93966

Nutzerdaten im Internet in Gefahr

01.08.2008 | 15:17 Uhr |

Sicherheitsexperten werden nächste Woche auf der Black-Hat-Sicherheitskonferenz demonstrieren, wie sich mit einer Kombination aus Bilddatei und Java-Applet Userdaten von Facebook, eBay oder Google stehlen lassen.

Kern der Attacke sind Hybriddateien, die Programmen unterschiedliche Inhalte vorgaukeln. Diese werden auf Webseiten platziert, auf die Nutzer eigene Bilder laden können. Die Entwickler werden zeigen, wie sich so die Sicherheitssysteme umgehen und die Benutzerkonten der User für eigene Zwecke nutzen lassen. „Wir haben ein Java-Applet entwickelt, das sich nach außen hin als Bilddatei präsentiert“, erklärt John Heasman, stellvertretender Leiter der Forschungsabteilung bei NGS Software .

Die Hybrid-Files haben ihren Namen von den beiden Dateitypen, aus denen sie bestehen: GIFAR ist eine Zusammenziehung aus GIF (Graphics Interchange Format) und JAR (Java-Archiv). Auf der Black-Hat-Konferenz (http://www.blackhat.com/) werden die Entwickler demonstrieren, wie ein GIFAR erzeugt wird. Entscheidende Details werden dabei natürlich nicht genannt, um entsprechende Attacken im Web zu verhindern.

Für den Webserver sieht das File aus wie eine GIF-Datei. Seine Java Virtual Machine (VM) öffnet sich aber als Java-Archiv und führt das Applet aus. Das gibt dem Angreifer die Gelegenheit, Java-Code im Browser des Opfers auszuführen, da dieser ihn für Code der Website-Entwickler hält.

Ein Angriff würde also folgendermaßen ablaufen: Die Angreifer eröffnen auf einer Website wie Facebook ein Profil und laden ihr GIFAR als Bild auf die Seite. Anschließend locken sie potenzielle Opfer auf eine verseuchte Website, die deren Browser dazu veranlasst, das GIFAR zu öffnen. Sobald das geschieht, wird das Applet im Browser ausgeführt und öffnet den Betrügern Tür und Tor zu den Nutzerdaten des Opfers.

Solche Attacken könnten laut Aussage der Entwickler alle Webseiten bedrohen, auf die Nutzer Daten hochladen, unter Umständen sogar Seiten wie Amazon. Da GIFARs von Java geöffnet werden, könnten viele Browser betroffen sein.

Eine Einschränkung gibt es allerdings: Während der Attacke muss das Opfer auf der Website angemeldet sein, auf der sich das GIFAR befindet. „Am besten funktioniert der Angriff, wenn das Opfer längere Zeit angemeldet ist“, erklärt Heasman.

Die GIFAR-Attacken können auf verschiedene Arten vereitelt werden. Zum einen müssten Webseite ihre Filter verstärken, um die Hybrid-Files bereits im Vorfeld abzufangen. Zum anderen müsste Sun an der Java Runtime Environment arbeiten. Die Sicherheitsexperten rechnen damit, dass Sun kurz nach der Black-Hat-Konferenz einen Patch präsentiert.

Ein Patch würde zwar eine Angriffsfläche eliminieren, trotzdem bliebe das Problem, dass Malware mit der GIFAR-Technik auf häufig besuchte Webseiten geladen werden könne. „In Zukunft wird es solche Angriffe auf verschiedene Weisen und mit unterschiedlicher Technik geben“, sagt GIFAR-Entwickler Nathan McFeters, Sicherheitsexperte von Ernest & Young.

„Auf lange Sicht werden Webanwendungen die Kontrolle über ihre Inhalte erlangen müssen. Das hier ist ein grundlegendes Problem von Webanwendungen. Unsere Java-Attacke ist nur der Anfang.“ Entsprechend lautet der Titel ihrer Präsentation auf der Black-Hat-Konferenz „The Internet is broken“.

Letztendlich kämen Browser-Entwickler nicht umhin, einige grundlegende Änderungen in ihrer Software vorzunehmen, sagt dagegen Jeremiah Grossman, Forschungsleiter bei White Hat Security . „Der Fehler liegt nicht beim Internet, sondern in der Browsersicherheit. Die ist quasi nicht existent.“

0 Kommentare zu diesem Artikel
93966