5135315

Sicherheitsexperte über Twitter-Wurm: "Die meisten Nutzer klicken zu arglos"

Der jüngste Twitter-Wurm ist nur ein Beispiel für sich ständig beschleunigende Netzangriffe. IT-Sicherheitsexperte Georg Wicherski erklärt die Hintergründe des Angriffs.

taz.de: Herr Wicherski, hat es Sie als Sicherheitsexperte überrascht, wie schnell die Twitter-Lücke am Dienstag ausgenutzt wurde?

Georg Wicherski: Nein, erste Demonstrationen der Lücke wurden bereits am frühen Mittag deutscher Zeit auf Twitter von IT-Security-affinen Benutzern gepostet, so dass die Informationen über die Lücke Hunderten Nutzern zur Verfügung standen. Es war nur eine Frage der Zeit, bis jemand diesen Code so umbaut, dass er nicht nur eine harmlose Dialogbox anzeigt sondern sich selber verbreitet. Dementsprechend sind dann auch direkt mehrere, verschiedene Varianten des Wurms aufgetaucht. Die Lücke selber war anscheinend übrigens seit mindestens dem 23. August bekannt, der Patch schien jedoch noch nicht eingespielt worden zu sein.

taz.de: Wie haben Sie selbst das Problem erlebt? In Ihrem Blog gab es ja eine Art Live-Berichterstattung.

Georg Wicherski

Georg 'oxff' Wicherski ist Informatiker an der RWTH Aachen und arbeitet als Virus-Analyst bei der deutschen Tochter des internationalen IT-Sicherheitsunternehmens Kaspersky Labs. Er gehörte zu den Ersten, die den gestern kursierenden Twitter-Wurm analysierten, der unter anderem Promis wie die britische Ex-First Lady Sarah Brown heimsuchte. Nutzer wurden über eine sogenannte XSS-Lücke unter anderem auf Porno-Seiten umgeleitet.

Wicherski: Jemand, dem ich followe (also dessen Twitter-Updates auf meiner Twitter-Seite erscheinen), hat eine Demonstration dieser Lücke veröffentlicht. Als ich ohne alles direkt zu lesen meine Maus über die Seite bewegte, öffnete sich plötzlich eine Dialog-Box mit sensitiven Browser-Inhalten, unter anderem meinem Login. Dies ist ein typisches Verhalten für Demonstrationen von XSS-Schwachstellen, mein erster Gedanke war also: "Oh Mist, jetzt hat mich jemand dran!" Eine schnelle Analyse der Demonstration ergab jedoch, dass wirklich nur dieser Dialog aufpoppen sollte, sozusagen als Warnung: "Du bist verwundbar." Im folgenden habe ich die Schwachstelle dann detaillierter analysiert und festgestellt, dass sie sich fuer einen Wurm ausnutzen lässt - was dann später auch eingetreten ist.

taz.de: Twitter ist ja ein sehr schnelles Medium, "böse" Links verbreiten sich in Minuten. Ist deshalb in Zukunft mit weiteren (und schlimmeren) Attacken dieser Art zu rechnen?

Wicherski: In diesem konkreten Fall wurde eine Schwachstelle in Twitter selbst ausgenutzt, die dann geschlossen wurde. Solche Lücken lassen sich durch Code-Audits [eine intensive und teilweise automatisierte Analyse von Software, Anm. d. Red.] identifizieren und präventiv schließen. Es ist davon auszugehen, dass Twitter seine Sicherheits-Checks in Zukunft verstärkt. Wird dennoch einmal eine solche Lücke durch Externe gefunden, kann das ganze natürlich rasend schnell gehen, wie man am Dienstag gesehen hat. Von ersten Demonstrationen über den Wurm bis zum Stopfen der Lücke sind nur anderthalb Stunden vergangen.

taz.de: Können Sie für einen Laien verständlich erklären, was XSS-Angriffe sind?

