INS-ecommerce

StudiVZ: Security by Obscurity

StudiVZ, die in Deutschland noch größte Kommunikationsplattform für Studenten, legt von den Teilnehmern als nicht öffentlich gekennzeichnete Bilder ohne Zugriffsschutz ab. Damit sind die Bilder für jeden aus dem Internet prinzipiell erreichbar. Mehr dazu hier, hier, und hier.

Im StudiVZ Blog-Eintrag vom 20.11.2006 schreibt Manfred Friedrich:
  • Die Sicherheitsbedenken sind unbegründet, denn Bilder können nur dann eingesehen werden, wenn man die URL mitsamt dem darin enthaltenen Code genau und präzise kennt. Den Code kann man wie ein Passwort zum Online Banking verstehen. Gebe ich dieses Passwort an einen Freund weiter, kann er Geld abheben. Gebe ich den Code weiter, kann man die Bilder ansehen. Am Beispiel einer fiktiven URL möchte ich aufzeigen, warum es praktisch unmöglich ist, bei StudiVZ an ein nicht-öffentliches Bild zu kommen, wenn ich nicht den Code kenne:
  • http:// 217.188.35.147/albums/2006-11/20/Ev4M21/Z3uP7KA-5819.jpg
  • Die URL besteht aus:
  • 2006-11/20 = Datum
  • Ev4M21= Code des Albums
  • Z3uP7KA-5819 = Code des Fotos


Man könnte es ja fast akzeptieren, wenn diese Aussage von einem Pressesprecher gekommen wäre, der kein Fachmann in Datensicherheit ist, und nur zu Beschwichtigen versucht. Doch Herr Friedrich ist laut dem StudiVZ-Blog Datenschutzbeauftragter von studiVZ und mitverantwortlich für Betrieb und Software Entwicklung.

Das ist dann doch schon etwas starker Tobak, weshalb hier ein wenig auf das zugrundeliegende Prinzip (Security by Obscurity) eingegangen werden soll.

Security by Obscurity meint ein Prinzip der Datensicherheit, bei dem versucht wird, Sicherheit ausschliesslich auf Geheimhaltung aufzubauen. Wenn ein System alleine darauf aufbaut, ist es schwer, dieses auf lange Sicht sicher zu halten.

Das klassische Beispiel für dieses Prinzip besteht darin, daß jemand seinen Haustürschlüssel unter der Fussmatte versteckt, und darauf hofft, daß es niemand errät oder sonstwie herausfindet. Der Hausbesitzer glaubt fest, daß ein Einbrecher den Schlüssel nicht finden wird, doch tatsächlich ist das System wesentlich unsicherer, als es der Hausbesitzter vermutet.

Das Beispiel veranschaulicht auch das zugrundeliegende Problem von Security by Obscurity: Man versucht etwas geheimzuhalten ("Schlüssel unter der Fussmatte"), was auf Dauer nicht geheimzuhalten ist, und was damit das gesamte restliche Sicherheitssystem ("Haustürschloß") ad absurdum führt.

Was bedeutet das für Verschlüsselungsverfahren?

Nun, Verschlüsselungs-/Entschlüsselungsverfahren basieren immer auch auf Geheimhaltung. Wenn jedoch nicht die Schlüssel die wesentlichen Komponenten der Geheimhaltung sind, sondern das Verfahren (Algorithmus) selbst, kann man auch hier von "Security by Obscurity" sprechen. Denn das Verschlüsselungsverfahren wird von *vielen* benutzt, und wird damit irgendwann mit hoher Wahrscheinlichkeit offengelegt werden, und damit die Verschlüsselung kompromittieren.

Was bedeutet das jetzt für die StudiVZ Bilder-URLs ?

Der einzige Schutz gegen den unberechtigten Zugang zu den Bildern besteht darin, daß geheimgehalten wird, wie die URLs lauten, also nach welchem Verfahren die URLs erzeugt wurden (so wie man einen Schlüssel nicht unter der Fussmatte sondern vielleicht in einem Blumentopf versteckt weil man sich für besonders trickreich hält) . Kennt jemand das Verfahren, z.B. dadurch daß ein Programmierer den Programmcode oder ein Schema des Verfahrens weitergegeben hat, ist ggf. von Aussen aus dem Internet für anonyme Fremde jederzeit Zugriff auf die Bilder möglich, obwohl der Anwender im Glauben ist, seine privaten Bilder seien vor fremdem Zugriff geschützt. Die Erfahrung zeigt, daß solch ein Verfahren auf Dauer nicht geheimgehalten werden kann, und daher auch nicht sicher ist.

Noch eine weitere Schwachstelle sei erwähnt. Durch die relativ kurzen "Code" Bereiche der URL liegt die Vermutung nahe, daß das Verfahren anfällig dafür ist, mit Mitteln der Kryptoanalyse in absehbarer Zeit "geknackt" zu werden. Denn ein StudiVZ-Benutzer findet leicht heraus, wie "seine" Bilder-URLs aussehen. Und je mehr solcher "bekannten" URLs zur Kryptoanalyse verwendet werden, desto aussichtsreicher der Erfolg. Erste Ansätze dazu gibt es bereits.

Noch ein Risiko zum Abschluss:

Auf vielen Rechnern (z.B. in universitären Rechnerpools, u.a.) werden die URLs der abgerufenen Seiten/Dateien protokolliert. Wenn nun der am Rechner Nachfolgende den Rechner nach diesen URLs durchsucht, erhält er direkt Zugriff auf die betreffenden Dateien und kann sie beliebig weiterverbreiten, auch ohne sich dafür in StudiVZ anmelden zu müssen.

Fazit:

Wer das Risiko nicht eingehen möchte, daß seine privaten Bilder in fremde Hände gelangen könnten, sollte sie besser nicht in StudiVZ hochladen. Und den Betreibern von StudiVZ sei dringend angeraten, ihr Verfahren kurzfristig sicher(rer) zu machen.



Geschrieben von af in Ceterum am: Sonntag, 26. November 2006
Permalink

Tags: , , , ,

Diesen Beitrag bei folgenden Diensten bookmarken:
del.icio.us - Digg it - Mister Wong - Technorati - Ruhr.com Suchmaschine

Kommentare
  • atari Sonntag, 26. November 2006, 20:24 Uhr
    "Wer das Risiko nicht eingehen möchte, daß seine privaten Bilder in fremde Hände gelangen könnten, sollte sie besser nicht in StudiVZ hochladen. Und den Betreibern von StudiVZ sei dringend angeraten, ihr Verfahren kurzfristig sicher(rer) zu machen."

    Weiterhin sollten möglichst wenige persönliche Daten eingegeben werden...
  • Sven Montag, 27. November 2006, 11:03 Uhr
    Man kann die URL eines Bildes sogar noch schneller raten, da der Code des Albums nicht zufällig ist, sondern scheinbar mit der UserID verbunden ist.

    So aus dem Bauch heraus würde ich mal schätzen, dass es vielleicht 2-3 Tage dauert, das Problem zu lösen (z.B.:Bilder sind nicht direkt zugänglich und werden durch ein PHP Script ausgeliefert, welches nur dann ein Bild liefert, wenn man eingelogged ist und die entsprechenden Rechte hat).

    Aber klar, man kann seine Zeit besser damit zubringen, das Problem zu leugnen ...



Nächster Artikel: StudiVZ: Totalausfall durch XSS-Wurm?

Vorheriger Artikel: Wenn das Finanzamt zweimal klingelt