"Web 2.0" ist ein Paradies für Hacker

12.05.2006

Vor lauter Jubel über den Nutzen des Kartographierens und Zusammenführens von Daten wird die Sicherheit vergessen

Das soziale Netzwerke nützliche Kontakte erbringen können, aber ebenso unerwünschte Komplikationen (Social Phishing), spricht sich mittlerweile herum. Beim scheinbar ganz harmlosen, momentan sehr beliebten Verknüpfen von Daten verschiedener Quellen und dem Darstellen beispielsweise auf einer Landkarte wird der Datenschutz jedoch ebenso wie der Schutz vor Manipulation im Überschwang der Begeisterung vergessen.

"Web 2.0" – der neue Hype ist da (Die Web 2.0-Maschine), mit dem man nun ageblich im Netz nicht nur lesen sondern auch schreiben kann. Verwunderlich, wo doch das Internet eigentlich immer schon interaktiv war, denn die E-Mail als eine der ältesten Internetdienste ist normalerweise ebenso wenig ein einseitiger Kommunikationsvorgang wie ein Telefongespräch und nur durch Spam unfreiwillig zu einem Broadcast-Medium geworden. Private Webseiten waren anfangs auch sehr interaktiv mit Gästebüchern und Foren, ja selbst eindeutige Rundfunkapplikationen wie die ersten Webradios waren interaktiv und nicht das "friss / lies / guck / hör zu oder stirb" der klassischen Massenmedien.

Der Kommerz änderte im Internet einiges, obwohl auch ein Online-Shop eine klassische interaktive Anwendung ist. Das Vordrängen juristischer Probleme und Streitigkeiten sowie der Spammer, die längst auch schon Gästebücher und Foren im Minutenrhythmus heimsuchen, hat hier einiges sterben lassen. Sogenannte soziale Netzwerke sollen nun wieder einiges des alten Netzgefühls zurückbringen – aber gestützt mit Venture-Capital-Millionen.

Vorsicht Online-Gedächtnis

Doch schon in den alten Hobbynetzen aus der Zeit vor dem Internet wie dem Fido-Mailboxnetz gab es auch die unerfreulichen Seiten des sozialen Netzwerkens: Streitereien, Drohungen, Stalking. Manche "Netzplagen" aus jener Zeit treiben auch heute online ihr Unwesen und wer es wagt, im Internet so, wie es seinerzeit auch im Fido vorgeschrieben war, unter seinem Realnamen aufzutauchen, lernt nicht nur Freunde kennen, sondern auch jene, die entweder professionell (Rechtsanwälte) oder aber privat zur Plage werden.

Wer sich länger online aufhält, ist deswegen auch vorsichtig geworden, Neulinge bringen es dagegen durchaus zustande, in Foren zu ihren sexuellen Vorlieben zu posten und dabei eine E-Mail-Adresse zu hinterlassen, die über Google sofort sämtliche Vereinsmitgliedschaften, Name, Adresse und sogar Arbeitgeber verrät. Dies bleibt oft lange unentdeckt, doch "das Netz vergisst nichts" und irgendwann fällt einem so ein Anfängerfehler unangenehm auf die Füße.

Was jedoch auch Profis passiert, ist der zu unbekümmerte Umgang mit Flickr, Google Maps oder anderen Google-Diensten wie dem sozialen Netzwerk Orkut, das beim Registrieren ebenso Kleidungs- wie sexuelle Vorlieben abfragt. Oft genug sind die zu Grunde liegenden Daten eines neuen Dienstes gar nicht bewusst, da diese nicht direkt abgefragt, sondern aus anderen Diensten über mehr oder weniger sauber programmierte sogenannte Application Interfaces (API) zur Verfügung gestellt werden. Wie bei einfachen Portalsystem à la PHPNuke ist man von den Möglichkeiten, die dieses Zusammenkoppeln einer Datenbank mit einem Webinterface bietet, so begeistert, dass die Sicherheitsrisiken übersehen werden und die sogenannten Mashups wie Frappr ("Wo bin ich?") als eines der harmloseren nur so aus dem Boden schießen und alles datentechnisch anzapfen, das nicht niet- und nagelfest ist.

Eine der möglichen Gefahren ist, dass das Interface zwischen Datenbank und Website von außen für jeden zugänglich ist. Ob ein Onlineshop auf diese Weise plötzlich die ganze Kundenkartei samt Kreditkartendaten zum Download bereitstellt oder aber das API einfach nur allgemein bekannt ist, wie eben bei Google Maps: Es könnten sich Interessenten in die Datenbank einklinken, die Daten dort für eigene Zwecke abgreifen und damit andere Dinge anstellen, als nur ein paar Kleckse auf einer Landkarte darzustellen. Oder umgekehrt könnten Störenfriede in eine mit Google Maps erzeugte Karte der lokalen Verkehrssituation falsche Daten einspielen, um eine bestimmte Straße vom Verkehr zu entlasten, der sich nun plötzlich stattdessen durch alle Nachbardörfer zwängt. Tatsächlich werden momentan mit Millionen von Dollar derartige Dienste aufgebaut, auf die sich die Bewohner der entsprechenden Regionen bereits verlassen, um pünktlich zur Arbeit gekommen. Ein relativ simpler Scherz von "Skriptkiddies" könnte schnell zum Verkehrschaos führen.

