 |
# taz.de -- Betreiber von Socialnetworksecurity.org: "Es fehlt eine Sicherheits… |
|
|
|
> Die Plattform Socialnetworksecurity.org deckt gezielt Lücken in sozialen |
|
> Netzwerken auf. Im Interview sagen die Macher, worum es ihnen geht - und |
|
> was Nutzern drohen kann. |
|
|
 |
Bild: Startseite des Netzwerks "Friendster". |
|
|
|
taz.de: Sie als Betreiber der Online-Plattform Socialnetworksecurity.org |
|
wollen anonym bleiben. Gibt es dafür einen speziellen Grund? |
|
|
|
Socialnetworksecurity.org-Team: Unsere Erfahrung in den vergangenen sechs |
|
bis acht Monaten hat gezeigt, dass einige Betreiber sehr allergisch |
|
reagieren, wenn man ihre Plattform gezielt nach Schwachstellen durchforstet |
|
und diese dann im Anschluss mit der Bitte, das Problem möglichst schnell zu |
|
beheben, an sie meldet. |
|
|
|
Viele empfinden das als "Finger Pointing" und reagieren teilweise sehr |
|
unprofessionell mit direkter Sperrung bestehender Accounts. Zum Teil wurde |
|
auch uns auch schon mit juristischen Konsequenzen gedroht - und das, obwohl |
|
wir vor einer möglichen Veröffentlichung verantwortungsbewusst die Lücken |
|
an die Betreiber gemeldet hatten. Um all diesen Stress nicht mehr zu haben |
|
und erst gar nicht wieder aufkommen zu lassen, haben wir uns entschieden, |
|
lieber anonym zu bleiben und auf dem Globus verteilt zu arbeiten. Die |
|
Mitglieder unseres Teams stammen aus unterschiedlichen Ländern. |
|
|
|
Was ist Ihrer Erfahrung nach derzeit das Hauptproblem bei Social Networks? |
|
|
|
Wir sehen allen voran das Problem, dass die meisten bekannten |
|
Social-Networking-Plattformen keine volle Web-Verschlüsselung für ihre |
|
Seiten anbieten, weil ihre Werbeeinblendungen dann nicht mehr funktionieren |
|
würden. Das Problem liegt also nicht nur bei den Betreibern, sondern auch |
|
bei den Reklamedienstleistern. |
|
|
|
Würden die Social Networks volle SSL-Unterstützung anbieten und ihre |
|
Cookies nach dem [1][aktuellen Sicherheitsstandards] absichern, wären |
|
deutlich weniger User-bezogene Daten von Sicherheitslücken betroffen, da |
|
diese dann nicht mehr mittels einfacher [2][Man-in-the-middle-] oder |
|
[3][Cross-Site-Scripting]-Schwachstellen abgreifbar wären. |
|
|
|
Wie schnell reagieren Social Networks auf bekanntgewordene Lücken? |
|
|
|
Die meisten Plattformen reagieren eher mit organisatorischen Rückfragen - |
|
etwa, warum wir uns mit dem Problem melden. Ein Danke kommt eher selten. |
|
Das Ausrollen eines Fixes, also eine Schwachstelle zu beseitigen, könnte |
|
ebenfalls schneller gehen. |
|
|
|
Welche Szenarien sind neben den aktuell üblichen - also Spam, Phishing, |
|
Account-Hacking - in den nächsten Jahren noch zu erwarten, wenn man |
|
bedenkt, dass immer mehr sensible Daten in den Social Networks lagern? |
|
|
|
Wir sind der Meinung, dass neben Spam und Phishing vor allem das direkte |
|
Kopieren von Profilen, also mit gleichem Namen und gleichem Bild, bei |
|
Kriminellen zunehmen wird (als Form von Identitätsdiebstahl, Anm. d. Red.). |
|
Darüber hinaus ist damit zu rechnen, dass ausgeklügelte Würmer innerhalb |
|
der Social Networks platziert werden, die unbemerkt im Hintergrund |
|
Benutzerdaten abgrasen oder den Computer der Benutzer befallen. |
|
|
|
Wie erleben Sie die Sicherheitskultur bei Social Networks? |
|
|
|
Eine Sicherheitskultur seitens der Betreiber ist aus unserer Sicht meistens |
|
nur nach Außen, zur Presse hin, vorhanden. Intern fehlt den meisten |
|
Betreibern von Social Networks einfach fundiertes Know How zum Thema |
|
Websecurity. Auch fehlt eine grundsätzliche Security Awareness, also eine |
