# taz.de -- Sicherheitsexperte über Twitter-Wurm: "Die meisten Nutzer klicken zu arglos"
> Der jüngste Twitter-Wurm ist nur ein Beispiel für sich ständig
> beschleunigende Netzangriffe. IT-Sicherheitsexperte Georg Wicherski
> erklärt die Hintergründe des Angriffs.
(IMG) Bild: Mal Wodka, mal Web: Biz Stone.
taz.de: Herr Wicherski, hat es Sie als Sicherheitsexperte überrascht, wie
schnell die Twitter-Lücke am Dienstag ausgenutzt wurde?
Georg Wicherski: Nein, erste Demonstrationen der Lücke wurden bereits am
frühen Mittag deutscher Zeit auf Twitter von IT-Security-affinen Benutzern
gepostet, so dass die Informationen über die Lücke Hunderten Nutzern zur
Verfügung standen. Es war nur eine Frage der Zeit, bis jemand diesen Code
so umbaut, dass er nicht nur eine harmlose Dialogbox anzeigt sondern sich
selber verbreitet. Dementsprechend sind dann auch direkt mehrere,
verschiedene Varianten des Wurms aufgetaucht. Die Lücke selber war
anscheinend übrigens seit mindestens dem 23. August bekannt, der Patch
schien jedoch noch nicht eingespielt worden zu sein.
taz.de: Wie haben Sie selbst das Problem erlebt? In Ihrem Blog gab es ja
eine Art [1][Live-Berichterstattung].
Wicherski: Jemand, dem ich followe (also dessen Twitter-Updates auf meiner
Twitter-Seite erscheinen), hat eine Demonstration dieser Lücke
veröffentlicht. Als ich ohne alles direkt zu lesen meine Maus über die
Seite bewegte, öffnete sich plötzlich eine Dialog-Box mit sensitiven
Browser-Inhalten, unter anderem meinem Login. Dies ist ein typisches
Verhalten für Demonstrationen von XSS-Schwachstellen, mein erster Gedanke
war also: "Oh Mist, jetzt hat mich jemand dran!" Eine schnelle Analyse der
Demonstration ergab jedoch, dass wirklich nur dieser Dialog aufpoppen
sollte, sozusagen als Warnung: "Du bist verwundbar." Im folgenden habe ich
die Schwachstelle dann detaillierter analysiert und festgestellt, dass sie
sich fuer einen Wurm ausnutzen lässt - was dann später auch eingetreten
ist.
taz.de: Twitter ist ja ein sehr schnelles Medium, "böse" Links verbreiten
sich in Minuten. Ist deshalb in Zukunft mit weiteren (und schlimmeren)
Attacken dieser Art zu rechnen?
Wicherski: In diesem konkreten Fall wurde eine Schwachstelle in Twitter
selbst ausgenutzt, die dann geschlossen wurde. Solche Lücken lassen sich
durch Code-Audits [eine intensive und teilweise automatisierte Analyse von
Software, Anm. d. Red.] identifizieren und präventiv schließen. Es ist
davon auszugehen, dass Twitter seine Sicherheits-Checks in Zukunft
verstärkt. Wird dennoch einmal eine solche Lücke durch Externe gefunden,
kann das ganze natürlich rasend schnell gehen, wie man am Dienstag gesehen
hat. Von ersten Demonstrationen über den Wurm bis zum Stopfen der Lücke
sind nur anderthalb Stunden vergangen.
taz.de: Können Sie für einen Laien verständlich erklären, was XSS-Angriffe
sind?
Wicherski: Alle modernen Browser sprechen heutzutage JavaScript, das ist
vor allem nützlich für dynamische Inhalte wie auf Twitter oder Facebook.
Der JavaScript-Code wird dabei in die Webseite selbst, mit speziellen
sogenannten "Tags" umschlossen, eingefügt. Viele Seiten heutzutage erlauben
es jedoch auch dem Nutzer, selbst erstellte Inhalte wie Texte oder eben
kurze Tweets in eine Web-Seite für andere einzubetten. Aus der Sicht des
Browser befinden sich diese Inhalte auf der selben Ebene wie der
JavaScript-Code der Seite. Daher ist es Aufgabe der Seite, vor dem
Veröffentlichen der Inhalte diese den Code markierenden Tags
herauszufiltern, damit andere Benutzer keinen Code in die Seite des
Betrachters einschleusen können. Geschieht dies nicht oder nur mangelhaft,
kann beispielsweise wie am Dienstag Code eingeschleust werden, der sich
selber dupliziert und im Namen des Betrachters auf die Seiten anderer
Nutzer kommt. Der Wurm von Dienstag hat lediglich eine Kopie von sich
selbst als neuen Tweet unter dem Account des Betrachters veröffentlicht -
mehr nicht.
taz.de: Kann man sich als Nutzer vor XSS-Angriffen schützen? Was halten Sie
vom Abdrehen von JavaScript, eventuell durch [2][Zusatzprogramme] wie
[3]["NoScript"], die es für den Browser Firefox gibt?
