• Testversionen & Downloads
  • Privatanwender-/Home Office-Produkte
  • Produkte für Unternehmen aller Größenordnungen
  • Malware Cleaner
  • Installer
• • Corporate
  • Norge
  • France
  • Deutschland
  • Sverige
  • Danmark
  • Suomi
  • Nederland
  • Schweiz
  • España
  • United States
  • United Kingdom
  • Italia
• Über Norman
  • Vision und Werte
  • Management Team
  • Unsere Technologie
  • Auszeichnungen und Zertifizierungen
  • Kunden-Fallstudien
  • Pressezentrum
  • Veranstaltungen
  • Offene Stellen
  • Mailing-Listen
  • Kontakt

Sicherheits-Center

Kurz-URLs – ein gutes oder schlechtes System?

2009-07-03 [Betrachtung zu Malware, Social Engineering, Trends & Prognosen, Verbreitungsmechanismen]

   Week 16, 2009

Einführung

URLs (Uniform Resource Locators) gehören zu den wichtigsten Elementen bei der Nutzung des Internets. Die URL gibt an, wo eine Internet-Ressource verfügbar ist, und wie sie abgerufen werden kann.

Die URL http://www.norman.com/technology/norman_sandbox/54570/en gibt beispielsweise an, dass sich die spezielle Internet-Ressource technology/norman_sandbox/54570/en auf dem Computer www in der Domäne norman.com befindet. Um diese Ressource abrufen zu können, muss die Methode http  (Hypertext Transfer Protocol) verwendet werden. Es handelt sich dabei um die gängigste Methode für das Surfen im Internet.

Da die im Internet verfügbaren Informationen ständig zunehmen und die Veröffentlichung teilweise automatisiert wurde, sind solche URLs oft lang, komplex und undurchsichtig. Sie lassen sich nur mühsam schreiben, weshalb sich die Verlinkungstechnologie, bei der man einfach auf eine URL klickt, um die Ressource abzurufen, als äußerst nützlich erweist. 

Twitter – Auftrieb für die Anbieter kurzer URLs

Durch die Verlinkung erübrigt sich die manuelle Eingabe von URLs über die Tastatur.  Sie löst jedoch nicht das Problem, dass irgendwo hinter dem sichtbaren Link Informationen zur URL selbst vorhanden sein müssen. Und dies erweist sich als Problem, wenn Sie nur eine geringe Anzahl an Zeichen zur Verfügung haben. Diese Problematik zeigt sich bei sozialen Netzwerken wie Twitter, wo jede Nachricht auf maximal 140 Zeichen beschränkt ist. Die oben stehende URL zur Information über die SandBox-Technologie von Norman verbraucht schon mehr als ein Drittel der Zeichen, die dem Sender einer Nachricht zur Verfügung stehen.

Hier kommen die Anbieter von Kurz-URLs ins Spiel, deren Popularität mit der steigenden Beliebtheit von Twitter und ähnlichen sozialen Netzwerken mit beschränkter Nachrichtenlänge stark zugenommen hat.

 

Eine Funktion zum Kürzen von URLs bieten unter anderem folgende Provider an:

• Metamark
• TinyURL.com
• ShortURL.com
• bit.ly
• Cligs
• is.gd

So funktionieren Kurz-URLs

Kurz gesagt stellen die Anbieter von Kurz-URLs ein Übersetzungsprogramm zur Verfügung, das von einer kurzen einfachen URL auf ein längeres komplexeres URL-Ziel verweist. Die Übersetzung zwischen der kurzen und der längeren URL erfolgt durch den Anbieter der Kurz-URL.

Diese Technologie ist natürlich nützlich und auf den ersten Blick sehr verlockend. Wie wir jedoch gleich sehen werden, birgt sie auch Sicherheitsrisiken.

 

Zwei verschiedene Arten von Sicherheitsrisiken

Die Verwendung der Kurz-URL-Funktion birgt mindestens zwei gänzlich verschiedene Sicherheitsprobleme.

Sicherheitsrisiken auf Seiten der Anbieter von Kurz-URLs

Dies ist das schwerwiegendste Sicherheitsproblem.

Wenn das System selbst in irgendeiner Weise kompromittiert ist, kann dies weitreichende Folgen haben. Ein Insider beim Kurz-URL-Anbieter oder ein externer Hacker könnte das System so abändern, dass die Kurz-URLs nicht auf die Inhalte verweisen, die der Benutzer beabsichtigt hatte. Im schlimmsten Fall könnte eine Kurz-URL einen ahnungslosen Surfer, der darauf klickt, auf eine Website mit schädlichem Inhalt leiten.

Und hierbei handelt es sich keineswegs um ein rein theoretisches Szenario:

Am 15. Juni 2009 verschaffte sich laut einem Blog-Posting auf der Website des Anbieters ein Hacker Zugriff auf den URL-Kürzungsdienst Cligs. Von diesem Angriff waren etwa zwei Millionen Kurz-URLs betroffen, die in der Folge auf andere Ziele verwiesen als die vorgesehenen.

Sicherheitsprobleme durch böswillige Systembenutzer

Dieses Problem taucht auf, wenn (oder gerade weil!) nicht alle Benutzer eines derartigen Systems Gutes im Sinn haben. Selbst wenn die Anbieter von Kurz-URLs Systeme zur Überprüfung der Websites eingerichtet haben, auf die die Kurz-URLs verweisen, so sind solche Systeme doch niemals vor jeglichem Missbrauch sicher. Der Ersteller einer Kurz-URL kann z. B. auf eine Website mit schädlichem Inhalt oder auf eine Website verweisen, bei der er basierend auf der Anzahl der Besucher, die von einer bestimmten URL verwiesen werden, einen bestimmten Bonus erhält.

Systemeigene Schwächen

Wenn ein Link angezeigt wird, ist es normalerweise möglich, mit der Maus darauf zu zeigen, um sich anzeigen zu lassen, wohin der Link führt. Anschließend kann man entscheiden, ob man dem Link vertraut und darauf klicken möchte oder nicht.

Diese zusätzliche Information steht Benutzern von Kurz-URLs nicht zur Verfügung.

Zusammenfassung

Die Kurz-URL-Funktion hat ganz offensichtlich ihre Vorteile. Jedoch gibt es Schwächen und Sicherheitsprobleme, die das System an sich unsicherer machen als gewünscht.

• Datenschutzrichtlinie
• Lizenzvereinbarung
• Marken
• Site-Übersicht
• Kontakt

© Norman ASA