Facebook: Lieber Angreifer jagen als Sicherheitslücken schließen

Der Sicherheitschef von Facebook gab auf der Hacker-Konferenz Black Hat Europe einen Einblick in das Sicherheitskonzept des sozialen Netzwerks. Fazit: Lücken wird es immer geben und alle zu schließen ist zu teuer und kompliziert.

In Pocket speichern vorlesen Druckansicht 118 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Uli Ries
  • Daniel Bachfeld

Facebooks Sicherheitschef Max Kelly verdiente einst seine Brötchen als Computer-Forensiker beim amerikanischen FBI. Seit 2005 ist er der Chief Security Officer (CSO) von Facebook, dem größten sozialen Netzwerk überhaupt. Die riesige Mitgliederzahl ist gleichzeitig Kellys größtes Problem: Facebook ist für Cyber-Kriminelle so interessant, dass jede erdenkliche Attacke oder Web-Plage früher oder später auch auf Kellys Tisch landet.

Nach Kellys Einschätzung wird sein knapp 20 Mann starkes Team niemals alle Lücken stopfen und alle Angriffe im Voraus verhindern können. "Es wird immer Schwachstellen geben, egal wie sehr wir uns anstrengen. Und beim Versuch die Löcher zu stopfen, produzieren wir neue Lücken", sagte Kelly auf der aktuell statt findenden Black-Hat-Konferenz.

Im Gespräch mit heise security sagte Kelly im Scherz, dass er glücklich wäre, "wenn wir 80 Prozent aller Lücken schließen könnten". Die Entwicklungsteams bei Facebook setzen auf ein selbst entwickeltes Framework, um sicheren Code zu schreiben. Facebooks Anforderungen sind laut Kelly zu speziell, als dass vorgefertigte Ratschläge und Richtlinien wie der Security Development Lifecycle von Microsoft etwas nutzten.

Kelly gab bei Facebook die Devise aus, dass das Sammeln von Informationen über Attacken und die dahinter stehenden Kriminellen wichtiger ist als das Stopfen sämtlicher Lücken. Laut Kelly betreibt Facebook diverse Honeypots überall auf der Site, um frühzeitig auf Angriffe aufmerksam zu werden. Außerdem habe man auch schon Listen mit Namen von Facebook-Konten gekauft, die zum Ziel von Spam-Attacken werden sollten. Mit White Hats arbeitet Kellys Team auch zusammen, um an Details über Schwachstellen und Exploits zu kommen.

"Angriffe sind keine Naturkatastrophen, es stecken immer Menschen dahinter", sagte Kelly. Je mehr sein Team erfährt, desto leichter können die Cyber-Kriminellen dingfest gemacht werden. "Wenn wir außerdem wissen, was die Angreifer dazu motiviert, uns zu attackieren anstatt mit der Xbox zu spielen, können wir ihnen das Leben künftig schwerer machen", so Kelly weiter. Immer weiter verfeinerte Gegenmaßnahmen sollen die Angreifer frustrieren beziehungsweise den Aufwand so weit erhöhen, dass die Betrugsmaschen unrentabel werden.

Gegen Spam – dazu gehören innerhalb des sozialen Netzes nicht nur lästige Werbemails, sondern auch unerwünschte Freundschaftsanfragen oder Einladungen zu irgendwelchen Spielen oder Umfragen – geht Facebook weitgehend vollautomatisch vor. Verschickt ein Mitglied auffällig viele Nachrichten, wird laut Max Kelly zuerst der Versand verzögert. In einem zweiten Schritt verlangt das System nach der Eingabe von CAPTCHAs. Zu guter Letzt sperrt die Automatik das Konto aus.

Auf Basis des US-amerikanischen Anti-Spam-Gesetzes (CAN-SPAM-Act) verlangt Facebook von identifizierten Spammern bis zu 100 US-Dollar pro versandter E-Mail. Ganz egal, ob die Nachricht herausgefiltert wurde oder im Postfach eines Nutzers landete. In Gerichtsprozessen addieren sich die Geldbußen gegen Spammer wie den von Facebook angezeigten und 2008 verurteilten Adam Guerbuez schnell auf Summen wie 873 Millionen Dollar. Auch wenn Guerbuez und seine – größtenteils unbekannten – Mitangeklagten solche Strafen niemals zahlen können, sind für Max Kelly solche Prozesse immens wichtig: „So wird den bösartigen Hackern klar, dass ihr Treiben ernst Folgen haben kann“, sagte Kelly.

Genauso unkonventionell, wie Kelly mit dem Thema Sicherheitslücken umgeht, geht er auch mit dem Dauerbrenner "Compliance" um: "Compliance hat nichts mit IT-Sicherheit zu tun. Wer nur versucht, Compliance-Vorgaben zu genügen, wird schnell zum Opfer. Wer dagegen sicheren Code schreibt und auch sonst sichere Prozesse lebt, der besteht die Audits quasi im Vorbeigehen." Von heise security auf das Thema Datenschutz angesprochen und Facebooks Plan, Nutzerdaten mit anderen Webseiten auszutauschen, gibt sich der CSO diplomatisch: "Wir werden nichts tun, was die Mehrheit unserer Nutzer ablehnt".

Weniger verklausuliert äußerte sich Kelly bei der von Anwendern kritisierten Komplexität der Datenschutzeinstellungen in den Profilen: "Natürlich sind es auf den ersten Blick eine Menge Einstellmöglichkeiten. Anders geht es aber auch nicht, die Anwender sollen ja möglichst differenziert einstellen können. Außerdem fühlen sich viele Nutzer meiner Meinung auch deswegen abgeschreckt von den Optionen, weil sie sich das erste Mal überhaupt mit der Frage beschäftigen müssen, wem sie eigentlich welche Informationen zugänglich machen wollen." (dab)