Sicherheitsexperte über Twitter-Wurm: "Die meisten Nutzer klicken zu arglos"
Der jüngste Twitter-Wurm ist nur ein Beispiel für sich ständig beschleunigende Netzangriffe. IT-Sicherheitsexperte Georg Wicherski erklärt die Hintergründe des Angriffs.
taz.de: Herr Wicherski, hat es Sie als Sicherheitsexperte überrascht, wie schnell die Twitter-Lücke am Dienstag ausgenutzt wurde?
Georg Wicherski: Nein, erste Demonstrationen der Lücke wurden bereits am frühen Mittag deutscher Zeit auf Twitter von IT-Security-affinen Benutzern gepostet, so dass die Informationen über die Lücke Hunderten Nutzern zur Verfügung standen. Es war nur eine Frage der Zeit, bis jemand diesen Code so umbaut, dass er nicht nur eine harmlose Dialogbox anzeigt sondern sich selber verbreitet. Dementsprechend sind dann auch direkt mehrere, verschiedene Varianten des Wurms aufgetaucht. Die Lücke selber war anscheinend übrigens seit mindestens dem 23. August bekannt, der Patch schien jedoch noch nicht eingespielt worden zu sein.
taz.de: Wie haben Sie selbst das Problem erlebt? In Ihrem Blog gab es ja eine Art Live-Berichterstattung.
Georg 'oxff' Wicherski ist Informatiker an der RWTH Aachen und arbeitet als Virus-Analyst bei der deutschen Tochter des internationalen IT-Sicherheitsunternehmens Kaspersky Labs. Er gehörte zu den Ersten, die den gestern kursierenden Twitter-Wurm analysierten, der unter anderem Promis wie die britische Ex-First Lady Sarah Brown heimsuchte. Nutzer wurden über eine sogenannte XSS-Lücke unter anderem auf Porno-Seiten umgeleitet.
Wicherski: Jemand, dem ich followe (also dessen Twitter-Updates auf meiner Twitter-Seite erscheinen), hat eine Demonstration dieser Lücke veröffentlicht. Als ich ohne alles direkt zu lesen meine Maus über die Seite bewegte, öffnete sich plötzlich eine Dialog-Box mit sensitiven Browser-Inhalten, unter anderem meinem Login. Dies ist ein typisches Verhalten für Demonstrationen von XSS-Schwachstellen, mein erster Gedanke war also: "Oh Mist, jetzt hat mich jemand dran!" Eine schnelle Analyse der Demonstration ergab jedoch, dass wirklich nur dieser Dialog aufpoppen sollte, sozusagen als Warnung: "Du bist verwundbar." Im folgenden habe ich die Schwachstelle dann detaillierter analysiert und festgestellt, dass sie sich fuer einen Wurm ausnutzen lässt - was dann später auch eingetreten ist.
taz.de: Twitter ist ja ein sehr schnelles Medium, "böse" Links verbreiten sich in Minuten. Ist deshalb in Zukunft mit weiteren (und schlimmeren) Attacken dieser Art zu rechnen?
Wicherski: In diesem konkreten Fall wurde eine Schwachstelle in Twitter selbst ausgenutzt, die dann geschlossen wurde. Solche Lücken lassen sich durch Code-Audits [eine intensive und teilweise automatisierte Analyse von Software, Anm. d. Red.] identifizieren und präventiv schließen. Es ist davon auszugehen, dass Twitter seine Sicherheits-Checks in Zukunft verstärkt. Wird dennoch einmal eine solche Lücke durch Externe gefunden, kann das ganze natürlich rasend schnell gehen, wie man am Dienstag gesehen hat. Von ersten Demonstrationen über den Wurm bis zum Stopfen der Lücke sind nur anderthalb Stunden vergangen.
taz.de: Können Sie für einen Laien verständlich erklären, was XSS-Angriffe sind?
Wicherski: Alle modernen Browser sprechen heutzutage JavaScript, das ist vor allem nützlich für dynamische Inhalte wie auf Twitter oder Facebook. Der JavaScript-Code wird dabei in die Webseite selbst, mit speziellen sogenannten "Tags" umschlossen, eingefügt. Viele Seiten heutzutage erlauben es jedoch auch dem Nutzer, selbst erstellte Inhalte wie Texte oder eben kurze Tweets in eine Web-Seite für andere einzubetten. Aus der Sicht des Browser befinden sich diese Inhalte auf der selben Ebene wie der JavaScript-Code der Seite. Daher ist es Aufgabe der Seite, vor dem Veröffentlichen der Inhalte diese den Code markierenden Tags herauszufiltern, damit andere Benutzer keinen Code in die Seite des Betrachters einschleusen können. Geschieht dies nicht oder nur mangelhaft, kann beispielsweise wie am Dienstag Code eingeschleust werden, der sich selber dupliziert und im Namen des Betrachters auf die Seiten anderer Nutzer kommt. Der Wurm von Dienstag hat lediglich eine Kopie von sich selbst als neuen Tweet unter dem Account des Betrachters veröffentlicht - mehr nicht.
taz.de: Kann man sich als Nutzer vor XSS-Angriffen schützen? Was halten Sie vom Abdrehen von JavaScript, eventuell durch Zusatzprogramme wie "NoScript", die es für den Browser Firefox gibt?
