Eine Frage des Vertrauens

Lehren aus einer Social-Networking-Schwachstelle

| Autor / Redakteur: Holger Suhl* / Stephan Augsten

Anwender sollten private Geräte gar nicht erst geschäftlich nutzen, auch nicht fürs Social Networking.
Anwender sollten private Geräte gar nicht erst geschäftlich nutzen, auch nicht fürs Social Networking. (Bild: Archiv)

Über eine Software-Schwachstelle beim Sozialen Netzwerk LinkedIn hätte Malware verbreitet werden können. Dieser Beitrag zeigt auf, wie die Sicherheitslücke durch einen Mitarbeiter von Kaspersky Lab aufgedeckt wurde, und zeigt, was Firmenchefs und IT-Manager aus dem Vorfall lernen können.

Gegen Ende des Jahres 2014 hat sich ebenso rasch wie leise etwas zugetragen, das zwar nicht jeden betreffen mag, aber in der gesamten Wirtschaftswelt die Alarmglocken läuten lies. Bei LinkedIn, dem mit über 350 Millionen Mitgliedern weltweit größten Sozialen Netzwerk zur Pflege von Geschäftskontakten, wurde eine Sicherheitslücke aufgedeckt.

Wäre die Schwachstelle tatsächlich ausgenutzt worden, hätte dies eine enorme Gefahr für alle LinkedIn-Nutzer dargestellt. Denn es wäre damit sehr einfach gewesen, Spear-Phishing-Attacken durchzuführen, Zugangsdaten abzugreifen oder Malware zu verbreiten sowie die Kontrolle über die Geräte der Nutzer zu übernehmen.

Zum Glück der User gelang es nur unserem Sicherheitsforscher Ido Noar, die Lücke aufzudecken. Noar erkannte die Schwachstelle, untersuchte sie und informierte dann LinkedIn, worauf die Lücke unverzüglich geschlossen wurde. Damit war die Sache aber noch nicht ganz vom Tisch. Der Vorfall brachte nämlich eine ganze Reihe weiterer Probleme ans Licht, über die Unternehmen Bescheid wissen sollten und auf die sie reagieren müssen.

Vorrangig geht es um das Thema Vertrauen. Das Spektrum reicht vom Vertrauen der IT-Abteilung in die Qualität der firmeneigenen Sicherheitssysteme über das Vertrauen der Mitarbeiter in ihre Kollegen beim Informationsaustausch bis hin zum Vertrauen, das einem namhaften Unternehmen wie LinkedIn entgegengebracht wird. Dieses Vertrauen könnte allerdings von Dritten auch als Tarnkappe genutzt werden, um unbemerkt Schaden anzurichten oder ein Verbrechen zu begehen.

Stresstest für Netzwerk und Software

Jeder noch so kleine Teil der Software in einem Unternehmen muss unbedingt getestet werden. Das ist die erste Lektion, die sich aus dem Vorfall ziehen lässt. Die Tests müssen jede Phase des Entwicklungszyklus und kleinste Schwachstellen abdecken. Gibt es nämlich ein Leck, wird es früher oder später auch entdeckt werden. Und man sollte keinesfalls darauf hoffen, dass der Finder dann das Unternehmen in Kenntnis setzt oder gar bei der Ausmerzung behilflich ist.

Der Fehler in der Software von LinkedIn war nur geringfügig. Noar bemerkte, dass beim Posten eines Beitrags in einem der Threads von LinkedIn unterschieden wurde, ob das Posting von einem mobilen Gerät aus oder über die Website erfolgte. Im ersten Fall fehlte die Software-Kodierung, die illegal injizierten Content verhindert.

Noar erkannte, dass zwei unterschiedliche E-Mail-Plattformen genutzt wurden. Bei der einen fehlte mit dem so genannten Escape Coding eine wichtige Sicherheitsstufe. Damit wäre es bei Beiträgen, die von mobilen Geräten abgeschickt werden, möglich gewesen, unerkannt Schadprogramme mitzuschicken. Durch die Benachrichtigungsfunktion von LinkedIn werden alle, die an einem Thread teilnehmen, automatisch über jeden neuen Eintrag informiert. Das heißt, auch Schadsoftware hätte so in Sekundenschnelle mögliche Opfer erreicht.

Was aus Nutzersicht eine ganz normale LinkedIn-Benachrichtigung über den neuen Beitrag eines Kollegen ist, hätte missbräuchlich auch eine Aufforderung zur Eingabe von Zugangsdaten sein können; oder der Hinweis auf eine spannende Nachricht, die erst per Klick auf einen mitgelieferten Link angezeigt wird. Und schneller als gedacht hätte sich so Schadsoftware im sensiblen Unternehmensnetzwerk einnisten und rasch ausbreiten können.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43621779 / Hacker und Insider)