40138

Javascript – des Angreifers liebstes Kind

Während beider Konferenzen lag einer der Schwerpunkte beim Thema „Attacken per Web-Browser". Internet-Nutzer müssen sich keine Viren mehr herunterladen und auf obskure E-Mail-Anhänge klicken, um ihren Rechner zu infizieren. Inzwischen reicht der Besuch einer bösartigen Webseite, damit dem Web-Browser – unbemerkt vom Anwender – Schadprogramme untergeschoben werden können. Liegen diese erst einmal auf dem PC, kann sie der Angreifer später aus der Ferne zum Leben erwecken und so beispielsweise PIN- und TAN-Codes erhaschen oder die Login-Daten für E-Mail- oder eBay-Konten.

Digitaler Pranger: Wer während der Defcon das drahtlose Netzwerk benutzte, war selbst schuld. Denn ein Team von Hackern machte nichts anderes, als im WLAN-Datenstrom nach Passworten zu suchen. Wen die zweifelhafte Ehre ereilte, belauscht worden zu sein, dem war ein Eintrag in der „Wall of Sheep“ sicher – praktischerweise im Versammlungsraum auf fünf Quadratmeter projiziert, damit alle etwas davon hatten.
Vergrößern Digitaler Pranger: Wer während der Defcon das drahtlose Netzwerk benutzte, war selbst schuld. Denn ein Team von Hackern machte nichts anderes, als im WLAN-Datenstrom nach Passworten zu suchen. Wen die zweifelhafte Ehre ereilte, belauscht worden zu sein, dem war ein Eintrag in der „Wall of Sheep“ sicher – praktischerweise im Versammlungsraum auf fünf Quadratmeter projiziert, damit alle etwas davon hatten.
© 2014

Besonders beliebt bei den Crackern sind millionenfach frequentierte Seiten wie myspace.com oder youtube.com. Aufgrund der schieren Größe dieser Seiten ist es den Betreibern unmöglich, alle von ihren Usern ins Netz gestellten Profile oder Videos zu checken. Der Cracker dankt es und präpariert seine Seiten mit bösartigen Bestandteilen. Außerdem sind diese Webseiten einem der Defcon-Referenten zur Folge auch deswegen gut für Angriffe geeignet, da sie technisch sehr komplex und damit oftmals voller sicherheitsrelevanter Fehler sind.

Beinahe alle modernen Webseiten setzen auf Javascript (JS). Wird JS im Browser abgeschaltet oder ist das Firefox-Plugin NoScript aktiv, sind Seiten wie Youtube, Myspace, Google Mail oder Hotmail zu großen Teilen unbrauchbar. Wer Javascript jedoch aktiviert läuft beispielsweise Gefahr, einem eBay-Betrüger aufzusitzen, der seine Verkäuferbewertung per Javascript in märchenhafte Regionen tunt.

Extrem groß ist auch die Gefahr, Oper einer XSS-Attacke (Cross Site Scripting) zu werden. Bei einer solchen Attacke pflanzt die Website des Angreifers dem Web-Surfer per Javascript eine lokale HTML-Seite auf den Rechner und zeigt sie im Browser an. Diese Seite enthält den eigentlichen Schadcode, der in diesem Fall mit den Benutzerrechten des gerade anmeldeten Users ausgeführt wird. Auf der Defcon wurde beispielsweise gezeigt, dass sich so selbst komplexe Anwendungen wie ein funktionstüchtiger Netzwerkscanner unbemerkt auf dem PC des Opfers installieren und ausführen lassen. Da der angegriffene Rechner hinter der Firewall steht, hat der Angreifer kein Problem, die Firewall zu umgehen und sich im internen Netzwerk so umzusehen, als wäre er vor Ort. Angesichts solcher Demonstrationen wird klar, wie mächtig Javascript ist und welch ausgeklügelten Angriffe in Zukunft zu erwarten sind.

Wie die Sicherheitsexperten Ben Feinstein und Daniel Peck auf der Defcon 2007 demonstrieren, sind diese schädlichen Javascripte mit etlichen Methoden dagegen gesichert, von Virenscannern erkannt zu werden. Die Skripte werden absichtlich auf teilweise krude Weise programmiert und verbergen ihren Inhalt hinter auf den ersten Blick wie Datenmüll aussehenden Codes, um den wahren Daseinszweck vor einem menschlichen oder PC-basierten Analysten zu verbergen.

Dem täglich durchs Web streifenden Surfer sei somit angeraten, Javascript am besten auszuschalten – entweder per Browseroption oder dem Firefox-Plugin – und nur in Ausnahmefällen wieder zu aktivieren.

PC-WELT Marktplatz

40138