Von Peter Welchering
12. November 2009Es ist ganz einfach: Aufträge zum Hacken von sozialen Netzwerken wie Facebook oder Xing wurden seit Anfang des Jahres vermehrt in Programmierbörsen ausgeschrieben. Kriminelle Adresshändler und Onlinebetrüger geben Datensammelprogramme in Auftrag, um Kreditauskünfte zu fälschen und Adressdaten für unerlaubte Werbemails zu erhalten. Ein sogenannter „Image-Dienstleister“ hat Nutzern sozialer Netzwerke mit besonders peinlichen Einträgen auf dieser Grundlage kürzlich seine „angemessen zu honorierende“ Hilfe beim Entfernen despektierlichen Materials per Mail angeboten.
Aus SchülerVZ sind Mitte Oktober Nutzerdaten wie Name und Vorname, Schule, Alter, Geschlecht und Fotos kopiert worden. Mit solchen Datensätzen lassen sich dann ohne Aufwand Abfragelisten nach verschiedenen Sortierkriterien erstellen. So können etwa alle Schülerinnen im Alter von 14 Jahren, die in Köln wohnen, heraussortiert werden. Auch lassen sich Schüler, die eine bestimmte Schule besuchen, auf diese Weise leicht identifizieren. Und mit zusätzlich leicht zu ermittelnden Daten aus Beständen des sozialen Netzwerks können auch Schüler ausgemacht werden, die ein bestimmtes Hobby haben, sich etwa mit mehr oder weniger gewalttätigen Computerspielen beschäftigen.
Beim automatischen Einsammeln der Daten sind die Sicherheitsbarrieren des sozialen Netzwerks mit einfachen Tricks überlistet worden. So soll mit sogenannten Captcha-Tests sichergestellt werden, dass am anderen Ende der Leitung wirklich ein Mensch am Bildschirm sitzt und Daten abfragt und nicht ein Datensammelroboter durchs Netz flitzt und automatisch alles einsammelt, was das soziale Netzwerk zu bieten hat.
Das Akronym „Captcha“ steht dabei für „Completely Automated Turing Test to tell Computers and Humans apart“, also ein an den vom britischen Logiker Alan Turing entwickelten Test angelehntes Prüfverfahren, um zu entscheiden, ob das Gegenüber ein Mensch oder ein Computer ist. Die ersten Captcha-Grafiken sind vor neun Jahren an der amerikanischen Carnegie Mellon University entwickelt worden. Auf den Grafiken sind Aufgaben zu sehen, von denen die Computerwissenschaftler ausgingen, dass sie für Menschen einfach zu lösen seien, Computer oder Datensammelroboter hingegen vor unlösbare Schwierigkeiten stellen würden.
So werden etwa Buchstaben und Zahlen vor einem schwer lesbaren Hintergrund ausgegeben, und der Anwender muss, bevor er auf Daten zugreifen kann, zunächst den auf der Grafik dargestellten Sicherheitscode eingeben. Mit solchen Captcha-Tests hat auch SchülerVZ gearbeitet. Sie gelten bei den sozialen Netzwerken als verlässlicher Sicherheitsstandard, um sogenannte Crawler, also Datensammelroboter, zu blockieren, wie auch Suchmaschinen sie verwenden.
Diese Sicherheitsbarriere ist umgangen worden, indem die Captcha-Grafik mit der Sicherheitsabfrage vom Datensammelroboter in ihre einzelnen Zahlen und Buchstaben zerlegt und dann Zeichen für Zeichen mit einer zuvor erstellten Zeichendatenbank abgeglichen wurde. So konnte die Sicherheitsabfrage auf der Captcha-Grafik erkannt und vom Suchroboter gleich beantwortet werden. Die Sicherheitssoftware des sozialen Netzwerks ist nach der erfolgreichen Beantwortung der Testfrage davon ausgegangen, dass ein Mensch die Nutzerdaten abfragt und hat sie freigegeben. Der Datensammelroboter hat die Daten kopiert und ist zum nächsten Nutzerkonto von SchülerVZ weitermarschiert.
