Der Weg zur Nervenklinik oder der Entwurf eines wichtigen geheimen Verkaufvertrags: Hinter gekürzten Links kann sich alles verbergen. Mithilfe eines Botnetzes können Angreifer durch zahlreiche Brute-Force-Attacken vertrauliche Daten erbeuten und unter Umständen Schadsoftware in Cloud-Speichern platzieren.
Nicht nur auf Twitter oder Werbematerialien finden gekürzte Links ihren Einsatz. In der alltäglichen Kommunikation mittels Mail oder Messenger können lange kryptische Links stören. Daher greifen immer mehr Nutzer auf URL-Kürzungsdienste zurück. Die Links, die meist aus kurzen Zeichenkombinationen bestehen, bringen aber auch Risiken mit sich.
Neben der Unklarheit, welche Website sich hinter einem Kurzlink verbirgt, haben Forscher der Cornell-Universität herausgefunden, dass mittels sogenannter Brute-Force-Methode die gekürzten Links erraten werden können. Durch willkürliches Probieren von Zeichenkombinationen erhielten die US-Forscher Zugriff auf Daten, die nicht für die gemeine Öffentlichkeit gedacht waren. Jeder Dienst, der eine URL-Kürzungsfunktion anbietet, bei der fünf- beziehungsweise sechsstellige Links erzeugt werden, kann somit ausgespäht werden.
Cloud-Dienste für Online-Kollaboration ermöglichten es bei den Untersuchungen der beiden Forscher, sensible Daten ausfindig zu machen. Zudem gab es mehrfach die Möglichkeit, Schadcode im Cloud-Speicher zu implementieren. Aber nicht nur Kollaborations-Tools bieten mit der Kürze der Links Angriffsfläche. Jeder Cloud-Dienst, der auf den beliebten URL Verkürzer Bit.ly setzt, ist für diese Angriffe anfällig. Die US-Forscher Martin Georgiev und Vitaly Shmatikov konnten bei ihren Tests auch auf die gesuchten Routen einzelner Google Maps-Nutzer zugreifen und diese anhand von Metadaten einzelnen Personen zuordnen.
Wie funktionieren Kurzlinks?
Im Standard zum Hypertext Transfer Protokoll (HTTP) gibt es keine Restriktion bezüglich der URL-Länge. Viele Dienste beschränken die Länge aus technischen Gründen auf 2048 Zeichen. Umso länger ein Link ist, umso schwieriger lässt sich dieser einprägen oder abbilden. Entstanden ist die Methode des Linkkürzens Anfang des 21. Jahrhunderts. Damals als SMS noch auf 160 Zeichen beschränkt waren, musste eine Lösung her, die die Versendung von Links vereinfacht. Nach 16 Jahren gibt es nun zahlreiche Dienste, die auf diese Idee zurückgreifen. Vor allem im Marketing erfreuen sich deshalb gekürzte Links großer Beliebtheit, da eine eigene einprägsame Kurz-URL die Wiedererkennbarkeit unterstützt und die Brand Awarness verstärkt. Aber auch überall dort, wo durch den auftretenden Zeilenumbruch eines langen Links mit Sonderzeichen Probleme entstehen können, wird die kurze Variante eingesetzt.
Die URL Shortener fungieren als eine Art Mittelsmann, die den korrekten Link kennen. Der Nutzer erhält also beim Aufruf des gekürzten Links wie von Zauberhand die ursprüngliche URL zurückgeliefert. Ein großes Manko bis zur Entdeckung der neuen Sicherheitsrisiken war die Unklarheit der Linkziele. Der Nutzer erfährt erst im letzten Moment, welche Website aufgerufen wird. Angreifer können mittels Kurzlink verschleiern, dass auf eine schädliche Webadresse weitergeleitet wird.
Tipps für mehr Sicherheit
Wer Webadressen zu weniger sensible Daten kürzen muss, kann natürlich weiterhin auf die Funktionen von Google, Bit.ly und Co. zurückgreifen. Wer aber mehr Sicherheit möchte, findet hier ein paar Tipps, die das Ausspähen von Links erschweren.
Der eigene URL Shortner
Für die, die komplett auf Nummer sicher gehen wollen, lohnt sich der Einsatz eines eigenen URL Shortners. Wer Erfahrungen mit der Konfiguration der .htaccess-Datei besitzt und keine analytische Auswertung benötigt, kann sich auch ohne PHP einen eigenen Kürzer mittels Redirects bauen. Für diejenigen, die mehr Wert auf Komfort setzen, gibt es aus der Open Source-Community Lösungen.
