Facebook verbessert die Datenschutz-Einstellungen, nicht den Datenschutz

Erinnert sich noch jemand von Ihnen an den ersten Versuch der Deutschen Post, das eigene Geschäft ins Internet auszudehnen? Unter dem Namen ePost? Beworben als “lebenslange E-Mail-Adresse”? Nun, ich lebe noch, meine ePost-Adresse [email protected] nicht mehr. Die soll ich mir nun neu registrieren, meint die Post. Damit ich endlich auch im Internet das Briefgeheimnis nutzen kann. Sorry, Leute, aber das ist doch wohl ein schlechter Witz, oder? Briefgeheimnis in Zeiten von E-Mails? Da wäre ich ja schön blöd, wenn ich mich damit zufrieden geben würde. Oder wenn ich einen Anbieter wählen würde, der mich schon mal mit tollen Versprechen geködert und dann gekniffen hat.

Briefgeheimnis war gestern

Eine Möglichkeit, einer harmlosen Website Code für Drive-by-Infektionen unter zu schieben, besteht im Ausnutzen von Schwachstellen in der jeweiligen Webanwendung. Da es darum geht, iframes oder script-Tags einzufügen, scheint dafür auf den ersten Blick das auch als “JavaScript Injection” bezeichnete persistente Cross-Site Scripting gut geeignet zu sein. Im Rahmen von Massenangriffen wurden bisher aber bevorzugt SQL-Injection-Schwachstellen ausgenutzt.

SQL-Injection mit dem Vorschlaghammer

Microsoft will am Juli-Patchday u.a. einen Patch für die am 10. Juni von Tavis Ormandy veröffentlichte 0-Day-Schwachstelle im Windows Help and Support Center von Windows XP und Server 2003 veröffentlichen. Eigentlich ist es erfreulich, dass eine 0-Day-Schwachstelle, die bereits kräftig ausgenutzt wird, so zügig behoben wird. Wenn das Wörtchen “wenn” nicht wäre: Wenn Microsoft sich nicht so extrem ungeschickt angestellt hätte, wäre es nie eine 0-Day-Schwachstelle geworden.

Wer hats verbockt?

Drive-by-Infektionen sind die zur Zeit wohl größte Bedrohung im Web: In eigentlich vertrauenswürdige Websites eingeschleuste iframes oder script-Tags versuchen, auf den Rechnern der Besucher Schadsoftware einzuschleusen. Und auch außerhalb des Webs lauert diese Gefahr: Cyberkriminelle können ihre Opfer über E-Mails auf präparierte Seiten locken, wie es z.B. im Rahmen der “Operation Aurora” genannten gezielten Angriffe auf Google und andere Unternehmen eindrucksvoll vorgeführt wurde. Und Sophos berichtet über Spam-Mails, deren HTML-Anhänge außer dem Spam zusätzlich einen unsichtbaren iframe zum Einschleusen von Schadcode enthalten.

Der klassische Fall: Kompromittierte Websites

“Geschenkt ist geschenkt, wiederholen ist gestohlen”, so lautet ein alter Kinderspruch, und was für Geschenke gilt, gilt für Käufe ja wohl erst recht, oder? Google sieht das anders und hat in Android eine Funktion implementiert, die das Löschen von Apps erlaubt. Diese Funktion wurde im Juni verwendet, um zwei von Jon Oberheide entwickelte Proof-Of-Concept-Apps zu löschen: RootStrap, das sich regelmäßig mit einem Server verbindet und ggf. weiteren Code nachladen kann, und “Twilight Eclipse Preview”, eine als Vorschau für den Film “Twilight Eclipse” getarnte Version von RootStrap (Vortrag). Nett von Google, nicht wahr? Immerhin wird so “Schadsoftware” gelöscht, und die Android Market Terms of Service erlauben Google das Löschen:

“2.4 From time to time, Google may discover a Product on the Market that violates the Android Market Developer Distribution Agreement or other legal agreements, laws, regulations or policies. You agree that in such an instance Google retains the right to remotely remove those applications from your Device at its sole discretion and without notice to you.”

Einen neuen Phishing-Ansatz hat Aza Raskin, der ‘Creative Lead’ für Firefox, beschrieben: Indem der Titel, der Inhalt und das Favicon eines gerade nicht im Fokus liegenden Browser-Tabs geändert werden, kann dem Benutzer darin eine vertrauenswürdige Webseite vorgetäuscht werden, in der er dann womöglich seine Zugangsdaten eingibt. Aza Raskin hat das nach einer Anregung von Brian Krebs als Tabnabbing bezeichnet (vor dem Öffnen des Links bitte unten den Hinweis zur Demonstration des Angriffs lesen). Die Änderungen funktionieren auch auf einer einzelnen Seite, sofern die aus dem Fokus genommen wird, z.B. weil der Browser in den Hintergrund geschoben wird. Dort fallen sie aber natürlich eher auf.

Anlocken und Abphishen

… und erst Recht nicht auf Befehl.

