 |
# taz.de -- Sicherheitsexperte über Twitter-Wurm: "Die meisten Nutzer klicken … |
|
|
|
> Der jüngste Twitter-Wurm ist nur ein Beispiel für sich ständig |
|
> beschleunigende Netzangriffe. IT-Sicherheitsexperte Georg Wicherski |
|
> erklärt die Hintergründe des Angriffs. |
|
|
 |
Bild: Mal Wodka, mal Web: Biz Stone. |
|
|
|
taz.de: Herr Wicherski, hat es Sie als Sicherheitsexperte überrascht, wie |
|
schnell die Twitter-Lücke am Dienstag ausgenutzt wurde? |
|
|
|
Georg Wicherski: Nein, erste Demonstrationen der Lücke wurden bereits am |
|
frühen Mittag deutscher Zeit auf Twitter von IT-Security-affinen Benutzern |
|
gepostet, so dass die Informationen über die Lücke Hunderten Nutzern zur |
|
Verfügung standen. Es war nur eine Frage der Zeit, bis jemand diesen Code |
|
so umbaut, dass er nicht nur eine harmlose Dialogbox anzeigt sondern sich |
|
selber verbreitet. Dementsprechend sind dann auch direkt mehrere, |
|
verschiedene Varianten des Wurms aufgetaucht. Die Lücke selber war |
|
anscheinend übrigens seit mindestens dem 23. August bekannt, der Patch |
|
schien jedoch noch nicht eingespielt worden zu sein. |
|
|
|
taz.de: Wie haben Sie selbst das Problem erlebt? In Ihrem Blog gab es ja |
|
eine Art [1][Live-Berichterstattung]. |
|
|
|
Wicherski: Jemand, dem ich followe (also dessen Twitter-Updates auf meiner |
|
Twitter-Seite erscheinen), hat eine Demonstration dieser Lücke |
|
veröffentlicht. Als ich ohne alles direkt zu lesen meine Maus über die |
|
Seite bewegte, öffnete sich plötzlich eine Dialog-Box mit sensitiven |
|
Browser-Inhalten, unter anderem meinem Login. Dies ist ein typisches |
|
Verhalten für Demonstrationen von XSS-Schwachstellen, mein erster Gedanke |
|
war also: "Oh Mist, jetzt hat mich jemand dran!" Eine schnelle Analyse der |
|
Demonstration ergab jedoch, dass wirklich nur dieser Dialog aufpoppen |
|
sollte, sozusagen als Warnung: "Du bist verwundbar." Im folgenden habe ich |
|
die Schwachstelle dann detaillierter analysiert und festgestellt, dass sie |
|
sich fuer einen Wurm ausnutzen lässt - was dann später auch eingetreten |
|
ist. |
|
|
|
taz.de: Twitter ist ja ein sehr schnelles Medium, "böse" Links verbreiten |
|
sich in Minuten. Ist deshalb in Zukunft mit weiteren (und schlimmeren) |
|
Attacken dieser Art zu rechnen? |
|
|
|
Wicherski: In diesem konkreten Fall wurde eine Schwachstelle in Twitter |
|
selbst ausgenutzt, die dann geschlossen wurde. Solche Lücken lassen sich |
|
durch Code-Audits [eine intensive und teilweise automatisierte Analyse von |
|
Software, Anm. d. Red.] identifizieren und präventiv schließen. Es ist |
|
davon auszugehen, dass Twitter seine Sicherheits-Checks in Zukunft |
|
verstärkt. Wird dennoch einmal eine solche Lücke durch Externe gefunden, |
|
kann das ganze natürlich rasend schnell gehen, wie man am Dienstag gesehen |
|
hat. Von ersten Demonstrationen über den Wurm bis zum Stopfen der Lücke |
|
sind nur anderthalb Stunden vergangen. |
|
|
|
taz.de: Können Sie für einen Laien verständlich erklären, was XSS-Angriffe |
|
sind? |
|
|
|
Wicherski: Alle modernen Browser sprechen heutzutage JavaScript, das ist |
|
vor allem nützlich für dynamische Inhalte wie auf Twitter oder Facebook. |
|
Der JavaScript-Code wird dabei in die Webseite selbst, mit speziellen |
|
sogenannten "Tags" umschlossen, eingefügt. Viele Seiten heutzutage erlauben |
|
es jedoch auch dem Nutzer, selbst erstellte Inhalte wie Texte oder eben |
|
kurze Tweets in eine Web-Seite für andere einzubetten. Aus der Sicht des |
|
Browser befinden sich diese Inhalte auf der selben Ebene wie der |
|
JavaScript-Code der Seite. Daher ist es Aufgabe der Seite, vor dem |
|
Veröffentlichen der Inhalte diese den Code markierenden Tags |
|
herauszufiltern, damit andere Benutzer keinen Code in die Seite des |
|
Betrachters einschleusen können. Geschieht dies nicht oder nur mangelhaft, |
|
kann beispielsweise wie am Dienstag Code eingeschleust werden, der sich |
|
selber dupliziert und im Namen des Betrachters auf die Seiten anderer |
|
Nutzer kommt. Der Wurm von Dienstag hat lediglich eine Kopie von sich |
|
selbst als neuen Tweet unter dem Account des Betrachters veröffentlicht - |
|
mehr nicht. |
|
|
|
taz.de: Kann man sich als Nutzer vor XSS-Angriffen schützen? Was halten Sie |
|
vom Abdrehen von JavaScript, eventuell durch [2][Zusatzprogramme] wie |
