Sicherheit im Web-2.0-Zeitalter

Web 2.0 bringt nicht nur interaktive Anwendungen ins Internet. Es öffnet auch Sicherheitslücken und kompromittiert die Privatsphäre.

Artikel erschienen in Swiss IT Magazine 2006/14

     

Das Web der Generation 2 ist definitiv cool. Anwendungen wie Wikipedia, Flickr, MySpace und so weiter ziehen Millionen von Usern an - die unzähligen Blogs noch gar nicht mitgerechnet.
Der Hype um die neuen Web-Anwendungen erinnert aber auch fatal an die Dotcom-Blase Ende der 90er Jahre. Die Geschichte wiederholt sich, mit allen Zutaten wie einer unüberschaubaren Menge von Start-ups, völlig überteuerten Firmenübernahmen (580 Millionen Dollar für MySpace) und kostspieligen, aber nicht unbedingt nutzbringenden Konferenzen.
Und nicht wenige Experten sehen sich auch an die frühen Tage der Softwareentwicklung erinnert, als sich alles um Features drehte und kein Mensch einen Gedanken an Sicherheit verschwendete.


Sicherheit bleibt aussen vor

Tatsächlich warnen derzeit zahlreiche Sicherheitsspezialisten, darunter F-Secure, Kaspersky Lab und Sophos, vor den Gefahren, die von den Web-2.0-Anwendungen ausgehen. Und einige davon wurden ja auch bereits von Würmern angegriffen. So wurde beispielsweise im Frühsommer dieses Jahres Yahoo Mail vom Yamanner-Wurm heimgesucht. Dieser sammelte Yahoo-Adressen und verbreitete sich durch die Kombination von AJAX und einer Java­Script-Lücke.
Auch MySpace hat bereits Erfahrungen mit Angriffen gemacht, und zwar gleich mehrmals. Im vergangenen Herbst hat der Cross-Site-Scripting-Wurm Samy seinem Autor innert weniger Stunden einige hunderttausend Freunde beschert, im Juli 2006 hat der auf einem Flash-Bug basierende Spaceflash-Wurm die «About Me»-Seiten vieler User verunstaltet, und bloss eine Woche später wurde bekannt, dass ein präpariertes Werbebanner über längere Zeit versucht hat, MySpace-Besucher mit Spyware zu infizieren.
Web-2.0-Anwendungen als Virenschleudern? Keine schöne Vorstellung für die Betreiber der Sites, aber eine, an die sie sich wohl gewöhnen müssen. Denn die für Web 2.0 verwendeten Technologien wie AJAX (Asynchronous JavaScript And XML) machen die Websites nicht nur interaktiver, sondern bieten Hackern auch eine Menge von Möglichkeiten, Webserver anzugreifen, Viren und Würmer ohne Zutun der Anwender zu verbreiten und Userdaten zu sammeln. Dadurch, dass in Web-2.0-Anwendungen ein ständiger Datenaustausch zwischen Server und Browser stattfindet und JavaScripts auf beiden Seiten ausgeführt werden, wächst die Angriffsfläche im Vergleich zu herkömmlichen Webanwendungen enorm.
Angreifbar sind auch RSS-Feeds, wie unlängst bekannt wurde. So können bei den unter dem Namen Feed-Injection benannten Attacken beispielsweise durch Cross-Site-Scripting, Key-Logging oder Cross-Site Request Forgery bösartige Codes auf fremde Rechner geschleust oder Informationen abgefangen oder manipuliert werden.


XSS im Vordergrund

Einen beachtlichen Teil dieser potentiellen Angriffsfläche bieten Cross-Site-Scripting-Möglichkeiten (XSS), die auf unsauber programmierten Seiten und Scripts beruhen. Als problematisch können sich auch die offenen Schnittstellen vieler Web-2.0-Anwendungen erweisen, die Hackern ein ganz neues Betätigungsfeld bieten. Daneben gibt es zahlreiche weitere Fehlerquellen, darunter etwa Verletzungen des Objekt-Modells, schlechtes Error-Handling und so weiter, die in vielen Web-2.0-Anwendungen und sogar in AJAX-Anleitungen zu finden sind. Über diese Fehler könnten Angreifer beispielsweise User-Konten übernehmen oder bösartigen Code verbreiten, aber auch gezielte Datenmanipulation oder sogar Industriespionage ist denkbar.
Dabei werden mit AJAX nicht einmal neue Fehlerquellen eingeführt - die Web-2.0-Technologien beruhen ja auf bewährten Techniken. Sie machen es nur einfacher, längst bekannte Fehler erneut zu machen. Auf der anderen Seite vereinfachen es Web-2.0-Anwendungen, die sich ja bekanntlich immer mehr den Pendants auf dem Desktop angleichen, einmal erkannte Fehler auszubügeln. Anders als bei Desktop-Applikationen, die über Millionen von PCs verstreut sind, kann ein Bug in einer Web-Anwendung schnell und einfach auf dem Server gepatcht werden, auch wenn Millionen von Anwendern den Service nutzen.


