Facebook verbessert die Datenschutz-Einstellungen, nicht den Datenschutz

Facebook hat die Datenschutz-Einstellungen geändert, ohne dass sich am Datenschutz etwas ändert. Denn abgesehen von der neuen Anordnung der Einstellungen bleibt fast alles beim Alten: Per Default sind die Einstellungen ziemlich freizügig (um es mal höflich zu formulieren). Zumindest verspricht Facebook, dass die gewählten Einstellungen auch für zukünftige Erweiterungen übernommen werden sollen – wer also einmal seinen Account abgedichtet hat, muss das nun nicht mehr bei jeder neuen Erweiterung erneut tun.

Wenn Mark Zuckerberg so sehr davon überzeugt ist, dass die meisten Mitglieder ihre Daten verbreiten wollen, wieso gibt er ihnen dann nicht die Möglichkeit, das aktiv kund zu tun, statt die, die dagegen sind, zum ausschalten zu zwingen? Was ist so schwierig an einer vielfach gewünschten “opt-in”-Lösung zur Weitergabe der Daten? Anscheinend ist man bei Facebook der Meinung, der Beitritt zu Facebook sei ein “opt-in” zur vollkommenen Freigabe der Daten. Nun, in gewisser Weise ist es das. Und es könnte gut sein, dass man bei Facebook am Ende des heutigen Tages (31. Mai) ziemlich dumm aus der Wäsche guckt, wenn viele Benutzer ein finales “opt-out” wählen – am “Quit Facebook Day”.

Neue Einstellungen auf die Schnelle?

Wie Clickjacking allgemein funktioniert und welche Möglichkeiten es einem Angreifer bietet, haben Sie in den ersten beiden Folgen erfahren. Jetzt geht es um die Möglichkeiten, einen Clickjacking-Angriff zu verhindern bzw. abzuwehren. Voraussetzung für das Clickjacking ist das Einbinden der angegriffenen Seite in einen iframe, entsprechend besteht die beste Gegenmaßnahme gegen einen Angriff darin, dieses Einbinden zu verhindern.

Clickjacking abwehren

Facebook – lohnt es sich überhaupt, darüber noch viele Worte zu verlieren? Facebook hat kein Problem, Facebook ist ein Problem. OK, streng genommen hat Facebook doch ein Problem, und das heißt Mark “Privatsphäre ist unwichtig” Zuckerberg. Wer so einen Chef hat, braucht sich über flüchtende Kunden nicht zu wundern.

Die Kunden flüchten, der Chef flucht?

Mit Clickjacking einen einzelnen Klick zu entführen erfordert schon etwas Aufwand, wie in der vorigen Folge am Beispiel der Demonstration von Jeremiah Grossman und Robert “RSnake” Hansen zu sehen war. Möchte ein Angreifer gleich mehrere Klicks entführen, wird es noch aufwändiger. Ein Beispiel dafür ist die Demonstration von Guy Aharonovsky.

Der Angriff von Guy Aharonovsky im Detail

Der Bundesgerichtshof (BGH) hat die Störerhaftung für Betreiber von WLANs eingeschränkt, fordert aber einen angemessenen Schutz des Netzes. Welche Schutzmaßnahmen es gibt, erfahren Sie hier.

Am 12. Mai 2010 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil (Pressemitteilung, Urteil als PDF (noch nicht online)) zur Störerhaftung für Betreiber von WLANs verkündet (Az. I ZR 121/08):

“Privatpersonen können auf Unterlassung, nicht dagegen auf Schadensersatz in Anspruch genommen werden, wenn ihr nicht ausreichend gesicherter WLAN-Anschluss von unberechtigten Dritten für Urheberrechtsverletzungen im Internet genutzt wird.”
(Aus der (Pressemitteilung)

Was bedeutet das? Laut BGH muss man seinen WLAN-Anschluss angemessen Schützen, wobei aber nur die Einhaltung der zum Zeitpunkt der Installation “marktüblichen Sicherungen” verlangt wird:

