Logo von gravatar.com
Wie einige von euch sicherlich bemerkt haben, werden im Kommentarbereich vieler Piratenseiten seit einigen Tagen keine Avatare der Kommentatoren mehr angezeigt. Diese Funktionalität wurde mit voller Absicht abgeschaltet; es handelte sich nicht um einen technischen Ausfall. Grund dafür war Gravatar („Globally recognized avatar“), ein Dienst, bei dem man sich einmal mit seiner E-Mail-Adresse anmeldet, dort einen oder mehrere Avatare mit seiner E-Mail-Adresse verknüpft und diese anschließend auf verschiedenen Partnerseiten verwenden kann. Das war auch bei der Flaschenpost sowie vielen anderen Piratenseiten der Fall, da die meisten davon mithilfe von wordpress.com betrieben werden. WordPress nutzt eben jenen Dienst von Gravatar, um zu den Kommentatoren das dort hinterlegte Bild anzuzeigen.
Das Problem
Mit Gravatar wurde eine an sich komfortable Lösung geschaffen: Man muss nicht mehr auf jeder Seite einzeln Bilder als Avatare hochladen, sondern kann global die standardisierten Bilder des Dienstes nutzen. Doch bereits seit 2009 gibt es Zweifel an dessen Sicherheit: Die E-Mail-Adressen der Nutzer werden mit einem MD5-Hash, basierend auf der Adresse selbst, quasi verschlüsselt. Das ist, sorgfältig programmiert, ein halbwegs sicheres Verfahren. Leider wurde bei Gravatar die Generierung der Verschlüsselung so implementiert, dass die Hashes sehr schnell und mit einem minimalen Aufwand an Ressourcen erstellt werden.
Für einen Angreifer ist es demnach theoretisch möglich, beispielsweise über Kommentare und Beiträge und den verbunden Nutzerprofilen Zugriff auf die verschlüsselten E-Mail-Adressen der Nutzer zu erhalten. Er weiß, dass der MD5-Hash basierend auf den E-Mail-Adressen gebildet wurde und kann, wenn er genügend Adressen gesammelt hat, auf die Suche nach Mustern gehen, so zum Beispiel nach @gmail.com, @gmx.de und @yahoo.com, Endungen von Adressen, die mit Sicherheit mehrfach für Gravatar-Accounts genutzt werden.
Bei sichereren und aufwändigeren Verschlüsselungsmethoden würde dies noch kein Problem darstellen, da gleiche Zeichenfolgen nicht gleich verschlüsselt werden. Doch im Fall Gravatar wurde davon anscheinend kein Gebrauch gemacht. Damit sind die Adressen der Nutzer vor allem durch Brute-Force-Angriffe gefährdet – ein Angreifer kann solange verschiedene Zeichenfolgen ausprobieren, bis er dasselbe Ergebnis erhält wie das, das Gravatar für einen bestimmten Kommentator ausgibt. Die Masse der Daten und der relativ konstante, formale Aufbau von E-Mail-Adressen (name@anbieter.domain) erleichtern diese Arbeit.
Die Auswirkungen
Dieses bis dahin theoretische Angriffsszenario wurde nun zur Wirklichkeit: Auf der diesjährigen PasswordsCon in Las Vegas beschrieb der Sicherheitsforscher Dominique Bongard, wie es ihm gelang, mithilfe der oben genannten und einiger weiterer Methoden sich Zugriff auf mehrere E-Mail-Adressen von Gravatar-Nutzern zu verschaffen. Das stellt an sich kein Problem dar, denn mit einer Adresse allein kann man – außer Spam – relativ wenig anfangen.
Doch die Verbindung mit dem Gravatar-Account ist hier das Entscheidende: Durch die Assoziation der E-Mail-Adresse können Nutzer deanonymisiert und Beiträge und Artikel eindeutig zugewiesen werden. Bongard gelang es in diesem Fall, Nutzer in einem französischen Politikforum zu identifizieren, die mit Rassendiskriminierung und anderen extremistischen Themen auf sich aufmerksam machten.
Doch nicht jedem Angreifer sind gute Absichten zu unterstellen. Nach allem, das heute bekannt ist, könnte dies sogar eine lukrative Überwachungsmethode für die NSA darstellen. Eventueller Spam, den man über die bei Gravatar genutzte E-Mail-Adresse bekommen könnte, ist damit noch das geringste Übel, die Aufdeckung von Identitäten aber eine ernstzunehmende Gefahr!