Bundesinnenminister Dr. Thomas de Maizière hat eine Grundsatzrede zur Netzpolitik gehalten und darin ein “digitales Radiergummi” gefordert:

“Ziel wären ein “digitales Radiergummi” und ein Verfallsdatum, das ich an meine Daten anbringen kann. Möglicherweise sollten wir über ein “Recht, vergessen zu lassen” nachdenken, wie es der EU-Kommission vorschwebt. Hilfreich wäre in vielen Fällen schon ein sog. Indexierungsverbot, bei dem Suchmaschinenbetreiber verpflichtet werden, bestimmte markierte Einträge bei den Sucherergebnissen nicht anzuzeigen.”

Das mit dem vergessen kann man vergessen

In der vorherigen Folge erfuhren Sie, wie sich über Clickjacking Texte in Textfelder einfügen lassen. Ein Angreifer kann so Formulare auf fremden Seiten mit Texten seiner Wahl füllen. Es ist aber auch möglich, Texte von fremden Seiten in die eigene Seite kopieren zu lassen und dadurch sensitive Informationen auszuspähen:

Texte mit Clickjacking kopieren

ASP-Webanwendungen und SSH-Zugänge sind zur Zeit die Ziele von Massenangriffen. Beides sind eigentlich altbekannte Ziele, nur dass sich das unter ASP-Entwicklern wohl noch nicht rum gesprochen hat. Bei den Angriffen auf SSH gibt es aber wirklich eine Neuigkeit: Die Angreifer haben mit der Keyboard-Interactive-Authentication ein neues Ziel im Visier.

ASP unsicherer als PHP?

Zum Abschluss des Themas “Clickjacking” geht es in dieser und der nächsten Folge um die abgesehen von den “Likejacking”-Angriffen aktuellsten Entwicklungen: Die im April von Paul Stone von Context Information Security auf der Sicherheitskonferenz Black Hat Europe 2010 vorgestellten Clickjacking-Angriffe (Whitepaper, Präsentation als PDF und Video als .m4v).

“Für Windows XP und Server 2003 wurde eine 0-Day-Schwachstelle veröffentlicht, und Google ist schuld!” – so ungefähr könnte man das zusammenfassen, was vorige Woche abgelaufen ist. Jedenfalls, wenn es nach Robert ‘RSnake’ Hansen und einigen weiteren Kommentatoren geht. Ganz so einfach ist das Ganze aber nicht, und der Kern des Problems wurde dabei vollkommen aus den Augen verloren. Worum gehts?

0-Day-Schwachstelle in Windows XP und Server 2003

Clickjacking – was das überhaupt ist, was damit möglich ist, wie Sie es verhindern und welche Angriffe es bisher gab, wissen Sie inzwischen. In dieser Folge werden zwei mögliche Angriffe näher betrachtet, darunter das “Likejacking” bei Facebook.

Clickjacking ganz einfach

Google verzichtet laut einem Bericht der britischen Financial Times aus Sicherheitsgründen auf den Einsatz von Windows, was Microsoft mit einem Eintrag im Windows Blog beantwortet. Beide Seiten haben dabei aber wohl ihre dunkelrosaroten Brillen aufgehabt oder wollten ein paar entscheidende Punkte nicht sehen.

Google fragt Radio Eriwan um Rat?

Clickjacking ist keine harmlose Theorie, sondern ein ernsthaftes Problem, vor allem für Social Networks, da Clickjacking immer auch etwas Social Engineering erfordert. Und dafür sind Social Networks prädestiniert. Ein ganz typisches Beispiel ist ein “Wurm”, der sich vor kurzem über Clickjacking auf Facebook ausbreitete. Aber das war nicht der erste Angriff auf Facebook, und auch andere populäre Seiten gingen in der Vergangenheit nicht leer aus. Inzwischen gibt es auch Angriffe, die sich mit den vorgestellten Gegenmaßnahmen nicht verhindern lassen. Aber zuerst zu einer Auswahl prominenter Opfer bzw. Angriffe:

2009 – Die ersten Angriffe starten…

Facebook hat die Datenschutz-Einstellungen geändert, ohne dass sich am Datenschutz etwas ändert. Denn abgesehen von der neuen Anordnung der Einstellungen bleibt fast alles beim Alten: Per Default sind die Einstellungen ziemlich freizügig (um es mal höflich zu formulieren). Zumindest verspricht Facebook, dass die gewählten Einstellungen auch für zukünftige Erweiterungen übernommen werden sollen – wer also einmal seinen Account abgedichtet hat, muss das nun nicht mehr bei jeder neuen Erweiterung erneut tun.

Wenn Mark Zuckerberg so sehr davon überzeugt ist, dass die meisten Mitglieder ihre Daten verbreiten wollen, wieso gibt er ihnen dann nicht die Möglichkeit, das aktiv kund zu tun, statt die, die dagegen sind, zum ausschalten zu zwingen? Was ist so schwierig an einer vielfach gewünschten “opt-in”-Lösung zur Weitergabe der Daten? Anscheinend ist man bei Facebook der Meinung, der Beitritt zu Facebook sei ein “opt-in” zur vollkommenen Freigabe der Daten. Nun, in gewisser Weise ist es das. Und es könnte gut sein, dass man bei Facebook am Ende des heutigen Tages (31. Mai) ziemlich dumm aus der Wäsche guckt, wenn viele Benutzer ein finales “opt-out” wählen – am “Quit Facebook Day”.

Neue Einstellungen auf die Schnelle?