http://akü.fi/sec4u URL-Verkürzungsdienste mit Sicherheitsfunktion

Ordnungsmerkmale

erschienen in: <kes> 2011^#2, Seite 6

Zusammenfassung: URL-Verkürzungsdienste sind ein nützlicher Service, dem jedoch immer wieder vorgeworfen wird, für mehr Unsicherheit im Netz zu sorgen. Einige Dienste haben reagiert und wollen über integrierte Sicherheitsprüfungen nunmehr die Sicherheit gegenüber eine "normalen" URL sogar erhöhen.

Autor: Von Ralph Dombach, Germering

Statt langer, komplexer oder unübersichtlicher Webadressen (Uniform Ressource Locators – URLs) ein kurzes handliches Format zu benutzen, ist an vielen Stellen praktisch: in Nachrichten mit beschränkter Länge (z. B. Tweets oder SMS), beim Abtippen aus einer Zeitschrift, der Weitergabe am Telefon und so weiter und so fort. Kein Wunder also, dass URL-Verkürzer boomen.

Im Beitrag http://tr.im/safely hat der Autor vor rund anderthalb Jahren bereits die Risiken der Verschleierung von URLs sowie beim Hack von Verkürzungs-Diensten und nach dem "Ableben" eines Dienstleisters diskutiert (<kes> 2009^#5 , S. 14) – vor allem diese letzte Bedrohung scheint weiterhin akut: Schon im Herbst 2009 hatte tr.im als Beispiel für die drohende Unverfügbarkeit der handlichen Kurzformen nach der zunächst angekündigten Einstellung des Dienstes gedient, die dann doch abgewendet wurde – tr.im sollte letzten Informationen zufolge in die "Public Domain" überführt werden. Doch die Achterbahnfahrt ging weiter und auch diese Pläne scheiterten oder wurden über den Haufen geworfen: Im März 2010 meldete ein Tech-Blog die Einstellung des Website-Service von tr.im, die API werde aber weiter unterstützt – heute funktionieren zwar tr.im-URLs weiter, aber die Website gibt keinerlei Auskunft über den Status des Dienstes.

Fehlanzeige heißt es auch auf der Seite des damals besprochenen Preview-Dienstes zur Linkauflösung – unter der bewussten Adresse residiert heute ein "Blog" mit mehr Sponsoreinträgen als Posts. Und auch weitere der damals als "bekanntere Services" erwähnten URL-Verkürzer bewegten sich zwischenzeitlich in unruhigem Fahrwasser oder sind nicht mehr erreichbar: cli.gs wurde Ende 2009 nur durch Aufkauf vor dem Shutdown bewahrt. memurl.com zeigt heute nur eine Standardinfo des Providers, die Website sei "temporarily disabled for some reason, but has not been permanently removed". Und auch bit.ly war zumindest gerüchteweise Gegenstand verschiedener Kaufinteressenten – im Herbst 2010 hat das Unternehmen eine weitere "Venture-Capital"-Runde (Series B) absolviert.

Mehr Sicherheit

Abbildung 1: Auch einige "klassische" Anbieter zur URL-Verkürzung haben heute Sicherheitsüberprüfungen implementiert (im Bild: bit.ly).

Statt nur eine Übersetzung von der Kurz- zur Langform vorzunehmen, lag es eigentlich nahe, zusätzliche Prüfungen einzubauen, um den allfälligen Sicherheitsbedenken zu begegnen. So heißt es heute etwa in der bit.ly-Hilfe: "bitly uses data from a number of independent sources in addition to its own internal classifiers to determine whether or not destination sites propagate spam, viruses, or other malware." Als diese externen Quellen benennt bit.ly explizit Sophos, Websense, VeriSign, PhishTank und "Google Safe Browsing". Zugriff auf eine Preview- und Statistikseite erhält man bei bit.ly übrigens durch ein angehängtes "+", beispielsweise  http://bit.ly/euCdqh+.

Auch Google, die Ende 2009 mit goo.gl einen eigenen Verkürzungsdienst gestartet haben, versprechen eine "warning message, if the short URL points to a suspected malware, phishing, or spam website". Mit welchen Methoden und wann das Unternehmen eine eingegebene Adresse auf Schadsoftware überprüft, bleibt jedoch im Dunkeln. Zur Vorschau hängt man bei goo.gl ".info" an die Kurz-URL, etwa  http://goo.gl/5GBkN.info.