Offene Interfaces: Jeder kann mitspielen

Ebenso ungünstig ist beispielsweise eine mit den Daten von Verbrechern gespickte Landkarte, in die jeder unauffällig auch seinen ungeliebten Nachbarn einspeisen kann. Solche Dienste gibt es bereits, ein Beispiel ist Chicagocrime.org (Der Stadtplan des Verbrechens), die die Karten von Google mit der lokalen Verbrecherdatenbank von Chicago kombiniert und so die Verbrechensschwerpunkte in der Stadt zeigt. Anderswo werden Radarfallen, zum Verkauf stehende Häuser (www.housingmaps.com) oder säumige Zahler aufgelistet. Diese Art von Diensten sind noch so neu, dass sich niemand über die Zuverlässigkeit der angezeigten Daten Gedanken macht oder darüber, was fehlerhafte Daten für Folgen haben könnten. Momentan werden sogar eifrig neue Applikationen für Mashups gesucht. John Musser, Inhaber von www.programmableweb.com, einer Website, die die Entwicklung der Mashups protokolliert, warnt deshalb im aktuellen New Scientist vor der Vernachlässigung des Datenschutzes und der Privatsphäre.

Das Problem wird dadurch verschärft, dass dem Betreiber einer Mashup-Website die Daten nicht gehören, die er verarbeitet und deren Korrektheit er deswegen nicht beurteilen kann, während umgekehrt auch die Anbieter der Daten nicht wissen, was mit diesen geschieht. Sollte sich gar ein Hacker in die Kommunikation zwischen Datenbank und Website einklinken, kann er deren Inhalt beliebig verändern und gleichzeitig die Daten abgreifen. So könnten Immobilienmakler auf die Idee kommen, die angezeigten Verbrechen in einer Gegend, in der sie aktuell Häuser verkaufen wollen, zu reduzieren und gleichzeitig die Konkurrenz zum Verzweiflung zu treiben, indem sie auf deren Webseite unzählige Immobilien zu sensationellen Preisen einblenden, die nicht existieren und so den Betrieb lahm legen oder den Konkurrenten schlichtweg unglaubwürdig werden lassen.

Wie leicht mit Mashups auch die Privatsphäre ausgehebelt werden kann, zeigt der Computerberater Tom Owad, indem er die Buchwunschlisten von Amazon-Kunden in Google Maps einspeiste. Diese Wunschlisten enthalten oft den vollen Namen des Amazon-Kunden und seinen Wohnort. Die dazugehörige Straße findet sich anderswo im Netz. So ließ sich sehr leicht eine Landkarte von Lesern subversiver Bücher erstellen.

Datenklau und -manipulation leichtgemacht

Auch die Gefahr, dass Viren und Würmer über das API die Datenbank angreifen und korrumpieren, ist nicht auszuschließen. Auf diese Art würden falsche Nachrichten in Newsfeeds auftauchen oder Spamnachrichten in Fotoblogs, wobei die ursprünglichen Daten verloren wären. Während eine Hobbyprojekt vielleicht noch mit solchen Vorfällen leben könnte, wäre eine millionenschwere "Web 2.0"-Site nach einer solchen Attacke unglaubwürdig und verloren. Auch ist oft ein Problem, dass sich die Webseiten die Daten holen, indem sie sich von den Usern, die an einer grafischen Darstellung ihrer Daten interessiert sind, Username und Passwort geben lassen. Damit verliert der Nutzer dieser Dienste die Kontrolle über seine Daten und die Webseite könnte damit beliebig viel Unfug anstellen – oder der, der sie durch einen Exploit hackt. Schon 60 Dollar im Jahr für ein SSL-Zertifikat würden einen großen Fortschritt darstellen, so Hart Rossman, Chief Security Technologist for Science Applications International of Vienna, Virginia, der auch das US-Verteidigungsministerium berät.

x
service:
drucken
versenden
facebook
twitter
google+
rss
newsletter
folgen:
facebook
twitter
google+
rss
newsletter
http://www.heise.de/tp/artikel/22/22648/
Anzeige
>
<

Darstellungsbreite ändern

Da bei großen Monitoren im Fullscreen-Modus die Zeilen teils unleserlich lang werden, können Sie hier die Breite auf das Minimum zurücksetzen. Die einmal gewählte Einstellung wird durch ein Cookie fortgesetzt, sofern Sie dieses akzeptieren.

Anzeige

Zum Rücktritt von Christine Haderthauer frisch aus dem Archiv:

Peter Mühlbauer 03.07.2013

Drei Seiten geteilt durch sieben Autoren ist gleich ein Dr. med.

Um in Deutschland als Arzt zu arbeiten, muss man nicht promoviert haben. Weil der Dr. med. auf dem Praxisschild von Eltern, Kollegen und Patienten erwartet wird, machen ihn die meisten Mediziner trotzdem. Hinter den dazugehörigen Dissertationen steckt selten wissenschaftliche Neugier als Hauptmotiv - und das sieht man vielen von ihnen auch an.

weiterlesen

Mehr Kunst als Spiel

Sonys "Hohokum" für PS3/4/Vita

bilder

seen.by

Anzeige

TELEPOLIS