Privatsphäre

06. August 2010 13:48; Akt: 06.08.2010 13:48 Print

Wenn der Router seinen Nutzer verrät

von Henning Steier - Wo er wohnt, will ein Chatpartner nicht verraten. Wie man die Adresse trotzdem herausfinden kann, hat Sicherheitsexperte Samy Kamkar gezeigt.

storybild

Wer auf die falsche Website geht, dessen Router-Standort könnte sich von Hackern aufspüren lassen.

Zum Thema
Fehler gesehen?

Seit gestern schickt Google seine Kamerafahrzeuge wieder durch die Schweiz. Sie machen Aufnahmen für den Panorama-Dienst Street View, dank dem man am PC virtuelle Stadtspaziergänge unternehmen kann. Ins Netz gestellt werden die neuen Bilder noch nicht, denn Google wurde von Hanspeter Thür vors Bundesverwaltungsgericht gebracht. Der eidgenössische Datenschutzbeauftragte war mit der automatischen Verwischung von Autokennzeichen und Gesichtern nicht zufrieden gewesen. Der Suchmaschinist war überdies in die Kritik geraten, weil er auf seinen Fahrten Daten von privaten Funknetzwerken gesammelt hat - darunter Fragmente von E-Mails. Die entsprechenden Geräte und Software hat Google nun aus den Autos entfernt. Erfasst würden nur Fotos und 3D-Bilder, hiess es. Ausserdem werden die erfassten persönlichen Daten von Google gelöscht.

Die Frage, ob Google nun mehr Router-Koordinaten von Anbietern wie Skyhook kaufen werde, blieb bislang unbeantwortet. Das Unternehmen hatte auch die so genannte MAC-Adresse von Routern gespeichert und sie für seine Ortungsdienste verwendet, ohne sie Personen zuzuordnen. Die Standorte der Router sind in einer Datenbank abgelegt. Durch Zugriff auf diese wird auch eine rudimentäre Ortung eines Geräts ermöglicht, wenn kein GPS-Signal zur Verfügung steht - wenn sich ein Nutzer beispielsweise zwischen Hochhäusern befindet.

Was man noch mit MAC-Adressen anfangen kann, hat Samy Kamkar kürzlich in seinem Vortrag auf der Sicherheitskonferenz Black Hat in Las Vegas gezeigt. «Im Grunde war es ganz einfach», erzählte er 20 Minuten Online, «ich habe Nutzer auf eine präparierte Website gelockt und mir dann mit Malware die MAC-Adresse des jeweiligen Routers besorgt.» Wenn ein Nutzer des Browsers Firefox diesem erlaubt, ihn zu orten, wird dafür auf Googles Datenbank zugegriffen. Entwicklerversionen von Firefox und Chrome bieten direkten Zugriff auf die nötigen Daten. «Diese habe ich mir verschafft - bloss ohne Browser. So konnte ich den Standort des Routers bis auf wenige Meter genau in Google Maps anzeigen lassen. Voraussetzung ist natürlich, dass einst ein Street View-Fahrzeug an ihm vorbeifuhr und die MAC-Adresse speicherte», erklärte Kamkar. Nach eigenen Angaben konnte der Sicherheitsexperte so einen von neun Routern orten.

Keine Nacktbilder als Köder

«Eine solche Attacke wäre perfekt, um jemanden zu stalken. Man könnte beispielsweise der unbekannten Chat-Bekanntschaft so deutlich näher kommen, als ihr lieb sein könnte», sagte Kamkar. Er riet Nutzern, die Firmware ihres Routers stets aktuell zu halten, Standardpasswörter zu ändern und dubios erscheinende Websites mit pornographischen Inhalten zu meiden. «Meine Lockvogel-Seite zeigte keine Nacktbilder. Hätte ich dort welche gezeigt, hätte ich wahrscheinlich noch mehr Besucher verzeichnet», sagte Kamkar, der im Oktober 2005 als Entwickler eines XSS-Wurms namens Samy für MySpace berühmt wurde. Binnen 20 Stunden hatten ihn sich eine Millionen Mitglieder des sozialen Netzwerkes eingefangen. Der Schädling brachte dem Amerikaner drei Jahre Haft auf Bewährung, eine Geldstrafe in unbekannter Höhe und 90 Tage gemeinnütziger Arbeit ein. Kamkar gründete anschliessend den Telekom-Dienstleister Fonality und arbeitet nach eigenen Angaben gerade an seinem neuen Start-up. Details verriet er nicht.

Kürzlich hatten Gerald Friedland und Robin Sommer ihre einfache Art des Cyber-Stalkings präsentiert, um Nutzer auf mögliche Gefahren aufmerksam zu machen. Die beiden Informatiker vom International Computer Science Institute (ICSI) im kalifornischen Berkeley hatten sich für ihre Studie auf Craigslist, YouTube, Flickr und Twitter umgeschaut. Die Forscher entdeckten auf Craigslist schon nach kurzer Zeit einige Fotos, auf denen Anbieter ihre Diamanten anpriesen. Oft sah man auf dem Bild nur eine Hand mit dem Stein – keine Ortsangabe, dazu anonymisierte E-Mail-Adressen, weder Name noch Telefonnummer. Die Koordinaten der Orte, an denen die Bilder gemacht wurden, waren aber in seinen Metadaten enthalten. Sie liegen im so genannten Exchangeable Image File Format (Exif) vor und verraten neben den Koordinaten unter anderem, wann ein Foto gemacht wurde und welche Kamera mit welchem Objektiv der Fotograf verwendete. Die Forscher benutzten ein kleines Linux-Programm, welches die Exif-Daten in den Fotos erkennt und die Koordinaten herausschreibt. «Diese brauchten wir dann nur bei Google Maps einzugeben und konnten so leicht den genauen Ort finden. Die Geotags sind mittlerweile bis auf wenige Meter genau», sagte Robin Sommer.

Sehen, wo der Moderator wohnt

Exif-Daten kann man auch mit dem Firefox-Add-on Exif Viewer auslesen. Dieses verwendeten Sommer und Friedland für ihre Recherchen auf Twitpic, einer Seite, welche Nutzer des Microblogging-Dienstes verwenden, um dort Fotos hochzuladen, die sie dann auf Twitter verlinken. «So konnten wir unter anderem leicht sehen, wo ein bekannter US-Moderator wohnt», erinnerte sich Sommer. Ausserdem haben die Informatiker über die Webseite PicFog Stichwörter eingegeben und Bilder aus einer bestimmten Region gesucht. Ihnen interessant erscheinende Fotos sahen sie sich näher an und konnten dann wiederum mit der Firefox-Erweiterung zum Beispiel die Adresse eines Models auslesen.

YouTube erwies sich hingegen als Paradies für Einbrecher mit Programmierkenntnissen. «Wir haben uns über die von jedem nutzbare Schnittstelle Zugang zu YouTube verschafft und unsere Software nach Home und Kids suchen lassen», beschrieb Sommer das Vorgehen. Dann liessen die Forscher ihr Programm überprüfen, ob dieselben Leute in der vergangenen Woche Videos hochgeladen hatten, die in grosser Entfernung vom Ort des ersten Clips auf YouTube gestellt wurden. So haben Friedland und er beispielsweise einen User gefunden, der zunächst Clips mit seinen Kindern von Zuhause aus hochgeladen und dies am Tag zuvor aber aus einem Ferienort getan hat. Daraus schlossen sie, dass sein Haus, dessen Adresse sie dank der eingebetteten Geodaten leicht auslesen konnten, zurzeit ein potenzielles Ziel für Einbrecher sein könnte.