notwendig ist. Weitere WepApp-Schwachstellen erlauben die Ausführung diverser Skripts, um User-Sitzungen zu stehlen, Websites zu verunstalten oder Malware zu installieren.

FEHLERHAFTE PROGRAMMIERUNG "Ursache sind die zum Teil fehlerhaften und unsicheren technologischen Umsetzungen dieser Internetdienste bzw. Web-Applikationen. Programmierer konzentrieren sich bei der Entwicklung häufig primär auf die Funktionalität, anstatt auf die Security", erklärt Marco Di Filippo, Regional Director Germany bei Compass. "Neben den seit Jahren bekannten Schwachstellen werden zunehmend neue Verwundbarkeiten entdeckt, die es Angreifern beispielsweise erlauben, auf nicht freigegebene Informationen zuzugreifen."

Vor wenigen Wochen wurde beispielsweise die Internetseite des deutschen Politikers Wolfgang Schäuble und des Fussballvereins FC Schalke gehackt. Auf letzterer wurde eine Meldung platziert, die besagte, dass der Stürmer Kevin Kurani von seinen vertraglichen Pflichten entbunden wurde und vom Verein mit sofortiger Wirkung freigestellt worden sei. Wie sich herausstellte, war hierfür eine Sicherheitslücke im Content-Management-System Typo3 (SQL-Injection-Lücke) verantwortlich.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.



Hosted by:    Security Monitoring by: