Facebook: Anonymität als Illusion
Nutzer von Sozialen Netzwerken wie Facebook und Xing fühlen sich großteils sicher im Netz, wenn sie ihre privaten Daten nicht mit der Öffentlichkeit teilen. Forscher an der TU Wien haben es aber geschafft, Nutzer über ihre Gruppenzugehörigkeit und den Verlauf ihres Webbrowsers zu identifizieren. ORF.at hat mit dem Forscher Gilbert Wondracek über die Gefahren und Möglichkeiten gesprochen, sich davor zu schützen.
Soziale Netzwerke werden von immer mehr Menschen genutzt, und die Datensammlungen, über die die Betreiber verfügen, wachsen stetig. Doch nicht nur die Anbieter entsprechender Dienste wissen, wer man ist. Einem vierköpfigen Expertenteam von der TU Wien, dem Institut Eurecom und der Unversität von Kalifornien ist es gelungen, Nutzer anhand ihrer Gruppenzugehörigkeit in Sozialen Netzwerken zu identifizieren.
"Der User hinterlässt mit seinem Browser Spuren, wenn er Soziale Netzwerke verwendet. Der Browser speichert im Verlauf einer Sitzung jedes Detail eines Website-Besuchs ab, darunter auch den Besuch von bestimmten Gruppen. Das merkt der Nutzer nicht wirklich, der Browser merkt sich das aber sehr wohl", sagte Wondracek gegenüber ORF.at.
"History Stealing"-Lücke seit zehn Jahren bekannt
Bei der Attacke wird daher eine seit dem Jahr 2000 bekannte Sicherheitslücke namens "History Stealing" ausgenutzt. Um bereits besuchte Links auf Websites hervorzuheben, müssen Websites auf die Besuchshistory der Browser zurückgreifen, in der die bisherigen Wege des Nutzers durchs Web auf dessen Computer aufgezeichnet sind. Bei der Attacke werden Daten, die vom Angreifer mittels Webcrawling erhoben wurden, mit besagter Browser-History abgeglichen. So lässt sich meist - zumindest in 42 Prozent der Fälle - ein Nutzer eindeutig identifizieren, da selten zwei Nutzer exakt die gleichen Gruppenmitgliedschaften aufweisen.
So funktioniert der Angriff:
Beim Deanonymisierungsangriff der Forscher, der im Jänner 2010 erstmals erfolgreich durchgeführt wurde, werden Soziale Netzwerke mit einem Webcrawler durchforstet und nach Nutzergruppen und den dazugehörigen Mitgliedern gesucht. Diese Daten werden in einer Datenbank gespeichert.
Als nächster Schritt müssen die Ausführenden die Personen zum Besuch einer bestimmten Website bewegen, auf der ein JavaScript-Programm läuft, das die vorher mit dem Webcrawler gesammelten Link-Adressen im Browserverlauf des Nutzers sucht. Dieser Prozess dauert nur wenige Sekunden.
Das Gruppenprofil wird mit der Nutzerdatenbank des Webcrawlers verglichen, und es wird festgestellt, in welchen Gruppen der Nutzer aktiv ist. Dieser Prozess wird so lange durchgeführt, bis am Ende im Idealfall nur ein Nutzer übrig bleibt, der über seinen Profilnamen identifizierbar wird. Das ist laut einem technischen Bericht der Forscher in 42 Prozent aller Fälle möglich.
Eine derartige Attacke ließe sich laut Wondracek relativ einfach und ohne großen finanziellen oder technischen Aufwand durchführen. Mit den daraus gewonnen Nutzerdaten und Informationen könnten Cyberkriminelle einiges anstellen. "Das hängt dann immer von der Bösartigkeit des Angreifers ab", so Wondracek. Von Erpressung bis zur Wirtschaftsspionage, personalisierten Phishing-Versuchen und gezielten Werbeschaltungen reicht die Palette an Möglichkeiten.
"Als Website-Betreiber, der diese Methode einsetzt, weiß man plötzlich intime Sachen, obwohl die Person möglicherweise über ein Anonymisierungsnetzwerk verwendet hat und eine bestimmte Gruppe eventuell als nicht einsehbar markiert hat", gab Wondracek zu bedenken. So könnte etwa ein Jobportal Personen, die in bestimmten politischen Gruppen auf Facebook oder Xing aktiv sind, gewisse Jobinserate vorenthalten.
"Schutzwürdiges Geheimhaltungsinteresse"
Bei sensiblen Daten, bei denen ein "schutzwürdiges Geheimhaltungsinteresse" besteht, kommt in Österreich allerdings der Paragraf 51 des Datenschutzgesetzes (DSG) zur Anwendung. Dabei geht es um "Datenverwendung in Gewinn- oder Schädigungsabsicht". Der Paragraf kommt zum Tragen, wenn sich der Betroffene die Daten widerrechtlich verschafft hat oder wenn der Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, besteht - und auch nachgewiesen werden kann.
Der Sachverhalt des "schutzwürdigen Geheimhaltungsinteresses" ist hierbei allerdings vielfältig interpretierbar. Laut Susanne Reindl-Krauskopf, Professorin am Institut für Strafrecht und Kriminologie der Universität Wien, fällt darunter "alles, was nicht in öffentlichen Registern vorkommt". Ob das Gesetz auch dann greift, wenn der Nutzer die Daten selbst öffentlich gestellt hat, ist rechtlich unklar. Aus Sicht der Professorin dürfte ein "schutzwürdiges Geheimhaltungsinteresse" in einem solchen Fall allerdings wegfallen. Laut Reindl-Krauskopf wäre es daher "wichtig, den User auf die verschiedenen Auswirkungen seiner Performance im Netzwerk ausdrücklich hinzuweisen".
Auch mit Daten, die in öffentlichen Registern zu finden sind oder die Nutzer selbst veröffentlicht haben, lässt sich laut Wondracek "genug anfangen".
Unterschiede bei Webbrowsern
Die Methode des "History Stealings" lässt sich bei allen gängigen Webbrowsern wie Internet Explorer, Firefox, Safari und Google Chrome gleichermaßen einsetzen. Am schnellsten durchführbar ist ein derartiger Angriff, also die Frage, ob sich eine bestimmte Website im Browserverlauf befindet, laut dem technischen Bericht der Forscher bei Apples Browser Safari 4. 90.000 Testdurchläufe konnten in weniger als 20 Sekunden absolviert werden. Beim Internet Explorer 8 dauerte ein derartiger Angriff bereits 70 Sekunden, Firefox 3.5 lag mit 50 Sekunden etwa in der Mitte, Google Chrome lag mit 25 Sekunden an zweiter Stelle.
Die meisten Personen verwenden die bei der Installation vorgegebenen Voreinstellungen, so Wondracek. Diese sind bei allen Browsern unterschiedlich. In Firefox ist etwa voreingestellt, dass besuchte Seiten mindestens 90 Tage gespeichert werden, beim Internet Explorer 8 sind es in der Regel 20 Tage. Bei diesen beiden Browsern sowie in Chrome, Safari und Opera können sich Internet-Nutzer vor derartigen Attacken schützen, indem sie den gesamten Verlauf nach jeder Websitzung löschen oder die History gar nicht speichern.
"Nutzer wollen nicht auf Komfort verzichten"
Das lässt sich in den "Internet-Einstellungen" relativ einfach festlegen. Statt eingefärbte Links müssen Nutzer alle für Sie wichtigen Websites, die sie besuchen, in den Bookmarks speichern, um sie wiederzufinden. "Der Nutzer opfert Komfort, um sich vor einer abstrakten Bedrohung zu schützen. Diese ist aber den meisten Nutzern egal, da sie nicht auf den Komfort verzichten wollen", so Wondracek.
Doch nicht nur Nutzer können etwas gegen das Abgrasen ihres Browserverlaufs tun. Website-Betreiber könnten etwa ihren Code sorgfältiger schreiben und auf angehängte Parameter in der Adresszeile gänzlich verzichten. In einem solchen Fall würde etwa nur noch "Facebook.com" in der Adresszeile stehen, jedoch keine Anhänge mehr, die den Nutzer identifizierbar machen. "Die Anhänge kann sich der Browser merken. Es wäre technisch durchaus möglich, dass diese nicht mehr in der Adresszeile zu finden sind, aber weil es etwas mehr Programmieraufwand ist, wird es selten gemacht - und genau diese Schleißigkeit wird dann ausgenutzt", so Wondracek.
Auch Browserhersteller diskutierten seit über zehn Jahren, ob sie "History Stealing" behindern sollten, doch bisher sei in diese Richtung nichts passiert, so Wondracek. "Ein Grund mehr für uns, das Experiment auch fertig auszuprogrammieren."
Die Forscher haben das Experiment bei den Sozialen Netzwerken Xing, Facebook und LinkedIn durchgeführt. Die ersten erfolgreichen Deanonymisierungen erfolgten am 14. Jänner 2010.
Bei Xing existieren etwa 7.000 öffentliche Gruppen, in denen 1,8 Millionen Nutzer Mitglied sind. Doch auch 8,2 Prozent der privaten Gruppen akzeptierten den Antrag auf Mitgliedschaft und ermöglichten den Forschern somit den Zugriff auf 404.331 weitere Gruppenmitglieder.
Bei Facebook fanden die Forscher zumindest 43,2 Millionen Nutzer in 31.853 Gruppen. Bei 9,9 Millionen Personen konnte ein exakter "Gruppenfingerabdruck" festgestellt werden.
Xing reagiert, Facebook nicht
Das Soziale Netzwerk für Jobkontakte, Xing, das bei dem Projekt der Forscher als Hauptexperimentierfeld herangezogen wurde, hat sich wenige Tage nach Bekanntwerden der Sicherheitslücke gemeldet und Rat geholt, wie es seine Website sicherer gegen derartige Attacken machen könnte. "Xing hat einen Zufallscode in der Adresszeile eingefügt, so dass es schwieriger wird, die Gruppenzugehörigkeit auszulesen. Das wurde innerhalb von vier Tagen implementiert", lobte Wondracek. Auch das Soziale Netzwerk LinkedIn und die VZ-Netzwerke von Holtzbrinck haben sich mit den Forschern in Verbindung gesetzt.
Wondracek merkte jedoch an, dass derartige Implementierungen Nutzer auch nicht auf Dauer davor schützen werden. "Auch die Gegenseite schläft nicht. Bestimmten Angreifern gelingt es bereits, in 60 Sekunden drei Millionen Webseiten zu durchforsten", so Wondracek. Zudem könnten Angreifer diese Methode mit anderen Browserinformationen verknüpfen. So hatte die Electronic Frontier Foundation (EFF) Anfang des Jahres ein Tool veröffentlicht, mit dem sich zwar nicht der Nutzer des Browses herausfinden lässt, aber der Browser relativ exakt identifiziert - und weiterverfolgt - werden kann.
Auch Fanpages von Lücke betroffen
Facebook, mit über 400 Millionen Nutzern das weltgrößte Soziale Netzwerk, fügt weiterhin einen eindeutig identifizierbaren Gruppencode in der Adresszeile an - auch bei den dort integrierten Fansites. "Auch bei Fanpages sieht man den Link in der History. Das ist so etwas wie eine Gruppe", warnte Wondracek.
Man hätte die Gruppen bei Facebook zudem ohne Probleme tagelang mit einem einzigen Rechner durchforsten können, ohne dass Facebook das verhindert habe. 43,2 Millionen Nutzer hätte man in diesem Zeitraum gefunden. Erlaubt sei das freilich nicht. Eine Facebook-Sprecherin erklärte gegenüber ORF.at, dass das ganz klar in Paragraf 3 der Nutzungsbestimmungen geregelt sei. Punkt 2 verbietet Nutzern den Einsatz automatisierter Bots, ohne vorher eine entsprechende Erlaubnis eingeholt zu haben.
Während in Österreich ein derartiger Verstoß gegen die Bestimmungen nicht geahndet werden könnte, würde im Streitfall US-amerikanisches Recht zur Anwendung kommen. So drohte Facebook vor kurzem dem US-Datenspezialisten Pete Warden mit einer Klage, da dieser die Daten von 210 Millionen Facebook-Nutzern ausgelesen hatte - und im Rahmen eines Projekts auch veröffentlichen wollte. Warden musste sämtliche Datensätze komplett löschen.
"Im Wirtshaus ist man sicherer"
Professionelle Angreifer, die Phishing, Diebstahl oder Erpressung im Sinn haben, würden ihre Crawling-Versuche natürlich nicht offenlegen - und im Geheimen die Daten auslesen und weiterverarbeiten. Aus dem Grund sei ein Besuch im Wirtshaus mit Freunden auf jeden Fall sicherer, als ihnen auf Facebook mitzuteilen, dass man am Mittwochabend gemeinsam in den Sportverein schauen wolle. "Es gibt wenige Leute, die jedes Wirtshaus in Österreich zur gleichen Zeit nach solchen Informationen durchsuchen und dann etwa gezielt einbrechen fahren. Im Computer ist das ein Knopfdruck", so Wondracek.
Facebook könnte zudem auch durchaus selbst - ganz ohne Crawling - auf die Browserverläufe seiner Nutzer zugreifen und sich diese zunutze machen. In den Datenschutzrichtlinien räumen die Nutzer Facebook Folgendes ein: "Wenn du über einen Computer, ein Handy oder ein anderes Gerät Zugriff auf Facebook nimmst, sammeln wir unter Umständen von diesem Gerät Informationen über deinen Browsertyp, deinen Standort, deine IP-Adresse und die Seiten, die du besuchst." Wie diese "Sammlung von Websites, die du besuchst", tatsächlich abläuft, wollte das Soziale Netzwerk nicht verraten. Seitens Facebook hieß es dazu gegenüber ORF.at, dass diese Klausel Standard sei. "Jede Seite nutzt eine Statistiksoftware", so eine Facebook-Sprecherin.
Datenleck bei Facebook "bedenklich"
Zudem ist auch Facebook nicht vor "Datenlecks" gefeit. Am 31. März waren laut diversen Blog- und Twitter-Einträgen die E-Mail-Adressen von allen Facebook-Nutzern für kurze Zeit sichtbar. Blogger sprechen von 30 Minuten, Facebook von "wenigen Minuten". Der Bug sei während einer regulären Codeanpassung aufgetreten, bestätigte Facebook gegenüber ORF.at. Laut Wondraceck würden in so einem Fall wenige Minuten reichen, um alle Daten abzuspeichern. "Das wäre technisch problemlos möglich, die Frage ist nur, ob es jemand gemacht hat." Dass eine derartige Situation bei einer normalen Wartung auftrete, sei jedenfalls bedenklich. "Spammer könnten sich die E-Mail-Adressen etwa zunutze machen, weil sie jetzt wissen, dass sie gültig sind", erklärte Wondracek ein mögliches Angreiferszenario.
Was müsste man also tun, wenn man im Netz gänzlich anonym bleiben will? "JavaScript und Flash abdrehen, die History ausschalten, IP-Adresse immer ändern, ein Anonymisierungsnetzwerk verwenden. Dann hat man allerdings nur noch bunte Farben, kann animierte GIFs betrachten und Texte lesen", meinte Wondracek. "Wenn man das Netz normal verwenden will, kann man nicht mehr anonym bleiben."
(futurezone/Barbara Wimmer)