Wicherski: Grundsätzlich ist man auf die Seitenbetreiber angewiesen, die
Inhalte anderer Nutzer entsprechend filtern müssen. Das Deaktivieren von
JavaScript, beispielsweise durch Zusatzprogramme wie "NoScript", schafft
hier Abhilfe. Der eingeschleuste Code wird dann nicht mehr ausgeführt.
taz.de: Twitter selbst setzt bei seinem Relaunch ja verstärkt auf die
Skriptsprache - und modernde Web 2.0-Angebote kommen schlicht nicht mehr
ohne sie aus.
Wicherski: Ja, viele Web-Seiten funktionieren heutzutage ohne JavaScript
nur noch eingeschränkt und daher muss eine Ausnahme in NoScript gestattet
werden. Ist diese Seite verwundbar, so wird der Nutzer gezwungen, sich
selber verwundbar zu machen. Hier muss jeder für sich selbst abwägen,
welche Services er wirklich nutzen will. Es bleibt zu hoffen, dass
Betreiber, die zwingend auf Technologien wie JavaScript setzen, auch
dementsprechende Sicherheitsvorkehrungen treffen.
taz.de: Wird man XSS-Probleme jemals stoppen können?
Wicherski: Auf absehbare Zeit werden in Web-Seiten enthaltener Code und
eventuell eingefügte nutzergenerierte Inhalte technisch auf der selben
Ebene bleiben. Es liegt daher an den Entwicklern der Web-Seiten,
entsprechendes Filtern vorzunehmen. Bei großen Angeboten wie Facebook oder
Twitter besteht ausreichend Bewusstsein für Sicherheit, um solche Probleme
präventiv anzugehen. Entwickler kleinerer Seiten haben dieses Bewusstsein
leider nicht immer - und wie man am Dienstag gesehen hat, kann es ja selbst
bei den Großen schief gehen. Zusätzlicher Schutz wie NoScript und ein
aktuelles Anti-Viren-Programm, das eventuell durch den JavaScript-Code
nachgeladene Datenschädlinge blockieren kann, sind daher für jeden zwingend
zu empfehlen.
taz.de: Was kann Twitter noch tun?
Wicherski: Kürzlich habe ich noch einen Tweet von Twitter selbst gelesen,
in dem zu lesen war, dass man zusätzliche Entwickler für
sicherheitsrelevante Aufgaben sucht. Es scheint also das Problembewusstsein
vorhanden zu sein. In diesem Fall war die Lücke schon öffentlich bekannt
und hätte schon früher geschlossen werden können.
taz.de: Liegt es nicht auch an den Nutzern selbst? Bei Twitter neigt man ja
stark dazu, [4][abgekürzte Links] anzuklicken, von denen man nie weiß, wo
sie eigentlich hinführen.
Wicherski: Das ist richtig, die meisten Nutzer sind sich der
Sicherheitsrisiken des Netzes nicht bewusst und klicken arglos alles an,
was ihnen unterkommt. Die Prioritäten liegen bei den meisten Benutzern
nicht beim Thema Sicherheit. Der Zusammenhang zwischen besuchten
Webinhalten und dem Diebstahl privater Daten, etwa
Online-Banking-Informationen, stellt sich für viele nicht dar. Dieses
Bewusstsein muss erst geschaffen werden.
22 Sep 2010
## LINKS
(DIR) [1] http://www.securelist.com/en/blog/2297/Live_Twitter_XSS
(DIR) [2] /1/netz/netzkultur/artikel/1/fuer-komfort-und-privatsphaere/
(DIR) [3] http://noscript.net/
(DIR) [4] /1/netz/artikel/1/twitter-will-nutzer-besser-schuetzen/
## AUTOREN
(DIR) Ben Schwan
## ARTIKEL ZUM THEMA
(DIR) Twitter und die Werbung: Wodka für mehr Speed
Twitter-Gründer Biz Stone wurde von einem Spirituosenhersteller für einen
Werbespot verpflichtet. Bei Twitter selbst lassen die Reklame-Umsätze
weiter zu wünschen übrig.
(DIR) Buch über Twitter: Hallo, Kurzer
Holzmedien über das Netz: Es sieht aus wie von der Tanke, ist aber
Literatur - das erste deutsche Twitter-Buch. Immerhin hat es mehr als 140
Zeichen.
(DIR) Führungswechsel bei Twitter: Mitbegründer gibt Chefposten ab
Der Mitgründer des Internet-Kurznachrichtendienstes Twitter, Evan Williams
gibt die Firmenführung aus der Hand. Neuer Chef ist der Manager Dick
Costolo.
(DIR) Sicherheitslücke beim Kurznachrichtendienst: Twitter hatte einen Vogel
Tumult beim Kurznachrichtendienst Twitter: Nachdem sich ein infizierter
Tweet verbreitet hatte, wurden manche User zu Porno-Webseiten geschickt.
Andere Tweets zeigten nur JavaScript-Code an.