Nachdem Google Ende April beim Wardriving ertappt wurde, hieß es seitens Googles noch, man würde ja nur die MAC-Adressen und Namen (SSID) der Funknetze protokollieren, aber weder Nutzdaten (Payload-Daten) sammeln noch speichern. Inzwischen hat Google zugegeben, dass das nicht stimmt: Es wurden Payload-Daten unverschlüsselter Funknetze gesammelt und gespeichert. Da die Streetview-Autos i.A. in Bewegung sind, handelt es sich dabei nur um Ausschnitte des Netzwerkverkehrs. Aufgezeichnet werden konnte immer nur so lange, wie der betroffene Access Point in Reichweite war und der Empfänger im Wagen auf dem entsprechenden Kanal empfangen hat (der ca. 5 Mal pro Sekunde gewechselt wurde). Im Prinzip können dabei wirklich nicht viele Daten pro Netz gesammelt worden sein – aber was in diesen Informationsschnipseln alles drin steht, weiß nur Google. Theoretisch kann da alles drin sein, was (worauf auch Google hinweist) die Bedeutung der Verschlüsselung der über Funknetze übertragenen Daten zeigt.

Zufällig Daten gesammelt… und keiner merkt es?

Hier finden Sie Texte rund um das Thema “IT-Sicherheit” und Kommentare zu mehr oder weniger aktuellen Entwicklungen aus diesem Bereich.

Der Software & Support Verlag hat beschlossen, die Veröffentlichung neuer Folgen meiner Serie “About Security” und meiner Kolumne “Standpunkt Sicherheit” auf entwickler.de und weiteren Portalen mit der Veröffentlichung von About Security #253 und dem Standpunkt Sicherheit vom 10. Mai einzustellen. Daher werde ich Sie in Zukunft hier auf meinen eigenen Seiten regelmäßig mit Texten über Grundlagen der IT-Sicherheit und Hintergründen aktueller Entwicklungen sowie Kommentaren zu mehr oder weniger aktuellen Ereignissen versorgen.

Wie gewohnt wird es jeden Donnerstag einen neuen Text zu Themen aus dem Bereich IT-Sicherheit geben, wobei ein Schwerpunkt auf aktuellen Entwicklungen liegen wird. Wie es in About Security #253 für die nächste Folge geplant war, geht es nun hier zunächst um Clickjacking.

Falls Sie Fragen oder Themenvorschläge haben, zögern Sie nicht, mir eine E-Mail zu schicken, die Adresse finden Sie auch unter jedem der Texte.

Themen, die auf mehrere Texte aufgeteilt sind, werde ich nach Abschluss des Themas auf www.ceilers-it.de als vollständigen Text bereit stellen. Das erspart Ihnen beim Lesen den Wechsel zwischen den verschiedenen Folgen, und wenn Sie eine PDF-Version bevorzugen, können Sie sie daraus leicht erstellen.

Immer Montags wird es hier Kommentare zu mehr oder weniger aktuellen Ereignissen geben, ähnlich meiner Kolumne “Standpunkt Sicherheit”.

Und ein paar weitere Ideen warten noch auf ihre Umsetzung…

Carsten Eilers

Clickjacking ist eine recht neue Bedrohung für Webanwendungen, die in ihrer kurzen Geschichte aber schon mehrmals Schaden angerichtet hat. 2008 entdeckt, 2009 erstmals für Angriffe ausgenutzt, 2010 verfeinert – das ist doch eine steile Karriere. Worum geht es? Schon ein einziger anscheinend harmloser Klick auf einer Webseite kann dank Clickjacking verhängnisvolle Folgen haben: Ein Angreifer könnte den Klick abfangen und damit auf einer anderen Webseite eine Aktion nach seinen Wünschen auslösen.

2008 – Clickjacking erblickt das Licht der Welt

Am März-Patchday hat Microsoft wie angekündigt zwei als kritisch eingestufte Security Bulletins samt Updates veröffentlicht, mit denen zwei Schwachstellen behoben werden. Ohne Vorankündigung hat Adobe ein als kritisch und ein als wichtig eingestuftes Security Bulletin samt Updates bzw. Patches veröffentlicht, mit denen insgesamt 21 Schwachstellen behoben werden