Das Ende der Privatsphäre

Ein komplett anderes Problemfeld eröffnen die sozialen Netzwerke, deren Erfolgszug eng mit dem Web 2.0 verknüpft sind. Natürlich sind auch sie nicht vor der Viren-, Würmer- und Spyware-Problematik gefeit, wie Samy und das manipulierte Werbebanner gezeigt haben. Auch DoS-Attacken und andere Angriffe sind denkbar. Problematischer allerdings erscheinen in diesem Zusammenhang die möglichen Auswirkungen sozialer Netzwerke auf Privatsphäre und Datenschutz.
Firmen wie Youtube oder MySpace verbrennen täglich Unsummen für Serverfarmen und Bandbreite - und verdienen über Google-Ads höchstens ein Trinkgeld. Dennoch war MySpace für Rupert Murdochs News Corporation über eine halbe Milliarde Dollar wert. Warum?
Die Antwort liegt auf der Hand: Daten. MySpace-Profile beinhalten so ziemlich alles, was einen Werber interessiert. Und was er da nicht findet, lässt sich leicht per Google oder die nun in Mode kommenden Mash-ups ergänzen. Traditionelle Such- und Medienunternehmen wie Google, Yahoo oder eben die News Corp. sind schon seit längerem erfolgreich damit beschäftigt, Profile ihrer Anwender zu erstellen - und die Web-2.0-Anwendungen vereinfachen dieses Vorhaben wesentlich.
Denn der moderne Surfer und Web-2.0-Nutzer legt sich seine Fiche gleich selber an. Mit ein wenig Aufwand kann man im Web schon heute eine Menge über seine Mitmenschen erfahren - von den aktuellen und ehemaligen Arbeitgebern sowie Bekannten in OpenBC über Hobbies, Vereinszugehörigkeiten und sexuelle Vorlieben in Orkut bis hin zu Wunschträumen und Feriendestinationen im 43things-Netzwerk, dazu jeweils ein aktuelles Foto und möglicherweise sogar der tatsächliche Name. Die Liste der Informationswünsche der Datensammler ist schier endlos. Und ähnlich endlos ist die Vertrauensseligkeit der Anwender von Web-2.0-Diensten, die diese und weitere Daten offenbar bedenkenlos preisgeben.


Super-GAU des Datenschutz

Abgesehen von der leidigen Werbegeschichte, die künftig auf-
grund dieser Informationen noch wesentlich personalisierter daherkommen wird, erwachsen aus der Verknüpfung von Daten und deren durchaus möglichen Manipulation auch gewaltige potentielle Gefahren.
In Zeiten der staatlichen Paranoia, die derzeit vor allem in den USA grassiert, ist es etwa alles andere als ungefährlich, sogenannt subversive Bücher zu lesen. Nun ist es allerdings ziemlich simpel, aus den Wunsch- und Rezensionslisten von Amazon kombiniert mit Google Maps komplette Landkarten mit den Lesern derartiger Bücher zu erstellen, wie Tom Owad unter Applefritter.com demonstriert hat. Eine Vorgehensweise, die nicht nur Geheimdienste interessieren dürfte.
Mit recht wenig Aufwand und der nötigen kriminellen Energie liessen sich dank Web 2.0 sogar Existenzen zerstören. So ist es durchaus möglich, in Dienste wie Flickr oder MySpace einzubrechen und die dort gelagerten Daten zu manipulieren. Pornografie im persönlichen Online-Fotoalbum, kompromittierende Einzelheiten im MySpace-Profil oder Schimpftiraden auf Arbeitgeber und Nachbarn im eigenen Blog? Für soziale Abstiege hat durchaus schon weniger gereicht.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER