![Portrait Jörg Schieb zwischen Computerelementen; Rechte:
WDR/schieb[M]bhm](/joergschieb/images/blogbanner.jpg)
WDR.deComputerJörg SchiebMachen Social Networks gläsern?
September 2010
| Mo | Di | Mi | Do | Fr | Sa | So |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
Sorgenfalten auf der Stirn sind für Datenschützer nichts Ungewöhnliches - doch diesmal haben sie wirklich allen Grund dazu. IT-Experten vom Isec Forschungslabor haben ein Sicherheitsproblem entdeckt, das wirklich bedenklich ist. In einem 15-seitigen Aufsatz (
PDF) beschreiben die Experten ausführlich und verständlich, wie sich mit vergleichsweise geringem Aufwand (und das macht es so erschreckend) jeder Benutzer von Social Networks im Web "entanonymisieren" lässt.
Entanonymisieren - klingt nicht gut, und ist auch nicht gut. In der Praxis bedeutet das nämlich, dass jede Webseite, die entsprechend präpariert wurde und die in der Studie erwähnten Tricks anwendet, die Identität jedes Datensurfers ermitteln kann, der vorbeikommt. Da könnte man auch mit dem Personalausweis vor der Webcam rumwedeln... Der Trick erlaubt, ganz konkret herauszufinden, dass Person xyz mit dem Profil auf Xing, Facebook oder Co. vorbei schaut.
Potenziell betroffen und damit gefährdet sind alle, die sich in sozialen Netzwerken tummeln und dort sozialen Gruppen angeschlossen haben. Es gibt Tausende solcher Gruppen, zu jedem nur denkbaren Thema. Hier treffen sich Leute, um sich auszutauschen oder zu informieren.
Durch das Surfverhalten in den sozialen Netzwerken und den Besuch von Gruppen entsteht eine Art Fingerabdruck. Dieser Fingerabdruck ist normalerweise unsichtbar, kann aber durch einen Trick sichtbar gemacht und dann analysiert werden - bis zur Enttarnung, bis zur Feststellung der konkreten Identität ist es dann nur noch ein erstaunlich kleiner Schritt.
Das klingt komplizierter, als es ist - leider. Es braucht nur relativ simple Programme, um den Fingerabdruck zu lesen und auszuwerten. Möglich wird das alles deswegen, weil zum einen die sozialen Netzwerke verraten, wer in einer Gruppe Mitglied ist - und zum anderen alle Browser einer Webseite auf Nachfrage mitteilen, welche Webseiten in der Vergangenheit angesteuert wurden. Wer diese Erkenntnisse geschickt miteinander kombiniert, hat schnell herausgefunden, wer auf einer Webseite vorbeisurft.
Die Folge: Im günstigsten Fall erscheint perfekt auf einen zugeschnittene Werbung. Im ungünstigsten Fall jubeln einen Betrüger konkrete Software unter, um einen weiter auszuspionieren, auch Phishing-Angriffe lassen sich auf diese Weise perfektionieren. Man kann sich leicht ausmalen, wie die zumeist kreativen Online-Betrüger die neuen Erkenntnisse für sich zu nutzen wissen.
Es wird jetzt zu diskutieren sein, wie konkret die Bedrohung ist, wie sich die Sicherheitslücke schließen lässt (in den sozialen Netzwerken, aber auch in den Browsern) und wie man sich als Internetbenutzer am besten verhält.
Folgender Trick würde das Problem auf jeden Fall reduzieren: Für soziale Netzwerke wie Xing, Facebook, SchuelerVZ und Co. verwendet man einen anderen Browser als für den Rest. Auf diese Weise ist sichergestellt, dass kein Fingerabdruck weitergegeben werden kann. Wer keine sozialen Netzwerke nutzt und hier auch keine Gruppen ansteuert, muss sich derzeit ebenfalls keine Sorgen machen.
Der aktuelle Blog-Eintrag als Podcast
Sicher hilft es auch, die Funktion PRIVATES SURFEN im Browser zu aktivieren. Und auf solche zu verzichten, die explizit ein Profil anlegen, wie etwa Google Chrome.
A. S. Tarantoga am 3.02.10 10:56
zum Titel: nur den, der's will - eintragen muss man sich dort ja wohl noch selber ;)
NetzNutzer am 3.02.10 15:56
Mich überrascht der naive Tunnelblick der Isec-Autoren. Längst und vielmehr im Visier fragwürdiger privater und kommerzieller Ausspähungen: IP-Adresse und DNS, unsere in der Regel unsichtbaren User-Abdrücke eines zellular organisierten Lokalisierungssystems, höchst begehrt als ziemlich verlässliche persönliche Koordinaten im GPS der Datenwelt. Auch Google will’s nun wissen. Wer die Golem-Meldung vom 28.1.2010 (Link von der Redaktion entfernt) gelesen hat, wird sich kaum noch Gedanken um seine Anonymität im Netz der Netze machen müssen. (Zwar soll in diesem Fall nicht die vollständige IP-Adresse des Users protokolliert und weitergereicht werden, sondern nur die ersten 24 Bit – also die ersten drei von vier Tupeln einer IP-Adresse. Das dürfte aber genügen, um die "Herkunft des Nutzers" im Rahmen einer ausgeklügelten Profil-Statistik ausreichend genau zu bestimmen.)
Aber vielleicht fühlt man sich bei Google nur als unschuldiger Nachahmer: Wer etwa auf irgendeiner Wikipedia- Diskussionsseite unangemeldet und anonym seinen Senf dazuschreibt, wird nichtsdestoweniger mit der Veröffentlichung seiner vollständigen IP belohnt. Und dabei spielt es bekanntlich keine Rolle, ob man mit einem privatisiert laufenden IE oder dem neuesten Firefox-Browser online geht. Ich kenne eine Reihe von Dienstleistungsunternehmen und wahrlich "gemeinnützigen Seitenbetreibern", die IP-Adressen ihrer Besucher systematisch erfassen und an Dritte weiterreichen.
MfG 212.227.126.186
B. Flor am 3.02.10 17:07
In der Tat läßt die IP Rückschlüsse auf den Provider und damit auch auf die Region und den Anwender zu.
Ferner: neben den bekannten Cookies - die selbst seit Jahren eigentlich als Fingerabdruck bekannt sein sollten, trotzdem von den Anwendern nicht regelmäßig gelöscht - sind hier die Flash-Dateien von Internetseitenbesuchen als Identifizierungsmittel sehr beliebt.
Diese Dateien (mit Endung .SWF) bieten weitaus bessere Möglichkeiten etwas über den dann nicht mehr anonymen Besucher zu erfahren. Und die Funktion "Internetspuren löschen" bei den Browsern tilgt dieses "Wissen" nicht, ebenso wie die im Browser-Cache befindlichen Fotos im .JPG-Format.
Aber auch die Art sich mit dem stets gleichen Nicknamen bei den verschiedenen Diensten anzumelden, macht es den "Statistikern" leicht, hier eine Zuordnung und eindeutige Indentifizierung zu ermöglichen. Ergo: verschiedene Nicknamen verwenden, zB. sich als "Turmfalke", "Hexaglot" oder "Kabelbau" anmelden. Eine direkte Zuordnung ist dann praktisch unmöglich. Auch einmal den Schriftstil und Ausdruck variieren, das hilft.
Das wäre doch mal eine schöne Aufgabe für Herrn Schieb: 1) wie kann man die Cookies tilgen, wo werden die JavaScript und Flash-Dateien abgelegt und gelöscht. Und zwar bitte nicht nur für den IE, sondern auch für Opera, FireFox, Konqueror, Safari und Chrome.
2) Welche Möglichkeiten der IP-Verschleierung oder Vortäuschung gibt es, was zudem auch noch in der EU erlaubt ist, zb. durch Proxy-Einträge im Browser oder die Möglichkeit einen Proxydienst per Betriebssystem einzurichten, und bitte nicht nur für Windows, sondern auch für Apple und für Linux (ist bei allen Linux-Distributionen übrigens gleich :-))
3) Tipp: statt nur einen Nicknamen mit einem Passwort, lieber auf einen Handzettel verschiedene Nicknamen mit schwierigen/verschiedenen Passwörtern notieren, das ist wesentlich sicherer als eine "Monokultur". Und den Handzettel, wenn als Datei -> dann bitte nur verschlüsselt. Und Diebe in der Realwelt nehmen sich eh nur das Portemonnaie oder den schicken LCD aus dem Wohnzimmer.
