Redwood Shores (pte/22.09.2011/13:30) Ein kürzlich veröffentlichtes Tool namens „FBPwn“ http://code.google.com/p/fbpwn kann mit wenigen Einstellungen vollautomatisch Daten von Facebook-Usern abgreifen. Dazu klont es die Identität von Freunden der Nutzer und schickt ihnen einen Friend Request. Nimmt das Opfer an, so ladet die Software binnen Sekunden alle einsehbaren Daten des Profils herunter. Die Sicherheitsexperten von Imperva http://imperva.de haben FBPwn unter die Lupe genommen. pressetext sprach mit Rob Rachwald, dem Director of Security Strategy des Unternehmens.
Facebook-Fotos landen auf Pornoseiten
Erschaffen wurde die frei verfügbare Software von den Technikern des ägyptischen Unternehmens Raya IT Security Services Team (RISST) http://rayacorp.com . Sie wollen damit auf die Möglichkeiten und Gefahren der Social-Engineering-Techniken der „Unterwelt“ aufmerksam machen. Sie fordern dazu auf, das Programm nicht missbräuchlich zu verwenden. Auf Google Code steht die rund zehn Megabyte große Applikation zum Download bereit.
Experte Rachmann erläutert im pressetext-Interview die Gefahren, die FBPwn mit sich bringt. „Wie wertvoll die gespeicherten Daten sind, hängt davon ab, welche Inhalte die Facebook-User auf ihr Profil stellen“, so der Fachmann. „Beispielsweise könnten Bilder von Frauen, die sich in suggestiven Posen ablichten, gesammelt und an Unternehmen im Pornogeschäft verkauft werden. Dieses Phänomen nennt sich ‚E-Whoring‘.“
Der geklonte Freund
Ein weiteres Risiko ist möglicher Identitätsdiebstahl, der durch die Weitergabe persönlicher Kontaktdaten an böswillige Hacker erleichtert werden kann, sagt der Sicherheitsstratege. Das Potenzial dieser Bedrohung macht sich FBPwn auch selbst zunutze, indem es Profile von Facebook-Kontakten klont, um die Erfolgsrate bei Freundschaftsanfragen zu steigern. Eine Technik, die Rachwald für „sehr effektiv“ hält.
Wenig begeistert ist der Experte davon, dass RISST das Programm nebst Sourcecode frei zugänglich ins Web gestellt hat. „Es wäre besser gewesen, sie hätten eine Kopie als Proof-of-Concept an Facebook geschickt“, meint er. Rachwald befürchtet, dass auf Basis des veröffentlichten Materials leistungsfähigere Programme entwickelt werden.
Mangelnder Schutz vor automatischem Zugriff
Doch er sieht auch das weltgrößte Social Network in der Pflicht, mehr zum Schutze seiner User beizutragen. „Man muss die Nutzung von automatisierten Tools unterbinden, in dem man etwa Klickraten überprüft“, fordert er. „Google macht das. Wer zu viele Suchanfragen in kurzer Zeit übermittelt, muss eine Frage beantworten um zu beweisen, dass er ein Mensch ist.“
Auch für die Nutzer hat er Sicherheits-Tipps parat. „Wir empfehlen, mit eigenen Daten in sozialen Netzwerken vorsichtig umzugehen. Wenn die veröffentlichten Informationen nicht so wichtig oder gar kompromittierend sind, ist der mögliche Schaden viel geringer.“
Beitrag über FBPwn am Imperva-Blog:
http://blog.imperva.com/2011/09/the-automation-of-social-engineering.html
pressetext.redaktion
E-Mail: pichler@pressetext.at
Tel.: +43-1-81140-303
Website: www.pressetext.com