Neue Mitspieler

Es gibt noch weitere Anbieter, die URL-Shortener mit integriertem Malware-Check anbieten. Von einigen dieser Dienste, deren Seiten kein Impressum oder sonstige Hinweise auf den Betreiber enthalten und teilweise in der Mongolei oder Honduras gehostet werden, sollte man sicherlich besser die Finger lassen.

Doch auch namhafte Sicherheitsanbieter haben sich der Problematik von Kurz-URLs angenommen und Beta-Versionen eigener URL-Verkürzungsdienste mit zusätzlichen Sicherheitsüberprüfungen gestartet – da diese Security-Unternehmen tagtäglich mit Malware, gefährlichen Tools und URLs zu tun haben, lag die Einführung eines solchen Services nahe. Neben dem Sicherheitsvorteil für den Anwender erhält so das Unternehmen auch gleich neue Webadressen übermittelt, die es aus Sicherheitssicht für seine Reputationsdienste und zum Sammeln von Malwaresamples bewerten kann.

Und die Anwender erhalten eine verkürzte URL, die auf Schadsoftware und verdächtige Eigenschaften geprüft wurde oder sogar regelmäßig überprüft wird: Abhängig vom Dienst geschieht dies mit verschiedenen Methoden, mindestens einmalig zum Zeitpunkt der Erstellung, kurz darauf oder auch öfter. Die genauen Überprüfungszyklen und -methoden werden nicht veröffentlicht – immerhin könnten sonst auch Cyberkriminelle dies zu ihrem Vorteil ausnutzen.

 http://saf.li

Abbildung 2: Der gesicherte Kurz-URL-Dienst von Bitdefender liefert auch Statistiken für den Zugriff auf verkürzte Webadressen.

Die Lösung von Bitdefender kommt im "Web-2.0"-Design ohne viel Schnick-Schnack daher. Für Programmierer bietet saf.li – ebenso wie viele der "klassischen" URL-Shortener – eine Software-Schnittstelle an und zeigt, wie die Implementierung in gängige Programmiersprachen erfolgen kann, um den gesicherten Verkürzungsservice auch in eigene Anwendungen einzubinden (siehe  http://saf.li/SDK.html).

Auf Anwender mag die Weboberfläche zunächst spartanisch wirken, doch auch Bitdefender stellt für seinen Service ausführliche Statistiken bereit, die über die Optionsadresse "stats?url=<KurzURL>"erreichbar sind, beispielsweise  http://saf.li/stats?url=e88PI. Ein Bookmarklet zum direkten Zugriff aus dem Webbrowser steht im Übrigen ebenfalls zur Verfügung.

 http://mcaf.ee

McAfee's URL-Verkürzer zeigt sich dem Corporate-Design der Anbieterwebseiten optisch angepasst. Auch hier hat man die Programmierer nicht vergessen und stellt eine entsprechende Schnittstelle zur Verfügung – das Produkt-Blog liefert weitere Informationen zur entsprechenden API ( https://community.mcafee.com/groups/mcafee-public-beta). Dort findet man zudem auch einige Dokumente, die den Leistungsumfang, Probleme und das Handling näher beschreiben. Für die Anwenderseite existieren Browser-Plug-ins für Chrome und Firefox, um die mcaf.ee-Nutzung dort zu integrieren.

Zur Vorschau auf eine mcaf.ee-Kurz-URL (z. B.  http://mcaf.ee/9f04a) gibt man diese einfach in das Dialogfeld des Webservice ein und erhält dann die entsprechende Lang-URL dargestellt – allerdings in einem recht kurzen Eingabefeld. Sicherheitsstatus und ein Teil der Lang-URL sind unmittelbar bei der Nutzung der Kurzformen ersichtlich, da mcaf.ee die aufgerufene Seite in einem Frame öffnet und darüber einen eigenen Statusbalken darstellt (vgl. Abb. 3), über den auch ein detaillierter Sicherheits-Report aufrufbar ist – Statistiken zur Kurz-URL-Nutzung liefert mcaf.ee indes nicht. Auf Wunsch können Anwender über ein Cookie festlegen, dass bei "Status grün" der Kopfbalken entfällt und sie direkt zur Zielseite durchgeschaltet werden.

McAfee beugt einer missbräuchlichen Nutzung seines Services schon bei der Eingabe bis zu einem gewissen Maße vor: So ist es beispielsweise nicht möglich, andere Kurz-URLs erneut zu verkürzen oder Kurz-URLs aus dem "Private Internet"-IP-Adressraum (gem. RFC 1918, z. B. 192.168.0.1, 172.17.18.19 oder auch 127.0.0.1) zu generieren. Und während der Dienst auf den erstmaligen testweisen Versuch, eine bekannte "böse" URL zu verkürzen, noch mit einem dezenten Hinweis reagiert, landet man im Wiederholungsfall auf einer temporären IP-Blacklist zur Nutzung des Dienstes.