|
Integration des Sicherheitsgedankens in das tägliche Handeln. |
|
|
|
Wie kommt die Plattform bislang an? |
|
|
|
Bislang kommt unsere Website sehr gut an. Wir haben auch schon viele |
|
Anregungen bekommen, was wir noch tun sollten, vom RSS-Feed für Lücken bis |
|
hin zu weiteren Sprachversionen. |
|
|
|
Darüber hinaus haben wir bereits jede Menge Submissions bekommen, das heißt |
|
Sicherheitslücken auf unterschiedlichen nationalen und internationalen |
|
Plattformen. Die prüfen wir derzeit, um sicherzugehen, dass wir keine |
|
Falschmeldungen auf unserer Plattform platzieren. |
|
|
|
Manche Sicherheitsexperten sprechen sich für Full-Disclosure-Verfahren aus, |
|
also die direkte Veröffentlichung von Lücken. |
|
|
|
Wir machen kein direktes Full Disclosure. Das muss an dieser Stelle |
|
klargestellt werden. Wir melden von uns selbst entdeckte Sicherheitslücken |
|
an die Betreiber, sofern sie eine für Security- und Privacy-Fragen |
|
eingerichtete E-Mail-Adresse oder ein speziell für sicherheitsrelevante |
|
Themen eingerichtetes Web-Formular haben. Wir geben ihnen damit die |
|
Möglichkeit, das jeweilige Problem abzustellen, bevor wir auf unserer |
|
Webseite darüber berichten. |
|
|
|
Reagiert ein Betreiber auch nach unserem zweiten Anschreiben nicht, so |
|
müssen wir davon ausgehen, dass die Sicherheit der eigenen Plattform nicht |
|
mit der notwendigen Aufmerksamkeit behandelt wird. Nur in solchen Fällen |
|
greifen wir zum Full Disclosure. Wir bilden dadurch eine Art Zwischenkanal |
|
- auf der einen Seite die Finder der Lücken, auf der anderen die Betreiber. |
|
Für uns hat sich bereits gezeigt, dass durch das Auftauchen unseres |
|
Projektes bestimmte Betreiber sicherheitsbewusster geworden sind. Da haben |
|
Plattformen mittlerweile "security@"-Adressen eingerichtet, die vorher |
|
keine hatten. Das zeigt erste konkrete Ergebnisse. |
|
|
|
Sind deutsche Angebote schlechter als us-amerikanische, wenn es um |
|
Sicherheit geht? Gibt es einen unterschiedlichen Professionalisierungsgrad? |
|
|
|
Deutsche Portale sind im allgemeinen sicherer, was aus unserer Sicht daran |
|
liegt, dass es in Deutschland härtere Bestimmungen im |
|
Bundesdatenschutzgesetz gibt. |
|
|
|
Auf der anderen Seite muss man aber erwähnen, dass vor allem deutsche |
|
Social Networks beim Melden von Sicherheitslücken oft mit der Anmerkung |
|
reagieren, dass man von ihnen nicht beauftragt worden sei und wieso man |
|
überhaupt auf deren Plattform nach Sicherheitslücken sucht. Hier sind |
|
einige Anbieter aus anderen Ländern lockerer drauf. |
|
|
|
28 Feb 2011 |
|
|
|
## LINKS |
|
|
 |
[1] /1/netz/netzgeraete/artikel/1/wie-firesheep-facebook-kapert/ |
|
[2] http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff |
|
[3] http://de.wikipedia.org/wiki/Cross_Site_Scripting |
|
|
|
## AUTOREN |
|
|
|
Ben Schwan |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Online-Werbung: Der Track-App-Nepp |
|
|
|
Mit sogenannten Supercookies ist es möglich, auch jene PC-Nutzer durchs Web |
|
zu verfolgen, die sich verstecken wollen. Auf Smartphones ist die Gefahr |
|
noch größer. |
|
|
|
Facebook steigert Selbstwertgefühl: Ich? Gefällt mir! |
|
|
|
Facebook wird eine Menge zugetraut - nun auch noch das: Laut einer Studie |
|
dient das weltgrößte soziale Netzwerk als Ego-Pusher. Doch nicht alle sind |
|
dieser Meinung. |
|
|
|
Neue Datenbank "Socialnetworksecurity": Wo Lücken in sozialen Netzen klaffen |
|
|
|
Eine neue Online-Plattform erfasst Probleme der Datensicherheit bei |
|
Facebook, Xing und Co. Die Netzwerke gingen viel zu nachlässig vor, sagen |
|
die Macher. |