Mit einem eigenen Server, eigener kurzen Domain und PHP-Skripten wie YOURLS oder Polr ist man startklar für den eigenen Linkverkürzer. Diese Tools bieten zu weiten Teilen die gleichen Funktionen wie der Platzhirsch: Eine Linkverwaltung mit Auswertungsmöglichkeiten. Außerdem lässt sich ein eigener URL Shortner von externem Zugriff absichern. Somit kommen Spammer nicht in die Lage, den eigenen Dienst für ihre Zwecke zu nutzen. Zudem lässt sich ein Großteil der nachfolgenden Tipps direkt umsetzen.
Die Linklänge
Das große Problem der gekürzten Links ist die Zeichenanzahl. Ähnlich der Passwortproblematik gilt auch hier: Es darf ruhig etwas mehr sein. Bei Passwörtern wird eine Mindestlänge von 12 Zeichen empfohlen. Bei einer Linklänge von 12 und dem klassischen Zeichenkombinationen aus Klein- und Großbuchstaben sowie Zahlen ergeben sich 3,2 * 10^21 Zeichenkombinationen. Um diese Linkkombination zu ermitteln, benötigt ein Computer mit einer herkömmlichen Rechenleistung mehrere 100 Millionen Jahre. Selbst das bisher größte bekannte Botnetz würde noch mehrere 1000 Jahre zur Durchsicht aller möglichen Linkkombinationen benötigen.
Wer seinen eigenen URL Shortner hostet, kann die Linklänge selber definieren und steigert somit die Sicherheit seiner Kurzlinks.
Nutzer von Bit.ly können auch etwas für mehr Sicherheit tun. Mit der Customize-Funktion können Bitly-Links selbstständig benannt und die Linklänge beeinflusst werden.
Erweiterung des Zeichenbereichs
Der Marktführer Bit.ly nutzt standardmäßig eine Mindestlänge zwischen vier und sechs Zeichen bestehend aus Klein- und Großbuchstaben sowie Zahlen. Wird der Link mit einer siebenstelligen Zeichenfolge verkürzt, ist das erste Zeichen immer mit einer Ziffer besetzt, beispielsweise bit.ly/1AbcD8. Dies grenzt den Linkraum von 62^7 auf 62^6 ein. Wird der Zeichenbereich erweitert, wächst entsprechend der Raum der möglichen Zeichenkombinationen.
Beim Einsatz eines eigenen Shortners sollte daher darauf geachtet werden, dass neben Klein-, Großbuchstaben und Zahlen auch eine Auswahl an Sonderzeichen ermöglicht werden. Außerdem sollte auf ein festes Muster, wie im Beispiel von Bit.ly, verzichtet werden.
Geschützte Kurzlinks
Henrik Hasenkamp
Die beiden Forscher haben neben ihren Ergebnissen auch Lösungs- bzw. Verbesserungsvorschläge veröffentlicht. Der Einsatz eines Captchas beispielsweise bremst das automatisierte Erraten von URLs aus und gewährt
Links von unbestimmter Länge etwas mehr Sicherheit. Jedoch gibt es diese Möglichkeit bei keinem Anbieter, weder bei professionellen Diensten wie Bit.ly noch bei der selbstgehosteten Variante.
Bis diese Möglichkeit von URL-Kürzungsdiensten oder der Open Source-Community aufgegriffen wird, ist noch nicht abzusehen. Die US-Forscher wollten mit ihrer Veröffentlichung vor allem für das Thema sensibilisieren und die besagten Dienste über das Sicherheitsrisiko informieren. Das Thema Sensibilisierung legen sie auch den Betreibern von Bit.ly und Co. ans Herz. Nicht jeder Link, vor allem zu sensiblen Daten, muss unbedingt gekürzt werden. Daher sollten Nutzer über die möglichen Risiken informiert werden.
Wer also auf mehr Sicherheit bedacht ist, sollte ernsthaft über eine eigene Alternative nachdenken. Ein performanter Server kostet heutzutage nicht mehr die Welt und ist vor allem für Unternehmen ratsam, die gerne wissen möchten wo ihre Daten gespeichert sind. Wer dennoch nicht auf Bit.ly verzichten möchte, findet in der Customize-Funktion seine Möglichkeit, die Sicherheit der eigenen Links zu verbessern.
Über den Autor
Henrik Hasenkamp ist Brand Director beim Pure Hosting Provider server4you.