Abbildung 3: McAfee's Kurz-URL-Dienst öffnet auch harmlose Ziel-Adressen standardmäßig in einem Frame, über dem der Sicherheitsbericht des Anbieters zu lesen ist.

Restrisiko

URL-Verkürzer mit eingebautem Malware-Check steigern die Sicherheit von Kurz-URLs signifikant. Aber auch derart "sichere" URLs können keine 100%-ige Gewissheit liefern und sind immer mit einem gewissen Restrisiko behaftet.

Ein Risikofaktor ist das Datum der Überprüfung: Sollte diese deutlich in der Vergangenheit liegen, ist es durchaus möglich, dass sich zwischenzeitlich Schadsoftware auf der Website eingenistet hat. Und frische Phishing- oder Malwaresites konnten womöglich noch gar nicht geprüft werden, wenn ein Kurz-Link sofort nach seiner Erzeugung verbreitet wird.

Ein weiteres Risiko sind Verschleierungstaktiken (Obfuscation) auf Webseiten: Im Januar 2011 machte ein Twitter-Wurm von sich reden, der mit goo.gl verkürzt wurde. Eigentlich darf es ja nicht sein, dass eine sichere Kurz-URL auf schädliche Inhalte verweist. Doch einerseits kann ein Virenscanner nun einmal nur Malware identifizieren, die schon bekannt (oder "generisch" identifizierbar) ist. Und ebenso kann eine übermittelte Einstiegsseite (Landing-Page) völlig virusfrei sein, aber auf eine andere Webseite weiterverweisen, auf der dann ein Exploit lauert. Im vorliegenden Fall zeigte der Twitter-Wurm erst nach mehrmaliger Umleitung auf eine Seite, die eine gefälschte Antivirus-Software offeriert (siehe etwa  www.securelist.com/en/blog/11136/New_Twitter_worm_redirects_to_Fake_AV).

Letztendlich gelten für einen sicheren URL-Verkürzer die gleichen Einschränkungen wie für ein Antivirus-Tool – denn beide Komponenten basieren auf der identischen Ausgangsbasis. In einigen "kursorischen" Tests mit den sicherheitsgesteigerten Verkürzungsdiensten hatten bei verschiedenen Phishing-URLs verschiedene Anbieter jeweils "die Nase vorn" – so wie man das auch von allgemeinen Malware-, Phishing- und Spam-Tests kennt.

Dass McAfee offenbar das eicar-"Testvirus" – eine harmlose, aber per Definitionem als Malware zu erkennende Datei – explizit als "grün" eingeordnet hat, machte einen naheliegenden Schnelltest unmöglich, ohne mit echter Malware zu hantieren, was sich naturgemäß verbietet. Dabei ist das Unternehmen leider in guter Gesellschaft, denn auch goo.gl und bit.ly liefern über entsprechende Kurz-URLs "eicar.com" direkt an den aufrufenden Browser aus. Nur saf.li zeigte auch beim Malware-Testfile von der Originalsite die rote Karte und informierte über die "ungefährliche Gefahr" (vgl. Abb. 4).

Abbildung 4: Beim Aufruf einer Kurz-URL mit schädlichen Inhalten warnt saf.li deutlich und mit klaren Informationen.

Fazit

Man kann nur jedem dazu raten, URL-Verkürzer einzusetzen, die zusätzliche Sicherheitsfunktionen implementieren. Ein Vorab-Virus-Check und periodische Nachkontrollen bieten ein deutliches Mehr an Sicherheit als bei "einfachen" URL-Shortenern. Unternehmen, die mit URL-Verkürzern arbeiten, sollten durchaus erwägen, die Nutzung eines sicheren Services als Vorgabe in interne Regelwerke aufzunehmen.

Bezüglich einer nachhaltigen Verfügbarkeit von Kurz-URLs lassen Dienste großer Anbieter und ein bereits teilweise "konsolidierter" Markt hoffen – wer als Unternehmen hier auf Nummer sicher gehen will, sollte dennoch überlegen, einen eigenen Kurz-URL-Service zu implementieren (vgl. Kasten), um von Einflüssen Dritter unabhängig zu sein.

Ralph Dombach ( www.secuteach.de) ist freier Autor und arbeitet als Sicherheits-Administrator für einen Versicherungskonzern.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2011^#2, Seite 6
tag:kes.info,2007:lp:2011-2-B