Facebook verbessert die Datenschutz-Einstellungen, nicht den Datenschutz

… und erst Recht nicht auf Befehl.

Bundesinnenminister Dr. Thomas de Maizière hat eine Grundsatzrede zur Netzpolitik gehalten und darin ein “digitales Radiergummi” gefordert:

“Ziel wären ein “digitales Radiergummi” und ein Verfallsdatum, das ich an meine Daten anbringen kann. Möglicherweise sollten wir über ein “Recht, vergessen zu lassen” nachdenken, wie es der EU-Kommission vorschwebt. Hilfreich wäre in vielen Fällen schon ein sog. Indexierungsverbot, bei dem Suchmaschinenbetreiber verpflichtet werden, bestimmte markierte Einträge bei den Sucherergebnissen nicht anzuzeigen.”

Das mit dem vergessen kann man vergessen

In der vorherigen Folge erfuhren Sie, wie sich über Clickjacking Texte in Textfelder einfügen lassen. Ein Angreifer kann so Formulare auf fremden Seiten mit Texten seiner Wahl füllen. Es ist aber auch möglich, Texte von fremden Seiten in die eigene Seite kopieren zu lassen und dadurch sensitive Informationen auszuspähen:

Texte mit Clickjacking kopieren

ASP-Webanwendungen und SSH-Zugänge sind zur Zeit die Ziele von Massenangriffen. Beides sind eigentlich altbekannte Ziele, nur dass sich das unter ASP-Entwicklern wohl noch nicht rum gesprochen hat. Bei den Angriffen auf SSH gibt es aber wirklich eine Neuigkeit: Die Angreifer haben mit der Keyboard-Interactive-Authentication ein neues Ziel im Visier.

ASP unsicherer als PHP?

Zum Abschluss des Themas “Clickjacking” geht es in dieser und der nächsten Folge um die abgesehen von den “Likejacking”-Angriffen aktuellsten Entwicklungen: Die im April von Paul Stone von Context Information Security auf der Sicherheitskonferenz Black Hat Europe 2010 vorgestellten Clickjacking-Angriffe (Whitepaper, Präsentation als PDF und Video als .m4v).

“Für Windows XP und Server 2003 wurde eine 0-Day-Schwachstelle veröffentlicht, und Google ist schuld!” – so ungefähr könnte man das zusammenfassen, was vorige Woche abgelaufen ist. Jedenfalls, wenn es nach Robert ‘RSnake’ Hansen und einigen weiteren Kommentatoren geht. Ganz so einfach ist das Ganze aber nicht, und der Kern des Problems wurde dabei vollkommen aus den Augen verloren. Worum gehts?

0-Day-Schwachstelle in Windows XP und Server 2003

Clickjacking – was das überhaupt ist, was damit möglich ist, wie Sie es verhindern und welche Angriffe es bisher gab, wissen Sie inzwischen. In dieser Folge werden zwei mögliche Angriffe näher betrachtet, darunter das “Likejacking” bei Facebook.

Clickjacking ganz einfach

Google verzichtet laut einem Bericht der britischen Financial Times aus Sicherheitsgründen auf den Einsatz von Windows, was Microsoft mit einem Eintrag im Windows Blog beantwortet. Beide Seiten haben dabei aber wohl ihre dunkelrosaroten Brillen aufgehabt oder wollten ein paar entscheidende Punkte nicht sehen.

Google fragt Radio Eriwan um Rat?

Clickjacking ist keine harmlose Theorie, sondern ein ernsthaftes Problem, vor allem für Social Networks, da Clickjacking immer auch etwas Social Engineering erfordert. Und dafür sind Social Networks prädestiniert. Ein ganz typisches Beispiel ist ein “Wurm”, der sich vor kurzem über Clickjacking auf Facebook ausbreitete. Aber das war nicht der erste Angriff auf Facebook, und auch andere populäre Seiten gingen in der Vergangenheit nicht leer aus. Inzwischen gibt es auch Angriffe, die sich mit den vorgestellten Gegenmaßnahmen nicht verhindern lassen. Aber zuerst zu einer Auswahl prominenter Opfer bzw. Angriffe:

2009 – Die ersten Angriffe starten…