Wie einige von euch sicherlich bemerkt haben, werden im Kommentarbereich vieler Piratenseiten seit einigen Tagen keine Avatare der Kommentatoren mehr angezeigt. Diese Funktionalität wurde mit voller Absicht abgeschaltet; es handelte sich nicht um einen technischen Ausfall. Grund dafür war Gravatar („Globally recognized avatar“), ein Dienst, bei dem man sich einmal mit seiner E-Mail-Adresse anmeldet, dort einen oder mehrere Avatare mit seiner E-Mail-Adresse verknüpft und diese anschließend auf verschiedenen Partnerseiten verwenden kann. Das war auch bei der Flaschenpost sowie vielen anderen Piratenseiten der Fall, da die meisten davon mithilfe von wordpress.com betrieben werden. WordPress nutzt eben jenen Dienst von Gravatar, um zu den Kommentatoren das dort hinterlegte Bild anzuzeigen.
Das Problem
Mit Gravatar wurde eine an sich komfortable Lösung geschaffen: Man muss nicht mehr auf jeder Seite einzeln Bilder als Avatare hochladen, sondern kann global die standardisierten Bilder des Dienstes nutzen. Doch bereits seit 2009 gibt es Zweifel an dessen Sicherheit: Die E-Mail-Adressen der Nutzer werden mit einem MD5-Hash, basierend auf der Adresse selbst, quasi verschlüsselt. Das ist, sorgfältig programmiert, ein halbwegs sicheres Verfahren. Leider wurde bei Gravatar die Generierung der Verschlüsselung so implementiert, dass die Hashes sehr schnell und mit einem minimalen Aufwand an Ressourcen erstellt werden.
Für einen Angreifer ist es demnach theoretisch möglich, beispielsweise über Kommentare und Beiträge und den verbunden Nutzerprofilen Zugriff auf die verschlüsselten E-Mail-Adressen der Nutzer zu erhalten. Er weiß, dass der MD5-Hash basierend auf den E-Mail-Adressen gebildet wurde und kann, wenn er genügend Adressen gesammelt hat, auf die Suche nach Mustern gehen, so zum Beispiel nach @gmail.com, @gmx.de und @yahoo.com, Endungen von Adressen, die mit Sicherheit mehrfach für Gravatar-Accounts genutzt werden.
Bei sichereren und aufwändigeren Verschlüsselungsmethoden würde dies noch kein Problem darstellen, da gleiche Zeichenfolgen nicht gleich verschlüsselt werden. Doch im Fall Gravatar wurde davon anscheinend kein Gebrauch gemacht. Damit sind die Adressen der Nutzer vor allem durch Brute-Force-Angriffe gefährdet – ein Angreifer kann solange verschiedene Zeichenfolgen ausprobieren, bis er dasselbe Ergebnis erhält wie das, das Gravatar für einen bestimmten Kommentator ausgibt. Die Masse der Daten und der relativ konstante, formale Aufbau von E-Mail-Adressen (name@anbieter.domain) erleichtern diese Arbeit.
Die Auswirkungen
Dieses bis dahin theoretische Angriffsszenario wurde nun zur Wirklichkeit: Auf der diesjährigen PasswordsCon in Las Vegas beschrieb der Sicherheitsforscher Dominique Bongard, wie es ihm gelang, mithilfe der oben genannten und einiger weiterer Methoden sich Zugriff auf mehrere E-Mail-Adressen von Gravatar-Nutzern zu verschaffen. Das stellt an sich kein Problem dar, denn mit einer Adresse allein kann man – außer Spam – relativ wenig anfangen.
Doch die Verbindung mit dem Gravatar-Account ist hier das Entscheidende: Durch die Assoziation der E-Mail-Adresse können Nutzer deanonymisiert und Beiträge und Artikel eindeutig zugewiesen werden. Bongard gelang es in diesem Fall, Nutzer in einem französischen Politikforum zu identifizieren, die mit Rassendiskriminierung und anderen extremistischen Themen auf sich aufmerksam machten.
Doch nicht jedem Angreifer sind gute Absichten zu unterstellen. Nach allem, das heute bekannt ist, könnte dies sogar eine lukrative Überwachungsmethode für die NSA darstellen. Eventueller Spam, den man über die bei Gravatar genutzte E-Mail-Adresse bekommen könnte, ist damit noch das geringste Übel, die Aufdeckung von Identitäten aber eine ernstzunehmende Gefahr!
Aufgrund dieser Sicherheitsbedenken haben sich die Piraten entschieden, bei denen von ihnen gehosteten WordPress-Instanzen die Verbindung zu Gravatar zu deaktivieren. Doch Gravatar ist weit verbreitet, das Sicherheitsproblem nicht gelöst. Bis dahin gilt also überall im Internet Vorsicht bei der Nutzung dieses Dienstes.
Titelbild: CC BY 2.0 | Johan Larsson via Flickr