Aufgrund dieser Sicherheitsbedenken haben sich die Piraten entschieden, bei denen von ihnen gehosteten WordPress-Instanzen die Verbindung zu Gravatar zu deaktivieren. Doch Gravatar ist weit verbreitet, das Sicherheitsproblem nicht gelöst. Bis dahin gilt also überall im Internet Vorsicht bei der Nutzung dieses Dienstes.
Titelbild: CC BY 2.0 | Johan Larsson via Flickr
About Steve König
Ich bin zur Flaschenpost gekommen, weil ich gerne schreibe. Über (Netz-) Politik, Demokratie, (digitale) Grundrechte - den ganzen Piratenkram also und so ziemlich alles, was mir unter die Finger kommt und mich interessiert. Als Chefredakteur bin ich zudem für die Organisation zuständig und als Ansprechpartner für unser Team von Redakteuren da.
- Web |
- Google+ |
- More Posts (60)
Kommentare
8 Kommentare zu Gravatar – Deanonymisierung durch Sicherheitslücke
Da das wohl ein grundsätzliches Problem von dem Dienst ist und man ohne Bruch mit der Kompatibilität das auch nicht mehr geändert bekommt: Warum nicht einen eigenen Service dazu entwickeln? Hat da jemand mit genug Freizeit schon mal was angefangen? Gibt es Alternativen zu Gravatar? Oder muß erst ein Pirat mit Tastatur sich dransetzen?
Die Idee etwas besseres zu schaffen ist richtig gut. Auf Anhieb fällt mir dafür Kristof Zerbe ein, der mit pirat.ly ja schon den einen oder anderen datenschutzkonformen Service programmiert hat. Schreib ihm doch ‘ne Mail oder kontaktiere ihn auf Twitter. Einem Arrrrvatar stände er wahrscheinlich aufgeschlossen gegenüber. CU
Um mich selber zu ergänzen: privatar.org scheint seit Jahren die nicht genutzte Lösung dafür zu sein. Aber da ja jeder Klick mehr die Nutzer nur abschreckt …
Ihr seit echt der Hammer, Anfang 2011 habe ich Euch mehrfach vor dem Einsatz von Gravatar auf euren Seiten gewarnt – auch im Techtalk; wo das problem zwar genauso gesehen wurde, aber niemand zuständig war. Und nach 3Jahren bringt ihr eine Meldung das ihr das Problem beseitigt habt! RESPEKT!
@Jax – Da gehts es mir ähnlich, auch bei den so beliebten Mailinglisten gibt es Sicherheitslücken ohne Ende. So wird z.B. bis heute auf dem Server https://service.piratenpartei.de/listinfo/ Mailman eingesetzt was sämtliche Passwörter als Klartext speichert. Für eine “Datenschutz”-Partei schon mehr als peinlich. Der Hinweis darauf wurde abgetan mit “programmier uns doc eine Lösung”…
Man könnte es sich mit dem Mailman einfach machen, wenn er keine Eingabe der Passwörter zulassen würde und immer die Random Passwörter (als token) verschickt wäre das kein Problem. Man muss ja auch kein Passwort eingeben, das wissen nur die User nicht. Im Endeffekt ist es allerdings ehrlich das Passwort zuzusenden, da die ML subscribe nur auf der E-Mail Sicherheit beruht (das setzt natürlich voraus der User ist schlau genu sein passwort nicht mehrfach zu verwenden).
Gruss Bernd
witzig, dass das Autorenfoto weiterhin von Gravatar kommt. Hat sich die Lage geändert, oder sieht es der Autor mit seinen Daten nicht so eng 🙂
Moin, soweit wir wissen hat sich bei gravatar.com nichts geändert. Wir schützen die Anonymität der Kommentatoren der Flaschenpost, indem der Zugriff auf gravatar.com im Kommentarbereich abgeschaltet ist (du erkannst es beispielsweise daran, dass mein Kommentar hier ohne Bild erscheint). Die Artikel, die unsere Radakteure schreiben, erscheinen nahezu ausnahmslos unter ihrem richtigen Namen – also nicht anonym. Deswegen wird keine Anonymität verletzt, wenn auch der Avatar von gravatar.com eingebunden ist.
CU