Sicherheitsrisiko Google Analytics

Kurz zum technischen Hintergrund von Google Analytics:
Google Analytics fasst alle Daten, die von einem Webseitenbesucher ausgelesen werden können, in einer Datenbank zusammen. Aus dieser Datenbank kann der Webmaster Berichte erstellen, welche dann den Webseitenbetreibern wichtige Informationen für die Strategieführung und Planung bieten.
Dazu verwendet Google Analytics ein JavaScript. Dieses Script wird vom Webmaster in die Webseite eingebaut und bei jedem Seitenaufruf ausgeführt. Dieses Skript liegt auf den Webservern von Google.

Diese Analyse beruht auf den Berichten des Fachmagazines TheRegister.

Dieses Einbinden eines externen Auswertungsskriptes war der Knackpunkt, der den Webseiten von Obama das Genick gebrochen hat. Im Detail wurde das Skript nicht nur auf den “öffentlichen” Seiten, sondern auch im Administrationsbereich eingebunden. Und genau hier wurde die Brechstange angesetzt.

Zuerst hat man mit den Methoden von DNS-Exploits (DNS-Poisoning) die Aufrufe des Skriptes auf andere Webserver umgeleitet. Das bedeutet, dass anstatt den ursprüngliches Auswertungsskriptes ein anderes Skript ausgeführt wurde. Wie schon erwähnt kann ein JavaScript Daten vom Benutzer abfragen und weiterverarbeiten. Es wurden die Authentifizierungsinformationen von im Administrationsbereich angemeldeten Benutzern ausspioniert. Die Tatsache, dass auf den Webservern keine “secure sockets layer” (SSL) verwendet wurden, überrascht bei diesen Anwendungen noch zusätzlich.

Das bedeutet, dass nicht das Auswertungsskript von Google die Sicherheit direkt beeinträchtigt hat, sondern lediglich die Einbindung eines externen JavaScripts in den Administrationsbereich und die nicht implementierten secure sockets layer.

Es ist sehr verwunderlich, wie solche Fehler passieren können. Gerade bei so prominenten Webseiten sollte ein Budget für diese Fälle zur Verfügung stehen. Und dies, obwohl es nicht wirklich schwer ist eine sichere Anmeldemaske und einen sicheren Administrationsbereich zu programmieren.

Warum man seinen eigenen Administrationsbereich mit diesen Maßnahmen Auswertet, ist nicht schlüssig. Insbesondere ist Google Analytics für diesen Anwendungsfall nur bedingt geeignet und es stehen weitaus bessere Analyse- und Auswertungsmethoden zur Verfügung.

Aber dieser Fall zeigt eindeutig, dass die alleinige Unachtsamkeit mit scheinbar ungefährlichen Werkzeugen und Methoden die Sicherheit gefährden und obsolet machen kann.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>