Pro Datensatz dauert eine solche automatisierte Abfrage durchschnittlich 1,5 Sekunden. Bei komplizierten Captcha-Sicherheitsabfragen mit aufwendiger Mustererkennung kommen noch einmal zwei bis vier Sekunden dazu. Allerdings sind Captcha-Tests, die Rechenaufgaben stellen oder etwa nach der Anzahl der im Bild zu sehenden roten Pfeile fragen, während der vergangenen sechs Monate mit optimierten Algorithmen in deutlich weniger als zwei Sekunden beantwortet worden. Für die eine Million Datensätze mit doch recht umfangreichen persönlichen Daten der Nutzer von SchülerVZ hat der eingesetzte Crawler deshalb auch nur ungefähr einen Monat lang arbeiten müssen.
Zum Sicherheitsstandard sozialer Netzwerke gehört wesentlich die Beschränkung auf nur wenige Abfragen von einer bestimmten Internetadresse aus. Doch selbst diese Barriere umgehen die Datensammelalgorithmen elegant, indem sie wahlweise nach zwei oder vier Abfragen einfach ihre IP-Adresse ändern beziehungsweise mit einer anderen gefälschten IP-Adresse weitersammeln.
Dabei werden nicht nur öffentlich zugängliche Nutzerdaten kopiert, sondern auch Daten, die eigentlich nur auf den engsten Freundeskreis beschränkt sein sollen. Im sozialen Netzwerk StudiVZ waren auch gesperrte Daten über eine spezielle Suchfunktion namens „Supersuche“ zu ermitteln. Außerdem werden gegenwärtig Algorithmen angeboten, mit denen die Benutzeridentifikationen der Profilinhaber von sozialen Netzwerken ausgespäht werden können. Diese Benutzeridentifikation wird mit einem sogenannten Hash-Code auf ihre Zuverlässigkeit und Authentizität überprüft. Dafür wird eine Prüfsumme für die Identifikationsdatei berechnet. Außerdem wird die Benutzeridentifikation in einem Datenbankindex hinterlegt, um schneller auf die einzelnen Datenfelder eines bestimmten Profils zugreifen zu können.
Hier sind während der vergangenen Monate zwei Angriffsstrategien zu beobachten. Zum einen gelang es Hackern, auf Datenbankindizes zuzugreifen und auf diese Weise die Benutzeridentifikation zu ermitteln. Zum anderen sind von der Prüfsumme aus die eigentlichen Benutzeridentifikationen rekonstruiert worden. Hierbei handelt es sich allerdings um recht aufwendige Verfahren, so dass der Datenklau mittels Crawling durch Zerlegen und Erkennen der Captcha-Grafiken wesentlich beliebter ist.
Gegenwärtig werden diese Captcha-Sicherheitsabfragen von den Plattform-Betreibern sozialer Netzwerker zwar überarbeitet und verfeinert, so dass die automatisierte Datenabfrage erschwert werden soll. Doch bisher ist unklar, wie ein wirklich nachhaltiger Schutz der Daten vor unbefugtem automatischen Auslesen gewährleistet werden soll. So lange gilt, dass alle Daten, die auf der Plattform eines sozialen Netzwerkes hinterlegt oder gespeichert werden, prinzipiell von jedem Internetnutzer eingesehen, automatisiert ausgewertet und für die unterschiedlichsten Verwertungszwecke aufbereitet werden können. Die Verwertungskette solcher Daten ist lang. Sie reicht vom einfachen Adresshandel bis hin zu Werbemail und der Fälschung von Bonitätsauskünften oder Erpressung.
Text: F.A.Z.
Bildmaterial: Facebook
Nationalmannschaft: Auftaktsieg gegen Belgien in der EM-Qualifikation
F.A.Z. Electronic Media GmbH 2001 - 2010 Partner-Portal: NZZ Online
Teilen
Twitter