|
[3]["NoScript"], die es für den Browser Firefox gibt? |
|
|
|
Wicherski: Grundsätzlich ist man auf die Seitenbetreiber angewiesen, die |
|
Inhalte anderer Nutzer entsprechend filtern müssen. Das Deaktivieren von |
|
JavaScript, beispielsweise durch Zusatzprogramme wie "NoScript", schafft |
|
hier Abhilfe. Der eingeschleuste Code wird dann nicht mehr ausgeführt. |
|
|
|
taz.de: Twitter selbst setzt bei seinem Relaunch ja verstärkt auf die |
|
Skriptsprache - und modernde Web 2.0-Angebote kommen schlicht nicht mehr |
|
ohne sie aus. |
|
|
|
Wicherski: Ja, viele Web-Seiten funktionieren heutzutage ohne JavaScript |
|
nur noch eingeschränkt und daher muss eine Ausnahme in NoScript gestattet |
|
werden. Ist diese Seite verwundbar, so wird der Nutzer gezwungen, sich |
|
selber verwundbar zu machen. Hier muss jeder für sich selbst abwägen, |
|
welche Services er wirklich nutzen will. Es bleibt zu hoffen, dass |
|
Betreiber, die zwingend auf Technologien wie JavaScript setzen, auch |
|
dementsprechende Sicherheitsvorkehrungen treffen. |
|
|
|
taz.de: Wird man XSS-Probleme jemals stoppen können? |
|
|
|
Wicherski: Auf absehbare Zeit werden in Web-Seiten enthaltener Code und |
|
eventuell eingefügte nutzergenerierte Inhalte technisch auf der selben |
|
Ebene bleiben. Es liegt daher an den Entwicklern der Web-Seiten, |
|
entsprechendes Filtern vorzunehmen. Bei großen Angeboten wie Facebook oder |
|
Twitter besteht ausreichend Bewusstsein für Sicherheit, um solche Probleme |
|
präventiv anzugehen. Entwickler kleinerer Seiten haben dieses Bewusstsein |
|
leider nicht immer - und wie man am Dienstag gesehen hat, kann es ja selbst |
|
bei den Großen schief gehen. Zusätzlicher Schutz wie NoScript und ein |
|
aktuelles Anti-Viren-Programm, das eventuell durch den JavaScript-Code |
|
nachgeladene Datenschädlinge blockieren kann, sind daher für jeden zwingend |
|
zu empfehlen. |
|
|
|
taz.de: Was kann Twitter noch tun? |
|
|
|
Wicherski: Kürzlich habe ich noch einen Tweet von Twitter selbst gelesen, |
|
in dem zu lesen war, dass man zusätzliche Entwickler für |
|
sicherheitsrelevante Aufgaben sucht. Es scheint also das Problembewusstsein |
|
vorhanden zu sein. In diesem Fall war die Lücke schon öffentlich bekannt |
|
und hätte schon früher geschlossen werden können. |
|
|
|
taz.de: Liegt es nicht auch an den Nutzern selbst? Bei Twitter neigt man ja |
|
stark dazu, [4][abgekürzte Links] anzuklicken, von denen man nie weiß, wo |
|
sie eigentlich hinführen. |
|
|
|
Wicherski: Das ist richtig, die meisten Nutzer sind sich der |
|
Sicherheitsrisiken des Netzes nicht bewusst und klicken arglos alles an, |
|
was ihnen unterkommt. Die Prioritäten liegen bei den meisten Benutzern |
|
nicht beim Thema Sicherheit. Der Zusammenhang zwischen besuchten |
|
Webinhalten und dem Diebstahl privater Daten, etwa |
|
Online-Banking-Informationen, stellt sich für viele nicht dar. Dieses |
|
Bewusstsein muss erst geschaffen werden. |
|
|
|
22 Sep 2010 |
|
|
|
## LINKS |
|
|
 |
[1] http://www.securelist.com/en/blog/2297/Live_Twitter_XSS |
|
[2] /1/netz/netzkultur/artikel/1/fuer-komfort-und-privatsphaere/ |
|
[3] http://noscript.net/ |
|
[4] /1/netz/artikel/1/twitter-will-nutzer-besser-schuetzen/ |
|
|
|
## AUTOREN |
|
|
|
Ben Schwan |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Twitter und die Werbung: Wodka für mehr Speed |
|
|
|
Twitter-Gründer Biz Stone wurde von einem Spirituosenhersteller für einen |
|
Werbespot verpflichtet. Bei Twitter selbst lassen die Reklame-Umsätze |
|
weiter zu wünschen übrig. |
|
|
|
Buch über Twitter: Hallo, Kurzer |
|
|
|
Holzmedien über das Netz: Es sieht aus wie von der Tanke, ist aber |
|
Literatur - das erste deutsche Twitter-Buch. Immerhin hat es mehr als 140 |
|
Zeichen. |
|
|
|
Führungswechsel bei Twitter: Mitbegründer gibt Chefposten ab |
|
|
|
Der Mitgründer des Internet-Kurznachrichtendienstes Twitter, Evan Williams |
|
gibt die Firmenführung aus der Hand. Neuer Chef ist der Manager Dick |
|
Costolo. |
|
|
|
Sicherheitslücke beim Kurznachrichtendienst: Twitter hatte einen Vogel |
|
|
|
Tumult beim Kurznachrichtendienst Twitter: Nachdem sich ein infizierter |
|
Tweet verbreitet hatte, wurden manche User zu Porno-Webseiten geschickt. |
|
Andere Tweets zeigten nur JavaScript-Code an. |
