Suchen

Eine Frage des Vertrauens Lehren aus einer Social-Networking-Schwachstelle

| Autor / Redakteur: Holger Suhl* / Stephan Augsten

Über eine Software-Schwachstelle beim Sozialen Netzwerk LinkedIn hätte Malware verbreitet werden können. Dieser Beitrag zeigt auf, wie die Sicherheitslücke durch einen Mitarbeiter von Kaspersky Lab aufgedeckt wurde, und zeigt, was Firmenchefs und IT-Manager aus dem Vorfall lernen können.

Firmen zum Thema

Anwender sollten private Geräte gar nicht erst geschäftlich nutzen, auch nicht fürs Social Networking.
Anwender sollten private Geräte gar nicht erst geschäftlich nutzen, auch nicht fürs Social Networking.
(Bild: Archiv)

Gegen Ende des Jahres 2014 hat sich ebenso rasch wie leise etwas zugetragen, das zwar nicht jeden betreffen mag, aber in der gesamten Wirtschaftswelt die Alarmglocken läuten lies. Bei LinkedIn, dem mit über 350 Millionen Mitgliedern weltweit größten Sozialen Netzwerk zur Pflege von Geschäftskontakten, wurde eine Sicherheitslücke aufgedeckt.

Wäre die Schwachstelle tatsächlich ausgenutzt worden, hätte dies eine enorme Gefahr für alle LinkedIn-Nutzer dargestellt. Denn es wäre damit sehr einfach gewesen, Spear-Phishing-Attacken durchzuführen, Zugangsdaten abzugreifen oder Malware zu verbreiten sowie die Kontrolle über die Geräte der Nutzer zu übernehmen.

Zum Glück der User gelang es nur unserem Sicherheitsforscher Ido Noar, die Lücke aufzudecken. Noar erkannte die Schwachstelle, untersuchte sie und informierte dann LinkedIn, worauf die Lücke unverzüglich geschlossen wurde. Damit war die Sache aber noch nicht ganz vom Tisch. Der Vorfall brachte nämlich eine ganze Reihe weiterer Probleme ans Licht, über die Unternehmen Bescheid wissen sollten und auf die sie reagieren müssen.

Vorrangig geht es um das Thema Vertrauen. Das Spektrum reicht vom Vertrauen der IT-Abteilung in die Qualität der firmeneigenen Sicherheitssysteme über das Vertrauen der Mitarbeiter in ihre Kollegen beim Informationsaustausch bis hin zum Vertrauen, das einem namhaften Unternehmen wie LinkedIn entgegengebracht wird. Dieses Vertrauen könnte allerdings von Dritten auch als Tarnkappe genutzt werden, um unbemerkt Schaden anzurichten oder ein Verbrechen zu begehen.

Stresstest für Netzwerk und Software

Jeder noch so kleine Teil der Software in einem Unternehmen muss unbedingt getestet werden. Das ist die erste Lektion, die sich aus dem Vorfall ziehen lässt. Die Tests müssen jede Phase des Entwicklungszyklus und kleinste Schwachstellen abdecken. Gibt es nämlich ein Leck, wird es früher oder später auch entdeckt werden. Und man sollte keinesfalls darauf hoffen, dass der Finder dann das Unternehmen in Kenntnis setzt oder gar bei der Ausmerzung behilflich ist.

Der Fehler in der Software von LinkedIn war nur geringfügig. Noar bemerkte, dass beim Posten eines Beitrags in einem der Threads von LinkedIn unterschieden wurde, ob das Posting von einem mobilen Gerät aus oder über die Website erfolgte. Im ersten Fall fehlte die Software-Kodierung, die illegal injizierten Content verhindert.

Noar erkannte, dass zwei unterschiedliche E-Mail-Plattformen genutzt wurden. Bei der einen fehlte mit dem so genannten Escape Coding eine wichtige Sicherheitsstufe. Damit wäre es bei Beiträgen, die von mobilen Geräten abgeschickt werden, möglich gewesen, unerkannt Schadprogramme mitzuschicken. Durch die Benachrichtigungsfunktion von LinkedIn werden alle, die an einem Thread teilnehmen, automatisch über jeden neuen Eintrag informiert. Das heißt, auch Schadsoftware hätte so in Sekundenschnelle mögliche Opfer erreicht.

Was aus Nutzersicht eine ganz normale LinkedIn-Benachrichtigung über den neuen Beitrag eines Kollegen ist, hätte missbräuchlich auch eine Aufforderung zur Eingabe von Zugangsdaten sein können; oder der Hinweis auf eine spannende Nachricht, die erst per Klick auf einen mitgelieferten Link angezeigt wird. Und schneller als gedacht hätte sich so Schadsoftware im sensiblen Unternehmensnetzwerk einnisten und rasch ausbreiten können.

(ID:43621779)