Wicherski: Grundsätzlich ist man auf die Seitenbetreiber angewiesen, die Inhalte anderer Nutzer entsprechend filtern müssen. Das Deaktivieren von JavaScript, beispielsweise durch Zusatzprogramme wie "NoScript", schafft hier Abhilfe. Der eingeschleuste Code wird dann nicht mehr ausgeführt.
taz.de: Twitter selbst setzt bei seinem Relaunch ja verstärkt auf die Skriptsprache - und modernde Web 2.0-Angebote kommen schlicht nicht mehr ohne sie aus.
Wicherski: Ja, viele Web-Seiten funktionieren heutzutage ohne JavaScript nur noch eingeschränkt und daher muss eine Ausnahme in NoScript gestattet werden. Ist diese Seite verwundbar, so wird der Nutzer gezwungen, sich selber verwundbar zu machen. Hier muss jeder für sich selbst abwägen, welche Services er wirklich nutzen will. Es bleibt zu hoffen, dass Betreiber, die zwingend auf Technologien wie JavaScript setzen, auch dementsprechende Sicherheitsvorkehrungen treffen.
taz.de: Wird man XSS-Probleme jemals stoppen können?
Wicherski: Auf absehbare Zeit werden in Web-Seiten enthaltener Code und eventuell eingefügte nutzergenerierte Inhalte technisch auf der selben Ebene bleiben. Es liegt daher an den Entwicklern der Web-Seiten, entsprechendes Filtern vorzunehmen. Bei großen Angeboten wie Facebook oder Twitter besteht ausreichend Bewusstsein für Sicherheit, um solche Probleme präventiv anzugehen. Entwickler kleinerer Seiten haben dieses Bewusstsein leider nicht immer - und wie man am Dienstag gesehen hat, kann es ja selbst bei den Großen schief gehen. Zusätzlicher Schutz wie NoScript und ein aktuelles Anti-Viren-Programm, das eventuell durch den JavaScript-Code nachgeladene Datenschädlinge blockieren kann, sind daher für jeden zwingend zu empfehlen.
taz.de: Was kann Twitter noch tun?
Wicherski: Kürzlich habe ich noch einen Tweet von Twitter selbst gelesen, in dem zu lesen war, dass man zusätzliche Entwickler für sicherheitsrelevante Aufgaben sucht. Es scheint also das Problembewusstsein vorhanden zu sein. In diesem Fall war die Lücke schon öffentlich bekannt und hätte schon früher geschlossen werden können.
taz.de: Liegt es nicht auch an den Nutzern selbst? Bei Twitter neigt man ja stark dazu, abgekürzte Links anzuklicken, von denen man nie weiß, wo sie eigentlich hinführen.
Wicherski: Das ist richtig, die meisten Nutzer sind sich der Sicherheitsrisiken des Netzes nicht bewusst und klicken arglos alles an, was ihnen unterkommt. Die Prioritäten liegen bei den meisten Benutzern nicht beim Thema Sicherheit. Der Zusammenhang zwischen besuchten Webinhalten und dem Diebstahl privater Daten, etwa Online-Banking-Informationen, stellt sich für viele nicht dar. Dieses Bewusstsein muss erst geschaffen werden.
Links lesen, Rechts bekämpfen
Gerade jetzt, wo der Rechtsextremismus weiter erstarkt, braucht es Zusammenhalt und Solidarität. Auch und vor allem mit den Menschen, die sich vor Ort für eine starke Zivilgesellschaft einsetzen. Die taz kooperiert deshalb mit Polylux. Das Netzwerk engagiert sich seit 2018 gegen den Rechtsruck in Ostdeutschland und unterstützt Projekte, die sich für Demokratie und Toleranz einsetzen. Eine offene Gesellschaft braucht guten, frei zugänglichen Journalismus – und zivilgesellschaftliches Engagement. Finden Sie auch? Dann machen Sie mit und unterstützen Sie unsere Aktion. Noch bis zum 31. Oktober gehen 50 Prozent aller Einnahmen aus den Anmeldungen bei taz zahl ich an das Netzwerk gegen Rechts. In Zeiten wie diesen brauchen alle, die für eine offene Gesellschaft eintreten, unsere Unterstützung. Sind Sie dabei? Jetzt unterstützen
