Plaudertasche Web-Browser erleichtert Deanonymisierung
Die Zugehörigkeit zu bestimmten Gruppen in sozialen Netzen erlaubt anderen Webseiten Rückschlüsse auf die wahre Identität des Besuchers. An die Gruppen-Informationen gelangt eine Webseite über das "Auslesen" der Browser-Historie.
- Daniel Bachfeld
Ein Test der Electronic Frontier Foundation (EFF) für den Fingerprint des Browsers lässt Rückschlüsse zu, wie eindeutig identifizierbar der eigene Browser im Web ist. Welche Person dahintersteckt, kann der Test jedoch nicht ermitteln. Dieses Ziel verfolgt ein Experiment des Isec-Forschungslabors für IT-Sicherheit, ein Zusammenschluss der Technischen Universität Wien, des Institute Eurécom und der University of California, Santa Barbara. Der Test beruht auf der in Europa viel genutzten Plattform Xing, auf der mehrere Millionen Anwender ihre Profile veröffentlichen.
Im Wesentlichen macht sich der Test zunutze, dass viele Xing-Nutzer über ihre Zugehörigkeit zu mehreren Gruppen identifizierbar sind. Nach Angaben von Thorsten Holz, Mitinitiator des Experiments, gebe es nur wenige Personen in einem sozialen Netz, die genau den gleichen Gruppen angehören. Eine Webseite könnte über einen "Group Fingerprint" einen bislang völlig unbekannten Besucher identifizieren.
Um an die Information zu gelangen, ist allerdings etwas Vorarbeit nötig gewesen. Dazu habe man möglichst viele Gruppen in Xing und die dazugehörigen Foren gecrawlt, um einen Überblick über die Anwender von Xing zu erhalten und an URLs für den weiteren Test zu gelangen. Damit habe man rund 1,8 Millionen Anwender gefunden, die in etwa 7000 Gruppen organisiert sind.
Der zweite Schritt ist der eigentliche Test: Durch spezielle Aufrufe der Webseite im Browser kann eine Webseite feststellen, ob eine gegebene Seite auf einem anderen Server vom jeweiligen Besucher in der Vergangenheit aufgerufen wurde (Details zum sogenannten "History Stealing" hier). Damit lässt sich zunächst ermitteln, welche Gruppenseiten der Anwender besucht hat. In jeder gefundenen Gruppe prüft der Test nun, ob der aktuelle Besucher ein bestimmtes Mitglied der Gruppe (im Forum) ist – ebenfalls wieder mittels Durchprobieren der zuvor gesammmelten URLs. Eine mehr oder minder eindeutige Zuordnung soll auch deshalb möglich sein, da es in einem sozialen Netz eindeutige URLs gibt, etwa das persönliche Profil.
Zur Ermittlung des "Group Fingerprints" muss der Test laut Bericht nur rund 92.000 URLs durchprobieren, was in weniger als einer Minute erledigt ist. Durch eine Korrelation der Daten lässt sich der Kreis noch weiter einschränken, sodass häufig nur ein einziger Nutzer übrig bleiben soll. Erste Tests der Isec-Labs lieferten nach eigenen Angaben in der Praxis bisher gute Resultate. Allerdings habe man bislang nur 30 Tests durchführen können. In einem kurzen Test der heise-Security-Redaktion lieferte das Experiment in zwei Fällen keine Resultate zurück – diejenigen Nutzer waren zwar Mitglieder in Xing-Gruppen, jedoch nicht in Foren aktiv oder hatte ihre Browser-Historie kürzlich gelöscht. In einem Fall lieferte der Test immerhin zwei Namen zurück, von denen einer der richtige war.
Laut Holz ließen sich auch andere, größere soziale Netze wie LinkedIn und Facebook für derartige Tests nutzbar machen, allerdings sei die schiere Größe der Netze und die resultierende Datenflut ein Problem. Man habe aber auf Facebook mit zwei Rechnern schon mehr als 40 Millionen Profile gefunden – mit besserer Ausstattung könne man vermutlich auch Facebook komplett crawlen.
Die Grundlagen des Tests haben die Autoren Gilbert Wondracek, Thorsten Holz, Engin Kirda und Christopher Kruegel im Dokument "A Practical Attack to De-Anonymize Social Network Users " (PDF-Datei) vollständig beschrieben. Darin schlagen sie auch Abhilfemaßnahmen zum Schutz vor solchen Deanonymisierungsangriffen vor. Alle Maßnahmen sehen vor, das History Stealing zu erschweren. Auf Server-Seite könnten die Betreiber zufällige Tokens in die URLs einfügen, die das spätere Durchprobieren von URLs erheblich erschweren. Auf Client-Seite hilft es, den Zugriff auf die Browser-History zu verwehren, beispielsweise indem man bestimmte Seiten nur im Inkognito-Mode aktueller Browser ansurft, zusätzliche Schutz-Plug-ins wie NoScript für den Firefox verwendet oder regelmäßig die Historie löscht.
Die Autoren stellen den Test auch öffentlich zur Verfügung. Die Nutzer sollen dort vor dem Start des Tests einige Infos angeben, inwiefern sie Xing und Gruppen nutzen. Nach Abschluss des Tests gibt es ein zweites Formular, in dem man angeben kann, ob man (eindeutig) gefunden wurden. Laut Holz werden keine Daten gespeichert und weiterverwendet. Man sei nur am freiwilligen Feedback der Leser/Tester interessiert.
Siehe dazu auch:
