Schnelle Nachricht -- schneller Hack
Über 400 Millionen Netzbürger nutzen bereits Instant Messaging als Bindeglied zwischen Telefon und E-Mail für den täglichen Chat. Auch in Firmen ist der direkte Kommunikationskanal kaum noch wegzudenken. Die Technik hat bei ihrer wachsenden Verbreitung aber in Sicherheitsfragen nicht mitgehalten. Instant Messaging droht zum weit offen stehenden Einfallstor für Cracker, Viren und Spam zu werden.
Stefan Krempl, Computerworld Magazin 1/2005 (April)
Sam Jain packte das schiere Entsetzen: quasi über Nacht war im März 2001 ein Großteil der digitalen Kommunikation des damaligen Chefs der amerikanischen Online-Marketing-Firma eFront für jedermann lesbar ins Internet gewandert. Pech für den Durchstarter: die Protokolle enthielten Szenen aus hitzigen Debatten mit Firmenpartnern, Angestellten und Bekannten. Und das in einer Zeit, in der viele Augen schon skeptisch auf die aufgeblasenen Geschäftsmodelle der Dotcoms schauten. Mehrere Kollegen aus dem eFront-Management nahmen den Hut, strategische Partner distanzierten sich. Jain fand sich inmitten eines Internet-Sturms wieder, den er nicht mehr besänftigen konnte. Kurz nach dem Fiasko musste eFront Konkurs anmelden.
Jain dürfte das erste schwer getroffene Opfer unzureichender Sicherheitsvorkehrungen im Umgang mit Instant Messaging (IM) gewesen sein. Im Netz nachzulesen waren die gespeicherten Aufzeichnungen aus ICQ, der Chatsoftware des damals 31-Jährigen. Jemand hatte die Logs anscheinend von seinem kompromittierten PC heruntergeladen. Von derlei Sicherheitsrisiken ist im "Security & Privacy"-Center des zu AOL gehörenden Internetdienstes für den raschen persönlichen Nachrichtenaustausch zwar nicht die Rede. Doch mehr und mehr Experten warnen davor, dass bei den großen öffentlichen und kostenlosen IM-Werkzeugen schon bald mehr Sicherheitsdebakel drohen. Sie fürchten, dass sich über die Clients von AOL – der Provider bietet neben ICQ auch den AOL Instant Messenger (AIM) an –, von Microsoft (MSN Messenger) oder über den Yahoo Messenger so wie via E-Mail Spam, Würmer, Viren, Trojanische Pferde und Backdoor-Programme mit den bekannten Konsequenzen rasch verbreiten.
An und für sich ist Instant Messaging eine weitgehend ungebrochene Erfolgsgeschichte. Der US-Spezialanbieter IMLogic schätzt, dass gegenwärtig rund 400 Millionen Menschen die synchronen "Nachrichtendienste" nutzen und dabei täglich zwischen fünf und sechs Milliarden Botschaften austauschen. Die Marktforscher der Meta Group gehen davon aus, dass IM und E-Mail 2008 in der Nutzungshäufigkeit gleichziehen. Einer Studie der Nemertes Research Group zufolge setzen auch 37 Prozent der befragten Unternehmen bereits offiziell IM ein. Weitere 43 Prozent planen dies in den nächsten zwei Jahren. Das direkte Anchatten ist schließlich auch ein praktisches berufliches Kommunikationsmittel, um etwa spontane Besprechungen oder Informationsaustausch über verschiedene Stockwerke oder Niederlassungen hinweg zu initiieren. Laut einer nicht-repräsentativen Umfrage eines Gartner-Analysten unter den 200 Firmenvertretern einer Messaging-Konferenz im vergangenen Jahr hatten aber nur ein Drittel der Anwesenden eine speziell auf den Unternehmenseinsatz zugeschnittene IM-Lösung im Einsatz. Ein weiteres Drittel blockierte sämtliche Chat-Verbindungen, während der Rest seinen Mitarbeitern freie Hand beim Online-Quasseln gab.
Mit der Popularität von Instant Messaging steigen auch die Angriffsflächen. "Den Anfang machten nach dem Aufkommen von ICQ Ende der 1990er Bomben, Überflutungen und HTML-Formatfehler", erklärt der New Yorker Sicherheitstester "phar", der sich seit Jahren intensiv mit IM-Schwachstellen auseinandersetzt. Echte Explosionen oder Dammbrüche hatten die Hackerspielereien damals noch nicht zur Folge. Ähnlich wie bei den bekannten Denial-of-Service-Attacken auf Webserver wurde aber so mancher IM-Server oder -Client kurzfristig mithilfe einer künstlichen Anfragewelle außer Gefecht gesetzt. Weiter schmücken phars Liste der Sicherheitsprobleme von 2000 an mehrere Buffer Overflows bei AIM und beim MSN Messenger, also Programmierfehler, die eine Applikation zum Absturz bringen. Über die Microsoft-Lösung ließen sich zudem zeitweilig Nachrichten so versenden, dass man als Absender das Pseudonym eines beliebigen für den Dienst registrierten Nutzers angeben konnte. Auch ICQ blieb vor Lücken nicht verschont: so ebnete der Chat-Service kurzzeitig den unautorisierten Zugang zu abgespeicherten Dateien auf fremden Rechnern.
Das dicke Ende kommt erst noch, sind sich Experten einig. Der Grund dafür ist einfach, sagt phar: "Die IM-Nutzung hat sich immer mehr ausgeweitet und hat einen seriöseren Charakter angenommen. Gleichzeitig hat auch die Schwere der Attacken zugelegt. Die Reife der Technik selbst hat einfach nicht Schritt gehalten." Vor allem der Sicherheitsaspekt blieb bei der Entwicklung lange außen vor. Kostenlose und gehostete Instant-Messaging-Lösungen etwa setzen gerade voraus, dass Unternehmen Daten durch ihre Firewall lassen. Übliche Sicherheitsschleusen werden so für den problemlosen und billigen Nachrichtenfluss bewusst außer Kraft gesetzt.
"Die Inbetriebnahme von Instant Messaging erfordert die Öffnung zusätzlicher TCP-Ports für die Datenübertragung", weiß Peter Vogel, Teamleiter der Gruppe Telekommunikationsdienste der Brain Force Software GmbH. "IM bietet eine Prachtstraße für einen Angreifer", ergänzt phar. Dabei denkt er nicht nur an die Möglichkeit, einem unbedarften Nutzer Schadprogramme unterzujubeln. Sondern auch daran, dass es per Instant Messaging noch einfacher sein kann, dem Gegenüber sensitive Informationen wie Passwörter aus der Nase zu ziehen. Denn in der Regel gehen IM-Kommunikationspartnern von einem gegenseitigen Vertrauensverhältnis aus. Ob der "Buddy" auf der anderen Seite aber wirklich die Person ist, auf die der Bildschirmname hinweist, lässt sich nur schwer ausmachen. So könnte die andere Seite ja auch das Ausloggen vergessen haben und längst ein anderer Nutzer vor dem Rechner sitzen.
Die gesendeten Nachrichten liegen zudem sprichwörtlich auf der Hand, denn es gibt praktisch keine Freeware-IM-System mit Verschlüsselungsfunktionen. Auch die ebenfalls mögliche Übertragung von Dateien erfolgt im Klartext. Bei den Transfers können sowohl herkömmliche PC-Schädlinge als auch "komplexe Bedrohungen verbreitet werden", sagt Carey Nachenberg, Chef-Softwarearchitekt beim Anti-Virenexperten Symantec. Besonders einfach wird das Streuen bösartiger Software, da einige der geläufigsten Instant-Messaging-Plattformen Skriptfunktionen bieten. "Mit ihnen können Benutzer Visual-Basic-, JavaScript- oder proprietären Skriptcode sowie Standard-Windows-Programme zur Steuerung verschiedener Funktionen im Messaging-Client schreiben", erläutert Nachenberg. Derartige Routinen könnten den IM-Client anweisen, automatisch andere Benutzer zu kontaktieren, Programmeinstellungen zu ändern und andere potenziell schädliche Aktionen auszuführen. Es sei zwar technisch möglich, Sicherheitsprodukte zu erstellen, die IM-Dateiübertragungen beim Passieren der Firewall auf Viren überprüfen. Eine derartige Gateway-Scan-Lösung werde jedoch derzeit nicht angeboten, was zum Teil auf den proprietären Charakter der Instant-Messenger-Protokolle zurückzuführen sei.
Die Bedrohung ist nicht rein hypothetisch, da schon einige skriptbasierte IM-Würmer wie Aplore, Goner oder CoolNow in Aktion getreten sind. Durch das Einschleusen manipulierter Datenpakete können sich Hacker letztlich Zugriff auf PCs verschaffen, auf denen für solche Attacken anfällige IM-Clients installiert sind. 50 IM-Schadprogramme zählte die Firma Akonix, die abgesicherte Messaging-Umgebungen für Firmen anbietet, allein 2004. Doch der Katalog der Verwundbarkeiten ist noch länger. So wird es auch als machbar angesehen, dass sich ein Angreifer in den Besitz des IM-Konto eines anderen Benutzers bringt. Hacker könnten auch die unzureichend geschützten Kennwortdateien knacken, die von vielen IM-Systemen auf dem Desktop-Computer gespeichert werden. Damit dürfte es nicht mehr schwierig sein, in andere Bereiche von Unternehmensnetzwerken einzudringen, da User häufig das gleiche Kennwort für mehrere Systeme verwenden.
Zudem haben Spammer verstärkt Instant Messaging ins Visier genommen. Das ist zwar in der Regel "nur" ein Ärgernis. Doch auch hier führt mancher Link ins Ungewisse. Im Februar wurde in den USA erstmals ein 18Jähriger verhaftet, der gut 1,5 Millionen "Spim" (Spam via Instant Messaging) mit Werbung für Porno- und Kreditanbieter verschickt haben soll. 17 Millionen Amerikaner haben über IM bereits unerwünschte Kaufangebote bekommen, hat eine aktuelle Studie des Pew Internet & American Life Project herausgefunden. IMLogic schätzt, dass bis Ende 2005 acht bis zehn Prozent der verschickten Blitzbotschaften Spim sind. Laut AOL liegt der Satz bei AIM momentan noch bei unter einem Prozent.
Insgesamt scheint die Zeit reif für eine größere Angriffswelle. "IM gibt einen einheitlichen Kanal für Attacken ab, der mit einem Schlag eine große Zahl von Systemen kompromittieren könnte", sorgt sich phar. Die Warnschüsse, die Sicherheitsexperten abgeben, werden jedenfalls immer lauter. So hat der US-Wachhund Abe Usher im Herbst demonstriert, dass ein programmierter Bot AOLs IM-Protokoll missbrauchen konnte, um Kommandos entgegenzunehmen und Befehle zurückzusenden. Mit einem AIM-Client lässt sich so aus der Ferne ein präpariertes System in einem Firmennetzwerk kontaktieren und die Netzwerkinfrastruktur ausspähen. Für den weniger häufig genutzten IM-Client Miranda existiert ebenfalls bereits ein Plug-in mit dem Namen nRemX, das die heikle PC-Fernsteuerung ermöglicht. Anfang Februar sah Microsoft zudem angesichts einer nachgewiesenen Sicherheitslücke beim MSN Messenger keinen anderen Ausweg, als dessen Millionen Nutzer schon beim Einloggen in den Dienst zum Download einer aufgefrischten Version zu zwingen. Auslöser waren die beiden Firmen Finjan Software und Core Security Technologies, die nach einem kurzfristigen Hinweis den ausführbaren Code für eine gravierende Attacke auf den Messenger online gestellt hatten.
Der Markt hat die wachsenden Bedrohungen auch als Chance begriffen, um Lösungen für einzelne Sicherheitsaspekte bereitzustellen. So gibt es etwa Software, die eine starke Verschlüsselung der Botschaften beziehungsweise ausgetauschter Dateien bietet. Eines der frühesten Plug-ins dieser Art war IMpasse, das phar mitentwickelt hat. Es spielt mit AIM sowie MSN und Yahoo Messenger zusammen. Der Top Secret Messenger (TSM) von Encryption Software, der in die wichtigsten IM- und E-Mail-Programme integrierbar ist, funktioniert ähnlich. Spätere Lösungen wie die Shareware A.I.M. Frame schneiden zusätzlich auch den gesamten IM-Verkehr mit, was bei Kundenkontakt in den USA vorgeschrieben ist. Allerdings kann diese Funktion– wie im Fall eFront – auch neue Probleme schaffen, sodass die Ablage der Logs in einer sicheren Datenbanklösung Pflicht ist. Das Managed IM Gateway (MiG) von Vayusphere bietet verwandte Funktionen. Zusätzlich lassen sich darüber die Zugriffsmöglichkeiten der Angestellten auf einzelne IM-Dienste einschränken. Vergleichbar arbeitet ZoneLabs Integrity IM Security. Preislich liegen derlei Anwendungen zwischen 15 und 20 US-Dollar pro Einzellizenz. Die in der Grundversion kostenlose Chat-Applikation Trillian, welche die wichtigsten IM-Dienste unter einer Oberfläche zusammenfasst, arbeitet ebenfalls mit einer 128 Bit starken Verschlüsselung.