PS: Lobenswert das man auf Ihrer Seite den Cooky-Eintrag abwählen kann ;-)
Carsten Werner am 3.02.10 22:18
„Aber auch die Art sich mit dem stets gleichen Nicknamen bei den verschiedenen Diensten anzumelden, macht es den "Statistikern" leicht, hier eine Zuordnung und eindeutige Indentifizierung zu ermöglichen. Ergo: verschiedene Nicknamen verwenden, zB. sich als "Turmfalke", "Hexaglot" oder "Kabelbau" anmelden. Eine direkte Zuordnung ist dann praktisch unmöglich. Auch einmal den Schriftstil und Ausdruck variieren, das hilft.“
Das hilft m. E. wohl kaum noch: Es zählt mittlerweile zu den leichtesten Übungen eines System-Administrators, aus einem bestimmten IP-Adressenbereich auftauchende Tarnnamen-Varianten auszufiltern und einem bestimmten User-Profil - sprich „Interessenvertreter“ - zuzuordnen. So erklärt sich übrigens nicht nur bei „Wiki“ das krasse Missverhältnis zwischen der Anzahl tatsächlich erfasster IPs und sich darunter schier explosionsartig vermehrenden Benutzernamen. Wer sich IT-Experte nennt und meint, seine IP-Adresse tatsächlich verschleiern oder gegen eine andere (möglicherweise längst anderswo vergebene) eintauschen zu müssen, begibt sich zumindest in technischer Hinsicht auf potenziellen Kollisionskurs mit dem Router seines Netzproviders. Wer sich obendrein noch IT-Rechtsexperte nennt, wird sich zu solchem Vorgehen sicherlich seine Gedanken über potenzielle Straftatrelevanz gemacht haben ...
B. Flor am 4.02.10 11:21
Darum ja auch meine anderen Punkte ;-)
(Herr Schieb: das wär doch mal was als filmischen Beitrag beim WDR?)
Aber das Hauptproblem an der Sache: diese "Schikanen", dieses "Gläserne" ist bei der Allgemeinheit noch nicht Publik genug. Dazu gab es Heute (04.02. 20-21U) bei 3Sat ein sehr gut gemachtes Spezial. Und weder die ÖR, noch die Privaten, forcieren hier die Bewußtseinsbildung und Aufklärung ...
Aber es geschieht ja Besserung - derzeit leider nur bei Sendern wie 3Sat oder dem WDR - die "leider" nicht alle ansehen - und das bei den exzellenten Themen und Moderationen von zb. dem Herrn Yogeshwar (Quarks & Co) ...
stattdessen gucken sich die Leute dann den Herrn Bohlen an :-(
Carsten Werner am 4.02.10 21:54
Ich empfinde es als spannend, wie sich die Kultur verändert, mit eigenen persönlichen Daten umzugehen. Es ist wichtig und ein gutes Zeichen, dass Datenschutzbeauftragte, Piraten oder der Chaos Computer Club heute auch in der Nicht-Fachpresse so viel Beachtung finden.
Ich habe bei ISEC den Test gemacht und kann sagen, es funktioniert. Dass mit dieser Methode Benutzer eines Portals de-anonymisiert werden können, ist allein das Verschulden des Betreibers. Die Portale werden, wenn Sie nicht an Zuspruch verlieren wollen, ihre Hausaufgaben machen müssen.
Dabei bahnt sich weiteres Ungemach an. iPad und Apples Allmacht werfen ihre ersten Schatten voraus. Aber das ist ein anderes Thema.
Dirk Forke, Preußisch Oldendorf am 6.02.10 13:00
Ich habe einen Work-Around für Firefox 3.6 unter Mac OS getestet. Man geht auf "about:config" in der Adresszeile und sucht dann nach "layout.css.visited_links_enabled". Diesen Wert stellt man mit einem Doppelklick auf den Eintrag auf "false". Danach werden besuchte Links nicht mehr farblich markiert und die Sicherheitslücke ist geschlossen. Die History bleibt erhalten und der lästige private Modus entfällt.
D.M. am 8.02.10 0:53
Zum Anfang dieses Eintrags
Zum SeitenanfangPermanente URL dieser Seite: http://wdrblog.de/joergschieb/archives/2010/02/machen_social_n.html
Der WDR ist nicht für Inhalte fremder Seiten verantwortlich, die über einen Link erreicht werden.