F

URL-Shortener: Lassen sich schädliche Links in gekürzten URLs erkennen?

Hinter gekürzten URLs können sich auch schädliche Webseiten verbergen. Können Unternehmen hierfür Sicherheitsvorkehrungen treffen?

Ich verstehe, warum Unternehmen URL-Shortener wie zum Beispiel Bit.ly nutzen. Können diese verkürzten Links Anwender aber nicht auf fehlerhafte oder sogar schädliche URLs weiterleiten? Auf welche Weise kann man diese gekürzten URLs prüfen, um zu garantieren, dass Anwender nicht auf einer schädlichen Webseite landen?

So genannte URL-Shortener haben in Sachen Security eine eher bewegte Vergangenheit. In den letzten Jahren hat sich bei den Verteidigungsmechanismen gegen diese Security-Stolpersteine aber leider auch nicht viel verändert.

Unternehmen können die Risiken von URL-Shortener als Angriffsvektor minimieren, indem sie einen internen URL-Shortener einsetzen. Damit kann zum Beispiel der Namen der Firmenwebseite in der URL enthalten sein und man könnte so auch SSL (Secure Sockets Layer) verwenden.

Unternehmen sollten weiterhin sicherstellen, dass der eigene URL-Shortener nicht missbraucht wird und damit erstellte Links auf bösartige URLs weiterleiten. Dies lässt sich mithilfe von Authentifizierung und Malware-Prüfungen realisieren, bevor der Service die URL kürzt.

Auch Webanwendungen wurden in der Vergangenheit von gekürzten URLs missbraucht, meist aufgrund unsicherer Security-Praktiken. Daher hatte das Open Web Application Security Project (OWASP) nicht-validierte Redirects und Weiterleitungen auf die OWASP-Top-Ten-Liste des Jahres 2013 gesetzt. Dort gibt es aber auch Ratschläge zur Absicherung von Webapplikationen.

Endpunkte kann man bekanntlich auf viele verschiedene Arten kompromittieren. Aus diesem Grund dürfte es erfolgversprechender sein, das Endgerät selbst abzusichern, anstatt Anwender dazu erziehen zu wollen, nicht auf verkürzte Links zu klicken. Unternehmen könnten natürlich auch einen zusätzlichen Kontrollmechanismus bereitstellen, mit dem Anwender vor dem Öffnen verkürzter Links das Linkziel in einer Art Sandbox-Vorschau betrachten können. Dieser Mechanismus müsste dann aber auch durchgehend genutzt werden.

Natürlich ist es immer ratsam, Mitarbeiter für die Gefahren von nicht-vertrauenswürdigen Links zu sensibilisieren. Auf diese Art von URLs ließe sich beispielsweise im Rahmen eines Security-Awareness-Trainings aufmerksam machen. Zusätzlich könnte man den Angestellten so zeigen, wie sich ein kompromittierter Computer identifizieren lässt. Immerhin geht die Gefahr nicht nur von nicht-vertrauenswürdigen URLs aus: Auch vertrauenswürdige URLs lassen sich mittels DNS-Hijacking oder bösartigen Werbebannern missbrauchen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close