Der Webbrowser rückt ins Visier der Hackerszene

Pascal Kocher ist Senior Solution Architect bei United Security Providers in Gümligen bei Bern.

Moderne Attacken zielen auf den Webbrowser - die Opfer sind meist ahnungslose Surfer. Das Thema «Application Security» ist das derzeit am heissesten diskutierte Thema unter Hackern und IT-Sicherheitsexperten.

Dieser Trend offenbarte sich Anfang August auf den weltweite Beachtung findenden Konferenzen «Blackhat» und «Defcon» in Las Vegas. Dort treffen sich jedes Jahr IT-Security-Experten und Hacker aus aller Welt, um die neuesten Trends in Sachen IT-Security zu erörtern. Dabei wendet sich die Blackhat, die starken Ausbildungscharakter besitzt und 1800 Dollar Eintritt kostet, eher an die IT-Security-Verantwortlichen. Die Defcon hingegen ist den Hackern vorbehalten. Sie kostet entsprechend nur 100 Dollar Eintritt - welche vor Ort und in bar bezahlt werden müssen. Kreditkarten sind bei der auf Anonynität erpichten Klientel verpönt.

Und obwohl sich die Interessen der Teilnehmer beider Konferenzen häufig diametral entgegen stehen, geben doch beide Veranstaltungen Auskunft, wohin sich die Reise punkto IT-Security künftig geht.

Wichtigster ablesbarer Trend in diesem Jahr: Fehler, die aus dem Web 1.0 bekannt sind, im Web 2.0 aber nicht behoben wurden, werden ausgenutzt. Zwar machten Webseiten in den 15 Jahren ihres Bestehens eine rasante Entwicklung durch. Das Spektrum reicht heute von statischen über dynamische Inhalte aus Datenbanken bis hin zu interaktiven Applikationen, die sich kaum mehr von lokal installierten Tools unterscheiden. Wobei das Web 2.0 nicht nur Logik auf der Serverseite, sondern ebenfalls auf dem Client benötigt. Dabei wird aber auch klar, dass es in der IT Gang und Gäbe zu sein scheint, Fehler, aus denen man eigentlich gelernt haben sollte, noch einmal zu machen. So blühen Fehler, die in Web 1.0 auftraten - etwa, dass Daten aus Formularen nicht geprüft werden oder dass via versteckte Felder (Hidden Fields) Anweisungen für den Server versteckt werden - auch im Zeitalter von Ajax (Asynchronous JavaScript and Extensible Markup Language). Problematisch dabei ist, dass dies zu komplexen Sicherheitsproblemen führt, welche in den meisten Fällen vom Benutzer nicht erkannt und von der Firmen-Firewall kaum geblockt werden können.

Überdies ist es durchaus verbreitet, Login- und Session-Stati in Cookies zu speichern. Auch das E-Mail von Google, Gmail, nutzt dies, um den Benutzer nach der Authentifizierung wieder zu erkennen - eine normale Vorgehensweise für Webapplikationen. In Sicherheitskreisen ist aber bekannt, dass gestohlene Session-Cookies genutzt werden können, um die Websitzung des Opfers zu übernehmen. Robert Graham, Gründer und CEO von Errata Security, stellte an der Blackhat das Tool «Ferret» vor, das unter anderem die Session-Cookies von Google Mail via WLAN (Wireless Local Area Network) liest und speichert. Später kann der Angreifer das Cookie für einen Zugriff auf das Google-Mail-Konto des Opfers nutzen.

Hacking muss aber nicht immer etwas mit hoch technischen Tools zu tun haben. Security-Spezialist und Autor Johnny Long zeigte in seinem Vortrag über «No-tech-Hacking» auf eindrückliche Weise, wie sich durch simple Beobachtungsgabe und einige vergrösserte Photos persönliche Informationen über Personen oder Fahrzeuge finden lassen. So erlaubt etwa eine simple Parkvignette detaillierte Aussage über das Arbeitsverhältnis des Besitzers. Auch das öffentliche Arbeiten am Notebook an Flughäfen oder Bahnhöfen ist riskant. Erstens wegen des Internetzugangs über ein ungesichertes WLAN, zweitens wegen der Blicke auf die immer grösseren Bildschirme, die viel verraten können. Beispielsweise ist aus der Taskbar in Windows ablesbar, ob die Antivirensoftware aktualisiert wurde und ob die Firewall aktiv ist. Durch einen kontrollierten Schulterblick mit einem Foto-Handy kann überdies zwecks späterer Analyse ein Screenshot gemacht werden.

Der neuseeländische Computerspezialist Peter Gutmann hielt einen besorgniserregenden Vortrag über die kommerzielle Malware-Industrie. Er machte klar, dass der Handel mit Gütern «der speziellen Art » relativ günstig ist. So kostet eine gültige Kreditkarte mit CCV2-Code (Card Security Code), der Sicherheitsnummer auf der Rückseite des Plastikgelds, gerade mal vier Dollar. Grundsätzlich ist alles käuflich - bis hin zur vollständigen digitalen Identität.

Analog zu den Dienstleistungen der Antivirenbranche wird im Netz auch ein Dienst angeboten, der garantiert, dass die eigene Malware nicht von Antiviren-Tools erkannt wird - quasi eine «Anti-Antivirensoftware».

Eine beliebte Art, Malware kommerziell zu verbreiten, sind Affiliate-Programme, bei denen sich Webmaster registrieren und via Javascript Malware installieren lassen. Dafür werden dem Webmaster dann 30 Cent pro Installation bezahlt. Gerade im Zeitalter von Web 2.0, in dem JavaScript kaum wegzudenken ist, birgt dies eine grosse Gefahr. Meist wird die Infektion weder vom Benutzer noch von der Schutzsoftware bemerkt.

Solche Angriffs- und Bedrohungsszenarien sind das Salz beider Veranstaltungen. Sie täuschen aber nicht über den Ernst hinweg, der mit den heutigen Security-Threats verbunden ist. Die Spirale von Angriff und Gegenmassnahme dreht sich weiter, die Akteure beider Seiten wollen sich gegenseitig übertreffen. Der Gesprächsstoff für die nächsten Konferenzen geht nicht aus.