Technik

SchülerVZ und Facebook machtlos: Crawler greifen alles ab

Klaus Wedekind

Bei SchülerVZ wurden kürzlich tausende Nutzerdaten abgegriffen.
Bei SchülerVZ wurden kürzlich tausende Nutzerdaten abgegriffen.

Soziale Netzwerke wie SchülerVZ oder Facebook funktionieren nur dann, wenn die Teilnehmer wenigstens einen kleinen Teil ihrer persönlichen Daten preisgeben. Name, Alter, Geschlecht, Vorlieben, Wohnort etc. stehen üblicherweise im Profil eines Nutzers. Die meisten schmücken es auch noch mit einem persönlichen Foto, das ebenso wie die persönlichen Daten eigentlich nur Freunde und Bekannte sehen sollten. Doch das ist reine Illusion. Selbst wer in den Optionen einstellt, dass sein Profil verborgen bleibt, muss damit rechnen, dass seine Daten missbraucht werden.

Suchmaschinentechnik

Wie auch im jüngst bekannt gewordenen Fall, als bei SchülerVZ tausende Profil-Daten gesammelt wurden, setzen die illegalen Datensammler kleine Computerprogramme ein, die automatisch und in Windeseile Profildaten aus sozialen Netzwerken abfischen. Diese Programme werden Crawler oder Searchbot genannt und sind an sich nicht illegal. Im Gegenteil: Ohne Webcrawler, die das Internet durchforsten, könnten Suchmaschinen nichts finden. Leider können Crawler aber auch problemlos missbräuchlich eingesetzt werden. Die bekannteste Form sind so genannte "Harvester" (Erntemaschinen), mit denen Cyberkriminelle Websites nach E-Mail-Adressen abscannen. Wer auf seiner Homepage die Adresse unverschlüsselt präsentiert, darf sich daher nicht wundern, wenn sein Postfach von Spam überschwemmt wird. Besser ist es, die Adresse als Bild darzustellen oder das @ beispielsweise durch "ät" zu ersetzen.

"Hoebot" erbeutete 2007 StudiVZ-Mitgliedern mit Hilfe einer falschen Nutzer-ID Profil-Daten.
"Hoebot" erbeutete 2007 StudiVZ-Mitgliedern mit Hilfe einer falschen Nutzer-ID Profil-Daten.

Auch wenn der aktuelle SchülerVZ-Fall an die große Glocke gehängt wird - Crawler, die soziale Netzwerke durchsuchen, sind nichts besonderes, sondern Alltag. Im Internet kursieren dutzende Bots, die gratis oder für wenig Geld heruntergeladen werden können. Freizeit-Programmierer brüsten sich in Foren mit ihren Do-It-Yourself-Crawlern. "Den VZ-Crawler schreibe ich in der Mittagspause!", tönt beispielsweise ein Twitter-Nutzer.

Crawler bei der Arbeit

Ein Crawler-Bastler beschreibt unter einem YouTube-Video vom Mai dieses Jahres, wie er vorgeht:

"Ein von mir entwickelter Bot für das sVZ bzw. mVZ.. Basiert auf PHP, JS, AJAX und diversen shell scripten die von PHP via shell_exec() aufgerufen werden. Leider noch etwas verbuggt da teilweise Profile doppelt und dreifach gecrawlt werden. Gesammelt werden die Bilder sowie ALLE zugängliche Profildaten. Die Profildaten werden dann in eine ORACLE Datenbank geschrieben und können später ausgewertet werden. In nur 4 Stunden Crawlen hat der Bot bereits ÜBER 48.000 Profile besucht. Ich probiere das gesammte VZ zu crawlen und werde dann eine grafische Auflistung generieren lassen wer wen kennt über welche Ecken.Bereits eingebaut ist eine Funktion die die Benutzer "verkuppelt". Der Bot sucht jeweils ein weibliches und ein männliches Profil und schreibt beiden eine Pinnwand MSG. Leider können aufgrund des Spamschutzes pro Tag nur maximal 20 Einträge auf Fremde Pinnwände geschrieben werden. Ach und die Captchas werden auch automatisch ausgelesen und gecracked ;)"

Sicherheitsproblem nicht neu

Die Programmierer von "Hoebot" und "Lovebot" haben einen fast identischen Clip veröffentlicht. Im Internet erklären die Schöpfer der ungebetenen VZ-Mitglieder exakt,wie sie 2007 vorgegangen sind. Die gründliche Beschreibung hat einen guten Grund. Denn in diesem Fall waren keine Kriminellen am Werk, sondern zwei Netzdesign-Studenten, die unter Betreuung ihres Dozenten auf Fischzug gegangen sind. In drei Wochen sammelten sie die Daten von rund 10.000 StudiVZ-Nutzern. Ihre Aktion führte damals dazu, dass die Betreiber der VZ-Netzwerke ihre Allgemeinen Geschäftsbedingungen änderten. Das automatisierte Abrufen von Seiten wurde verboten. Verbieten heißt aber noch lange nicht verhindern.

Captchas sollen schützen

Zur Abwehr gegen Crawler setzen Facebook & Co. auf so genannte "Captchas". Einfach ausgedrückt, sind Captchas Eingabefelder, die vom Nutzer verlangen, eine bestimmte Aufgabe zu lösen. Meistens soll eine bestimmte Buchstaben-Zahlen-Kombination eingegeben werden. Um es "Maschinen" möglichst schwer zu machen, diese Aufgabe zu erledigen, werden Buchstaben, Zahlen oder andere Symbole verfälscht, verzerrt oder vor einem verwirrenden Hintergrund dargestellt. Manchmal müssen die Nutzer auch rechnen oder bekommen akustische Anweisungen.

CAPTCHA bedeutet "Completely Automated Public Turing Test To Tell Computers and Humans Apart.
CAPTCHA bedeutet "Completely Automated Public Turing Test To Tell Computers and Humans Apart.(Foto: Wikipedia)

Captchas bilden aber nur einen sehr unsicheren Schutz vor Crawlern. Denn auch die kriminellen Programmierer entwickeln ihre Bots permanent weiter und bringen ihnen bei, Captcha-Aufgaben zu lösen. Im Falle von SchülerVZ gibt es ein "Forschungsprojekt" namens  "svz-captcha", das einen so genannten "Solver" (Problemlöser) zum Download bereitstellt. Da wirkt es schon etwas hilflos, wenn die VZ-Betreiber auf den jüngsten Datenskandal mit zusätzlichen Captcha-Eingaben reagieren.

Nur das Nötigste preisgeben

Fazit: Soziale Netzwerke sind und bleiben unsicher. Das liegt in ihrer Natur und ist unvermeidbar. Nutzer sollten aber auf jeden Fall gut abwägen, ob Daten, die sie preisgeben möchten, für ihre Zwecke tatsächlich gebraucht werden. Und auch wenn sie mehr Sicherheit vorgaukeln als sie tatsächlich bieten, ist es auf jeden Fall ratsam, die beispielsweise von SchülerVZ empfohlenen Sicherheitseinstellungen vorzunehmen.

Quelle: n-tv.de

Video-Empfehlungen
Empfehlungen