Dazu kommen auf den Firmeneinsatz zugeschnittene Komplettpakete fürs weniger sorgenreiche Messaging. IMLogic, FaceTime oder Akonix etwa haben sich in diesem Feld aufgestellt. In der Regel handelt es sich dabei um allein stehende, geschlossene Proxy-Lösungen, die alle auch Mitschneide- und andere Kontrollfunktionen bieten. AOL und Yahoo arbeiten mit diesen Spezialisten zusammen, um den IM-Firmenmarkt nicht ganz aus den Augen zu verlieren. Größen wie Lotus oder Microsoft mit dem Live Communications Server versuchen dagegen mit eigenen Applikationen Fuß im Unternehmensgeschäft mit Instant Messaging zu fassen. Die Kosten sind dabei deutlich höher als bei den Plug-ins: so schlagen 50 Lizenzen für Akonix' L7-Enterprise-Software beispielsweise mit mindestens 3850 US-Dollar zu Buche. Phar sieht zudem bei allen verfügbaren Sicherheitslösungen noch Verbesserungsbedarf, denn "keine einzige verbindet alle verfügbaren Schutzmaßnahmen in einem einzigen Client".
Kleine Geschichte des Instant-Messaging: Von ICQ zu XMPP
1996 schuf die israelische Softwarefirma Mirabilis mit ICQ das Modell für alle bisherigen weiteren Applikationen zum Austausch von Blitzbotschaften über das Internet, was die Grundfunktion, das Design und die Benutzerführung anbelagt. Schon ein Jahr später folgte AOL mit einem eigenen Instant Messanger (AIM). Wieder ein Jahr darauf kaufte der große US-Provider Mirabilis und schuf so das größte IM-Angebot. Als etwa zur gleichen Zeit auch Microsoft und Yahoo die Lust der Nutzer am Chatten entdeckten und eigene Dienste auf den Markt brachten, entwickelte sich ein jahrelanger harter Standardkampf. Die für die Normierung im Internet zuständige Internet Engineering Task Force (IETF) hat kürzlich nun das Protokoll XMPP (Extensible Messaging and Presence Protocol) veröffentlicht. Es basiert auf XML (Extensible Markup Language) und wurde 1999 im Rahmen des Open-Source-Projekts Jabber entwickelt. Es soll eine gemeinsame Schnittstelle für IM-Anwendungen bereitstellen. Nach dem "Ritterschlag" durch die IETF wird mit einer allgemeinen Verbreitung von XMPP gerechnet, sodass die proprietären Protokolle mittelfristig der Vergangenheit angehören dürften.
Die "Buddy-Liste" als Dreh- und Angelscheibe
Ein Nutzer meldet sich über seinen IM-Client mit IP-Adresse, Kennung und Passwort am zugehörigen Server an. Er erhält als Antwort ein Adressverzeichnis in Form der "Buddy-List" mit den Namen anderer Teilnehmer, die der User als regelmäßige Kommunikationspartner eingetragen hat. Ob die Teilnehmer online oder offline, unsichtbar oder nicht erreichbar sind, wird in der ständig aktualisierten Datenbank des IM-Servers notiert. Will ein Nutzer nun direkt Kontakt aufnehmen mit einem seiner "Buddies", so klickt er dessen Namen auf der Liste an, schreibt eine Nachricht und versendet sie. Dem Gegenüber ist seine IP-Adresse über das Kontaktverzeichnis entweder schon bekannt oder sein Client holt sie vom Server und baut so die Verbindung auf.