9-5-2006 | Aus MONITOR 5/2006 Gedruckt am 21-08-2014 aus www.monitor.co.at/index.cfm/storyid/8191
Strategien

Weblogs Security

Sicherheit bei Corporate Weblogs beachten!

Seit geraumer Zeit sprießen Internettagebücher wie Pilze aus dem Boden. Doch der Boom hat auch seine Schattenseiten. Um Missbrauch und Manipulationen auf privaten Foren und Unternehmensplattformen vorzubeugen, müssen sich Betreiber wie Nutzer auf ein sorgsames Management der IT-Sicherheit einstellen.

Lothar Lochmaier

Mittlerweile hat der Blogging-Boom längst auch die Unternehmen erreicht. Angetrieben wird die technologische Entwicklung von den Giganten der IT-Branche. SAP etwa setzt ganz geschwindigkeitskonform auf die "SAP Executive Blogs". Firmenchef Henning Kagermann will sein Online-Journal mit einer breiten Themenmischung ins Netz posten. Von Softwarethemen bis hin zu Fragen der sozialen Gerechtigkeit ist alles drin.

Auch IBM motiviert seine Mitarbeiter aktiv zum Bloggen. Zur internen Weblog-Plattform, dem so genannten "Blog Central", haben Mitarbeiter weltweit Zugang. Risiken nimmt das Unternehmen dabei durchaus in Kauf. Mit einer entsprechend rigide gehandhabten Policy, etwa Zugriffsrechte und Passwörter der Administratoren auf Blog-Routinen, versucht Big Blue das latente Sicherheitsproblem in den Griff zu bekommen.

Problematisch ist dabei, dass Weblogs tiefer ins IT-Geschehen eingreifen, als mancher unbedarfte Nutzer glaubt. IBM etwa hat seine Blogging Tools auch in die Groupware oder Content Management Systeme integriert. "Zwar sehen wir noch keine gezielten Attacken, mit denen Malware auf Weblogs eingeschleust wird, aber das Risiko auf häufig frequentierten Plattformen ist trotzdem sehr hoch", bekräftigt Maksim Schipka, Anti-Virus-Architekt im Global Operation Center bei Messagelabs. Er hält es durchaus für möglich, über derartige Schwachstellen an sensible Kundendaten zu gelangen.

Gegen derlei Missbrauch hat sich Telekom Austria mit seiner an private Endnutzer adressierten Plattform "Weblife" bereits gewappnet. "Weblife" hat keine Verbindung zum firmeninternen Datennetz", sagt Dr. Stefan Tweraser, Leiter Marketing Retail von Telekom Austria. Das Unternehmen hat die Plattform vorsorglich komplett von den übrigen Telekom-Austria Anwendungen getrennt: "Dadurch ist das Missbrauchsrisiko mit sensiblen Kundendaten gleich null."

Rechtliche Pflichten

In der rechtlichen Pflicht stehen auch die Betreiber. Sie bewegen sich in einer Art Grauzone, denn es ist umstritten, wofür einerseits der Betreiber und andererseits der Nutzer grade steht. Die Frage ist, wieweit Betreiber ihre Systeme öffnen sollen, ohne dabei die direkte Kommunikation allzu sehr einzuschränken. Der Grad der Bedrohung ist dabei in erster Linie von den Sicherheitseinstellungen der Blogging-Systeme abhängig.

Grundsätzlich kann Schadcode in unterschiedlicher Form gepostet werden. Dabei handelt es sich nicht automatisch um ausführende Dateien. Bereits die Verlinkung mittels URL oder einem Skript reicht aus. Da fast alle Blogging-Systeme das Posten von Bildern erlauben, genügt auch schon der Upload eines modifizierten Bildes, das eine Sicherheitslücke ausnutzt. Ein Beispiel ist das erst kürzlich aufgetauchte Bild im WMF Format, welches durch bloßes Anzeigen via Internet Explorer aktiviert wurde.

Unangenehm sind auch so genannte "SPLOGS". Dabei versucht der Autor, Blog-User auf spezielle Websites zu locken, um die Zugriffszahlen zu erhöhen, etwa durch Erhöhung der Page Ranks, und um Analysedaten über das Kauf- und Marketingverhalten eines spezifischen Users zu erhalten. Für den User wird dies aus technischer Sicht vor allem dann kritisch, wenn diese verlinkten Sites Trojanische Pferde, Viren und dergleichen enthalten.

Erstaunlicherweise hinkt das Problembewusstsein beim Nutzer bisher dem Blogging-Hype noch deutlich hinterher. "Jeder kann ziemlich frei posten, dadurch ist die Verbreitung von potenziellen Schädlingen enorm", sagt Maksim Schipka. Zum einen schützt dagegen eine professionell aufgesetzte Antiviren- und Antispyware-Lösung. Jedoch ist dies kein Allheilmittel, wenn sich etwa "Splogs" - eine Art Denial of Service-Attacke, auf den Bloghost häufen, da dessen Kapazität durch Splogs merklich belastet wird - sowohl in der Bandbreite, als auch dem Diskspace. Fatal, wenn dann bei zu vielen Splogs der Blog irgendwann nicht mehr besucht wird.

