entwickler.com

Welchen Quellen darf man vertrauen, und warum sollte man das halbe Web herunterladen, wenn man doch nur auf ein paar Seiten möchte? Dieser Standpunkt Sicherheit sucht die Antworten.

"Michael Jackson ist tot"

Wirklich? Inzwischen können wir davon ausgehen, das Michael Jackson tot ist. Zum einen, weil genug mehr oder weniger vertrauenswürdige Quellen darüber berichten, zum anderen, weil es von ihm kein Dementi gibt. Aber Donnerstag Nacht war das nicht so eindeutig. Die einzige Quelle war der Onlinedienst TMZ.com, und dessen Informationen waren mehr als wage:

"We've just learned ... We're told ... A source tells us ... A cardiologist at UCLA tells TMZ ... A source inside the hospital told us ... We're told one of the staff members at Jackson's home ..."

Das würde jede Richter oder Anwalt in einem Hollywoodfilm mit "Hörensagen! Die Geschworenen werden aufgefordert, diese Aussage nicht zu beachten" zurückweisen. Und wie vertrauenswürdig ist TMZ.com überhaupt?

Vertrauenswürdige Quelle?

Laut Los Angeles Times gilt TMZ.com wohl nicht als besonders vertrauenswürdig, da ist es nur natürlich, das alle anderen Medien sich vor einer Veröffentlichung einer solche Nachricht rückversichern. Um so eine "Hammermeldung" aber nicht als letzter zu bringen, muss man sich irgendwann entscheiden: Wartet man zu lange, und die Nachricht stimmt, ist man der Dumme. Veröffentlicht man sie zu schnell und die Nachricht stimmt nicht, ist man erst recht der Dumme. Zu was für einem Eiertanz sowas wird, kann man im BILDblog nachlesen.

Trotz aller Skepsis wurde die Nachricht an sich aber allgemein recht schnell übernommen. Ob nun mit mehr oder weniger deutlicher Distanzierung ist dabei für mein Anliegen hier im Text egal, stellen wir einfach mal fest: Eine Nachricht, die von einer eher fragwürdigen Website ohne vernünftige Quelle verbreitet wurde, raste um den Globus. Wenn man jetzt bedenkt, das es schon falsche Wikipedia-Einträge in die Nachrichten geschafft und sich dort auch recht hartnäckig gehalten haben, z.B. beim falschen Vornamen unseres Wirtschaftsministers, sollte einem das doch zu denken geben, oder?

Und was wäre, wenn die Nachricht auf einer renommierteren Website veröffentlicht worden wäre? Wäre sie dann noch schneller aufgenommen und verbreitet worden?

Wie kommt die Nachricht auf die Website?

So, und jetzt zu was ganz anderem, einer angeblich völlig harmlosen Schwachstelle, die ja angeblich überhaupt keine Gefahr darstellt: Cross-Site-Scripting. Mal abgesehen davon, das man da in der Tat jede Menge gefährliche Sachen mit anfangen kann, kann man damit vor allem eins: Webseiten anders aussehen lassen. Ich habe bereits im Standpunkt Sicherheit vom 4. September 2006 über diese Möglichkeiten berichtet, damals hatte das russische Portal SecurityLab über XSS-Schwachstellen in die Websites von CBS News und BBC One eine Nachricht eingeschleust, laut der George Bush einen 9-jährigen zum Chef des Information Security Departments ernannt hat. Das war harmlos und leicht als Falschmeldung zu erkennen. Aber was passiert, wenn die Nachricht glaubwürdig ist? Meinem Kommentar im Standpunkt vom 4. September 2006 habe ich wenig hinzuzufügen. Im Rückblick auf den vergangenen Donnerstag gibt das aber doch Anlass zu gewissen Befürchtungen.