Wicherski: Alle modernen Browser sprechen heutzutage JavaScript, das ist vor allem nützlich für dynamische Inhalte wie auf Twitter oder Facebook. Der JavaScript-Code wird dabei in die Webseite selbst, mit speziellen sogenannten "Tags" umschlossen, eingefügt. Viele Seiten heutzutage erlauben es jedoch auch dem Nutzer, selbst erstellte Inhalte wie Texte oder eben kurze Tweets in eine Web-Seite für andere einzubetten. Aus der Sicht des Browser befinden sich diese Inhalte auf der selben Ebene wie der JavaScript-Code der Seite. Daher ist es Aufgabe der Seite, vor dem Veröffentlichen der Inhalte diese den Code markierenden Tags herauszufiltern, damit andere Benutzer keinen Code in die Seite des Betrachters einschleusen können. Geschieht dies nicht oder nur mangelhaft, kann beispielsweise wie am Dienstag Code eingeschleust werden, der sich selber dupliziert und im Namen des Betrachters auf die Seiten anderer Nutzer kommt. Der Wurm von Dienstag hat lediglich eine Kopie von sich selbst als neuen Tweet unter dem Account des Betrachters veröffentlicht - mehr nicht.

taz.de: Kann man sich als Nutzer vor XSS-Angriffen schützen? Was halten Sie vom Abdrehen von JavaScript, eventuell durch Zusatzprogramme wie "NoScript", die es für den Browser Firefox gibt?

Wicherski: Grundsätzlich ist man auf die Seitenbetreiber angewiesen, die Inhalte anderer Nutzer entsprechend filtern müssen. Das Deaktivieren von JavaScript, beispielsweise durch Zusatzprogramme wie "NoScript", schafft hier Abhilfe. Der eingeschleuste Code wird dann nicht mehr ausgeführt.

taz.de: Twitter selbst setzt bei seinem Relaunch ja verstärkt auf die Skriptsprache - und modernde Web 2.0-Angebote kommen schlicht nicht mehr ohne sie aus.

Wicherski: Ja, viele Web-Seiten funktionieren heutzutage ohne JavaScript nur noch eingeschränkt und daher muss eine Ausnahme in NoScript gestattet werden. Ist diese Seite verwundbar, so wird der Nutzer gezwungen, sich selber verwundbar zu machen. Hier muss jeder für sich selbst abwägen, welche Services er wirklich nutzen will. Es bleibt zu hoffen, dass Betreiber, die zwingend auf Technologien wie JavaScript setzen, auch dementsprechende Sicherheitsvorkehrungen treffen.

taz.de: Wird man XSS-Probleme jemals stoppen können?

Wicherski: Auf absehbare Zeit werden in Web-Seiten enthaltener Code und eventuell eingefügte nutzergenerierte Inhalte technisch auf der selben Ebene bleiben. Es liegt daher an den Entwicklern der Web-Seiten, entsprechendes Filtern vorzunehmen. Bei großen Angeboten wie Facebook oder Twitter besteht ausreichend Bewusstsein für Sicherheit, um solche Probleme präventiv anzugehen. Entwickler kleinerer Seiten haben dieses Bewusstsein leider nicht immer - und wie man am Dienstag gesehen hat, kann es ja selbst bei den Großen schief gehen. Zusätzlicher Schutz wie NoScript und ein aktuelles Anti-Viren-Programm, das eventuell durch den JavaScript-Code nachgeladene Datenschädlinge blockieren kann, sind daher für jeden zwingend zu empfehlen.

taz.de: Was kann Twitter noch tun?

Wicherski: Kürzlich habe ich noch einen Tweet von Twitter selbst gelesen, in dem zu lesen war, dass man zusätzliche Entwickler für sicherheitsrelevante Aufgaben sucht. Es scheint also das Problembewusstsein vorhanden zu sein. In diesem Fall war die Lücke schon öffentlich bekannt und hätte schon früher geschlossen werden können.

taz.de: Liegt es nicht auch an den Nutzern selbst? Bei Twitter neigt man ja stark dazu, abgekürzte Links anzuklicken, von denen man nie weiß, wo sie eigentlich hinführen.

Wicherski: Das ist richtig, die meisten Nutzer sind sich der Sicherheitsrisiken des Netzes nicht bewusst und klicken arglos alles an, was ihnen unterkommt. Die Prioritäten liegen bei den meisten Benutzern nicht beim Thema Sicherheit. Der Zusammenhang zwischen besuchten Webinhalten und dem Diebstahl privater Daten, etwa Online-Banking-Informationen, stellt sich für viele nicht dar. Dieses Bewusstsein muss erst geschaffen werden.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • Mr Respekt

    Gast

    zum glück gibts solche leute die uns vor sowas schützen!