Die auf dem Markt angebotenen Lösungen enthalten bislang lediglich rudimentäre Hinweise auf Funktionalitäten, welche etwa ein Contentfiltering von Blogs vorsehen. Experten bezweifeln den wirkungsvollen Schutz. Denn Blogs sind gerade dadurch definiert, dass ein Text in Foren mehrmals auftaucht. Hier bedarf es entsprechender Filterregeln, welche keine "false positives" oder "negatives" erzeugen.

RSS-Feeds als Problemfall?

Auch die Verbreitung von RSS-Feeds als topaktuelle Newsangebote könnte sich zum Problemfall entwickeln, etwa wenn es gelingt, manipulierten RSS-Code in ein derartiges Serviceangebot einzuschleusen. Die Gefahren von Hacking und Phishing via RSS Feed lassen sich anhand folgendem Szenario verdeutlichen: Setzt beispielsweise eine Bank RSS Feeds ein und deren Server wird gehackt, könnten Unbefugte eine Nachricht absetzen und die Kunden auf eine Phishing-Seite lotsen. "Das Prinzip ist damit analog dem Phishing via Email, allerdings fast noch tückischer, denn die Kunden haben sich für das RSS der Bank eingeschrieben und glauben, dass diese Nachricht wirklich von der Bank übermittelt wurde.

Grundsätzlich sind beim RSS-Reader auch Stempel und Sicherheitszertifikate fälschbar. Erste Lösungsanbieter sind hier bereits auf dem Markt präsent. So offeriert das amerikanische Unternehmen Reactivity, ein Anbieter von Geräten für XML-Infrastrukturen, mit "Secure RSS" eine spezifische Verschlüsselungstechnologie. Der Hersteller verschlüsselt direkt am Gateway, der Nutzer kann nur nach entsprechender Identifizierung auf die RSS-Feeds zugreifen. Dass ein wirkungsvolles Identitäten-Management not tut, zeigt die Tatsache, dass einzelne Betreiber gelegentlich darüber klagen, dass bereits registrierte Beiträge wieder, wie von Geisterhand entfernt, von der Blogging-Plattform verschwinden.

Die Möglichkeiten zur Manipulation und das Einschleusen von Schädlingen via Weblogs sind also vielfältig, wenngleich sie technisch gesehen kaum etwas Neues bieten. Die zentrale Schwachstelle ist und bleibt der Mensch selbst. Wirkungsvollen Schutz bietet eine aktive "Rund-um-die-Uhr"-Betreuung, aus Kosten- und Kapazitätsgründen für die meisten Unternehmen allerdings kaum umsetzbar. Nach Auffassung Maksim Schipkas von Messagelabs springen in diese Marktnische schon bald die ersten Anbieter von spezifisch auf das Corporate Blogging zugeschnittenen Managed Security Services.

Illegal eingelogged

Potenzielle Motive und Ziele

  • Weit verbreitete Weblogs als strategische Plattformen zur raschen Verbreitung von Malware.
  • Gezielte Angriffe auf Unternehmen, mit dem Ziel der Rufschädigung.
  • Diebstahl von Login-Daten und Informationen, etwa zur Betriebsspionage und Konkurrenzschädigung.
  • Spezielle Blogs im Visier - mit dem Ziel eine exklusive Zielgruppe anzugreifen.

Methoden der Angreifer

Technisch gesehen sind Blogs/RSS analog zu Web-Applikationen (http- und https-Protokolle), die zahlreiche meist bekannte Schwachstellen offerieren. Die wichtigsten Techniken der Angreifer sind:

  • XSS
  • Injection (z.B. SQL-Injection)
  • Angriffe auf die Session/Cookies/SessionIDs
  • Path Climbing
  • Session Hijacking
  • Hidden Field Manipulation

Schutzmaßnahmen auf Enduser-Ebene

  • Keine persönlichen identitätsbezogenen Informationen wie Passworte in Weblogs preisgeben.
  • Desktop-Schutzsoftware auf PC und generell Endgeräte-Ebene aktuell halten und regelmäßig patchen.
  • Alternativen Browser zum Internet Explorer (Microsoft) verwenden.
  • Kritische, unseriöse oder gänzlich unbekannte Weblogs möglichst meiden.

Schutzmaßnahmen für Betreiber:

Betreiber eines "freien" Blogging-Systems können unter Umständen für den veröffentlichten Inhalt haftbar gemacht werden:

  • Sicherheitskonzept des Servers und der verwendeten Skripte überprüfen.
  • Nur Rechte vergeben, die wirklich nötig sind, um die Posts zu veröffentlichen.
  • Den geposteten Inhalt überprüfen, bevor dieser online geht.
  • Keine Posts zulassen, die Javascript-Code beinhalten, da dieser Lücken des Browsers ausnutzen könnte. Malware selbst müsste nicht einmal in das Blogging-System hochgeladen werden, sondern mittels URL einfach verlinkt werden. Eine ratsame Schutzmaßnahme ist das Abschalten von Scriptsprachen wie Java oder Visual Basic Script, denn diese können Sicherheitslücken ausnutzen oder sogar direkt Code auf dem Computer ausführen.
  • Darüber hinaus auch noch die URL-Links verbieten, die als Titel eine andere URL haben als der eigentliche Link dahinter.
  • Artikel bookmarken
  • del.icio.us
  • Mister Wong
  • Yahoo MyWeb

Userkommentare

DISQUS ist ein Service von disqus.com und unabhängig von monitor.at - siehe die Hinweise zum Datenschutz der DISQUS-Kommentarfunktion

comments powered by Disqus