2005 – Myspace und die Anfänge von Social Media

 

Gegründet im Jahre 2003 war Myspace anfangs nicht mehr als eine Art früher Cloudspeicher. Server mit Speicherplatz, auf dem Dateien gespeichert und geteilt werden können. Doch 2005 nutzte der Gründer, Tom Anderson seine Kontakte zu Bands und Solomusikern um sie zu überzeugen Bandpages auf Myspace zu erstellen. Das Konzept war etwas völlig neues – Myspace bot eine neue Art Hosting für solche Art von Inhalten: Ein festes design, feste frames aber ansonsten nahezu unendliche Eingriffsmöglichkeiten auf die eigene Seite. Bands konnten eine Community aufbauen; Fans konnten die Musik, Videos und Bilder ihrer Lieblingskünstler interaktiv miteinander teilen, diskutieren und auf einmal viel intensiver am Leben der Künstler teilnehmen.

 

Größtmögliche Freiheit, mangelhafte Sicherheit

 

Da man im Jahr 2005 nahezu keine Referenzen hatte, was Communities mit so weitreichenden Userhomepages angeht gab es auch noch keine gängigen Angriffe gegen die man sich standartmäßig schützte – dies öffnete Tür und Tor für sogenanntes Cross site Scripting: Unter Cross site scripts versteht man das Einbinden von bestimmten Javascript-Befehlen, die sich als normaler Websiteinhalt ausgeben. Beispielsweise Gästebucheinträge, von denen nur folgendes erscheint:

„Ich wünsche einen schönen Tag!“

Folgendes kann tatsächlich beinhaltet sein:

„Ich wünsche einen schönen Tag! <script type=“text/javascript“>alert(“CROSSSITESCRIPTING“)</script>“

Das Skript führt in diesem Fall lediglich zum Öffnen einer Warnung mit dem Inhalt „CROSSSITESCRIPTING“ aus. Es kann aber natürlich auch jeder andere Befehl integriert werden.

Hiergegen kann sich heutzutage gewehrt werden und solche einfachen Versuche ein System zu manipulieren werden von jedem einigermaßen zuverlässigen Antivirenprogramm sofort erkannt und blockiert oder selbst Seitenbetreiber filtern bestimmte Sonderzeichen, wie „<“ oder „>“ raus und lassen automatisierte Überprüfungen laufen, was genau die Befehle bewirken. Doch wie weitreichend diese Möglichkeiten sind war zu diesem Zeitpunkt nicht bekannt.

 

Der Samy Wurm

 

Samy Kamkar war im Jahre 2005 ein 20 Jähriger, in den USA lebender junger Erwachsener, der sehr technikinteressiert, allerdings bei weitem kein gefährlicher Hacker war. Er schrieb ein Skript mit dem Ziel, Menschen die seine Myspace Seite besuchen unbemerkt eine Freundschaftsanfrage an ihn senden zu lassen und  dafür zu sorgen, dass „but most of all, Samy is my hero“ zu deren Bio hinzugefügt wurde. Eine weitere Funktion, die fatal war, bettete das Skript in die jeweilige Myspacepage ein, sodass jeder der wiederum die Freundesseiten besuchte wiederum eine automatische Freundschaftsanfrage an Samy sendete, „but most of all, Samy is my hero“ zu seiner Bio hinzufügte, den Code auf seine einbettete und so weiter.

 

Das böse Erwachen

 

Am nächsten Morgen sah Samy sich das Ergebnis seines Versuches an – 10.000 neue Freunde.

Sofort versteht er die exponentielle Steigerung, zu der sein Skript führt, beinahe wie bei der Legende vom König und dem Schachbrett. Eine Stunde später sind es bereits 50.000. Er löscht sein Myspaceprofil um schlimmeres zu verhindern, allerdings behielten sich die Admins damals noch 24 Stunden Zeit vor um Seiten endgültig zu löschen – und so waren es nach unter 24 Stunden nach Veröffentlichung des Skripts über eine Millionen Freundschaftsanfragen. Als er nach einiger Zeit noch einmal versucht sein Profil zu öffnen, war dies offline. Allerdings wollte er dann noch einmal auf das Profil seiner Freundin – auch das war offline; also versuchte er direkt myspace.com aufzurufen und die Seite war nicht erreichbar.

 

Konsequenzen

 

Die persönlichen Konsequenzen für Samy Kamkar waren unangenehm, ins Gefängnis musste er allerdings nicht. Viel wichtiger ist hierbei allerdings die Konsequenz, die die Welt daraus schließen konnte: Infrastrukturen, die jegliches Skript ausführen ohne zu filtern, sind bereits gewissermaßen durch ein Versehen komplett zerstörbar. Es braucht in einer digitalisierten Welt IT-Sicherheit, automatisierte Erkennung von Würmern und Malware und es braucht Experten, die sich immer aktiv mit möglichen Sicherheitslücken auseinander setzen und sich Lösungen für diese einfallen lassen. Grundsätzlich war dieser Wurm nicht kompliziert, es ging aber eher um die generelle Annahme: Gefahren sind theoretisch überall. Man muss eigentlich alles herausfiltern, was nicht ganz sicher vom eigenen System kommt oder gewollt ist. Für diesen konkreten Fall heißt das: es muss davon ausgegangen werden, dass Autoren, die ein reines Textfeld für ihre Myspaceseite zur Verfügung gestellt bekommen werden dies als HTML-Quellcodeeditor missbrauchen. Um dem entgegenzuwirken musste man beispielsweise statt dem direkten Transfer von gefiltertem HTML auf Seiteninhalt eine Metasprache wie BBCode dazwischenschalten. Das muss man sich dann so vorstellen, dass man per google translator einen Text in 5 verschiedene Sprachen und danach zurück auf deutsch übersetzt. Es wird kein Wort gleich geschrieben und an der selben Stelle sein, wie vorher, kein angestrebter code funktioniert mehr, da er einfach nie direkt in den Quellcode der Seite übernommen wurde.

 

Weitere Anekdoten

 

In den nächsten Beiträgen von HistoryHacks wird es immer wieder um berühmt gewordene Fälle gehen, in denen Systeme überlistet, Sicherheitslücken geschlossen oder grundsätzliche IT Sicherheitsideen aufgekommen sind.

 

Bei technischen Fragen, kontaktieren Sie gerne unseren Support.

Keine ähnlichen Artikel gefunden.

Kommentarbereich geschlossen.