Mit einer geschickt platzierten Falschnachricht kann man einiges erreichen, und die kann sich heutzutage sehr viel schneller verbreiten als noch vor einigen Jahren. Auch Twitter hat ja gewaltig zur Verbreitung der Nachricht über Michael Jacksons Tod beigetragen. Twitter, falsche Nachricht - auch dazu gab es ja letzte Woche eine Meldung: Guy Kawasaki twitterte unfreiwillig eine Nachricht, die zu einer Website mit Schadsoftware führte. Das alles als Kombination - da bleibt eigentlich nur ein "Traue keiner Nachricht, die nicht mindestens einen halben Tag alt ist" als Schutzmaßnahme.

SecureBrowsing - gerne, aber nicht so!

Finjan SecureBrowsing ist eine Erweiterung für Internet Explorer und Mozilla Firefox, die vor gefährlichen URLs warnt. Dazu wird die Zielseite des URL gescannt und bei gefundener Schadsoftware der Link mit einem entsprechenden Icon versehen. Die Idee an sich ist gar nicht mal schlecht, da die verlinkte Website gescannt wird, kurz bevor sie evtl. besucht wird. Man ist also nicht auf oft veraltete Bewertungen angewiesen, und auch ganz frisch eingeschleuster Schadcode wird so entdeckt. Aber ich würde das System in dieser Form aus zwei Gründen nie einsetzen. Zum einen ist da die völlig unnötige Netzwerkbelastung, wenn z.B. auf einer Google-Ergebnisseite zig verlinkte Websites im Hintergrund geladen und gescannt werden, die ich überhaupt nicht besuchen will. Wie groß ist das Anteil unsinniger Fundstellen, wenn man z.B. nach einem Produkt sucht und mit eBay-Spam bombardiert wird? 80%, 90%? Und die Seiten würden alle überprüft, obwohl man da nie hin will? Auch bei einem DSL-Anschluss mit Flatrate wird das schnell nervend, von langsameren Anschlüssen und/oder ohne Flatrate ganz zu schweigen.

In dubio wars Finjan!

Ein zweiter Kritikpunkt: Da werden von meinem Rechner aus Websites aufgerufen, die ich gar nicht aufrufen will. Was ist, wenn dabei ein paar Mal das Kinderporno-Stoppschild dabei ist? Die Justizminister der Länder wollen ja den Aufruf entsprechender Seiten deutlich kriminalisieren (PDF) - wie die dann beweisen wollen, das der Beschuldigte die Seiten wirklich und absichtlich aufgerufen hat und das kein Zufall, Schädling oder eben so ein Tool wie Finjan SecureBrowsing war, wüsste ich wirklich zu gerne. Oder wie ist es mit der BKA-Website? Da reicht es schon aus, ein paar Mal auf die Fahndungsseite zu gehen, um verdächtigt zu werden. Übrigens: Gut zu wissen - sollte ich jemals einen Verdächtigen sehen, werde ich mich mit Sicherheit nicht darum kümmern. Beim BKA nach passenden Fahndungsfotos zu gucken ist ja wohl zu gefährlich, jedenfalls dann, wenn man es mehrmals macht, um sich wirklich sicher zu sein. Aber zurück zum eigentlichen Problem: SecureBrowsing ruft Seiten auf, die ich überhaupt nicht aufrufen will. Auch z.B. die, die mir von Anfang an suspekt vorkommen. Warum sollte ich das zulassen? Mal abgesehen davon, das ja auch SecureBrowsing eine Schwachstelle enthalten könnte, die von so einer Website ausgenutzt wird.

Gute Idee, aber verbesserungswürdig

Wie geschrieben: Die Idee, eine Seite direkt vor dem Aufruf zu prüfen, ist an sich nicht schlecht. Aber meiner Erfahrung nach werden beim Scannen aller auf einer Google-Ergebnisseite angezeigten Links viel zu viele nie besuchte Seiten gescannt. Würden nur die Links gescannt, denen man wirklich folgen will, z.B. über einen Aufruf des Scanners im Kontextmenü, wäre das eine feine Sache. Aber blindwütig alles zu laden und zu scannen, was verlinkt ist... da habe ich ja in spätestens einem halben Jahr das halbe Web einmal auf meinem Rechner gehabt. Darauf kann ich gut verzichten.

Carsten Eilers