Der "Spiegel" wies gestern in einem Onlineartikel: "Sicherheitslücke: IT-Forscher enttarnen Internetsurfer" auf einen neuen, aber sehr effektiven Ansatz im Social hacking hin. Ein Forscherteam beschreibt in einem technischen Report des iSec-Labs, dass es mit etwas technischem Aufwand möglich ist, die Klarnamen von Usern sozialer Webseiten wie Facebook ooder Xing herauszufinden.
Die technischen Grundlagen sind gar nicht so kompliziert. Soziale Netzwerke beruhen auf Gruppen, in denen jeder User organisiert ist. Diese Gruppen entsprechen in etwa den Foren in Dr. Windows. Ein Webcrawler überprüft einfach sämtliche Daten eines Netzwerks wie Facebook. Er sichtet alle Usergruppen und speichert Informationen wie Namen in einer Datenbank.
In einem nächsten Schritt wird eine Webseite mit Schadcode (Javascript) präpariert. Wenn ein Opfer die Webseite anklickt, werden per History-Stealing alle Links zu vorher besuchten Webseiten durchgecheckt. In jedem Browser werden personenbezogene Daten gespeichert. Mittels der recht alten Technik des History-Stealings können diese Daten unrechtmäßig abgegriffen werden. Auf der Webseite "What the Internet knows about you" (
What the Internet knows about you) kann diese Methode praktisch ausprobiert werden, natürlich ohne dass Schaden für den Nutzer entsteht.
Danach weiß der Hacker, auf welchen Foren oder Untergruppen das Opfer aktiv war, hat aber noch nicht den Namen.
Danach wird die Datenbank des Webcrawlers durchforstet. Die Links die durch das History-Stealing gefunden wurden, werden mit der Datenbank abgeglichen. Sobald diese identisch mit den Daten der Datenbank sind, kann der Klarnamen des Opfers identifiziert werden.
Toll, dann wissen die jetzt, wie ich heiße, werdet ihr jetzt denken. Na und?
Wenn ihr in Facebook zum Beispiel sehr viel Privates über euch angegeben habt, weiß der Hacker jetzt, wer ihr seid, welche Freunde ihr habt, u.U. wo ihr wohnt, usw. Wenn ihr dann angebt: "Bin ab dem ... für zwei Wochen auf Mallorca, Urlaub machen und abhängen", dann weiß der Hacker, wann eure Wohnung leersteht und hat die 14 Tage Zeit, sie leerzuräumen. (Das ist übrigens bereit passiert, nachdem die Einbrecher die Informationen über einen Twitter-Account bekommen hatten).
Ihr benutzt Facebook während der Arbeitszeit, obwohl es verboten ist? Hier könnte ein Erpresser ansetzen und euch um die "Überlassung" von firmeneigenen Daten bitten (Industriespionage).
Spam/Scam(Viren/Trojaner können personalisiert zugesendet werden. Ihr denkt, die Email kommt von einem Freund, statt dessen hat der Hacker einen erfolgreichen Versuch gestartet, Euch einen Banking-Trojaner unterzuschieben.
Mittels der History kann der Hacker auch feststellen, dass ihr euch auf Pornoseiten herumgetrieben habt. Okay, wie viel ist es euch wert, dass deine Ehefrau das nicht erfährt? Wo wir wieder bei Erpressung wären.
Die Möglichkeiten sind insgesamt erschreckend. Vor allem, wenn man bedenkt, dass wir hier alleine von den auszuspähenden Daten von 350 Millionen Facebook-Usern weltweit ausgehen.
Gegenmaßnahmen:
- Mit den eigenen Daten in sozialen Netzwerken geizen.
- Die Chronik im Browser löschen.
- Das Programm Brain.exe benutzen.
Das Löschen der Chronik im Browser ist übrigens komplizierter, als man gemeinhin denkt. Eine hervorragende Anleitung, wie man das beim Firefox macht, findet sich hier:
Sicherer Surfen: Chronik im Browser abschalten
Der Original-Artikel von iSecLab findet sich hier:
http://www.iseclab.org/papers/sonda-TR.pdf
Der Spiegel-Artikel, der das Ganze ins Rollen gebracht hat:
Sicherheitslücke: IT-Forscher enttarnen Internetsurfer - SPIEGEL ONLINE - Nachrichten - Netzwelt
Was Ihre Frau über Sie herausfinden kann:
Did you watch porn? See what your friends watch..
RSS-Feed
Linear-Darstellung
