Web-Spoofing: neue Fallgruben im WWW?

Das "Safe Internet Programming" Team (SIP) der amerikanischen Princeton University (http://www.cs.princeton.edu/sip/) hat einen Report veröffentlicht, in dem vor der Möglichkeit einer "Man in the Middle" Attack beim Websurfen gewarnt wird. Ein Angreifer leitet dabei den gesamten HTTP-Verkehr zwischen Surfer und dem WWW über seinen eigenen Rechner und kann somit alle übertragenen Daten (Paßwörter, Kreditkartennummern, ...) des Betroffenen mitlesen, speichern und nach Belieben dessen Eingaben oder die Antworten der Originalserver verfremden. Der Angreifer täuscht das gesamte WWW unter seiner Server-Adresse vor - deshalb haben Edward Felten und seine SIP-Kollegen den Angriff "Web-Spoofing" getauft.

Der Eingang zum Schatten-Web liegt in einer WWW-Seite, die statt normaler Links solche mit einer "Umleitung" trägt: Der eigentlichen URL wird die Server-Adresse des Angreifers vorangestellt. Hangelt man sich jetzt ausschließlich von einer derart verfälschten URL weiter durchs Web, ist man gefangen: Der eigene Browser verbindet zum "Anfang" der URL und erst der dort angesprochene Server holt die Originalseite und reicht diese zurück, wobei er alle Links wiederum mit seiner eigenen Adresse ergänzt liefert. Die ungewollte Umleitung überlebt auch in Bookmarks, die in dieser Zeit angelegt werden: Beim nächsten Besuch landet man wieder im Schattenreich des Angreifers.

Dieses "URL Rewriting" dient bereits seit Längerem sinnvollen Zwecken, etwa dem anonymen Surfen im Web: statt http://www.heise.de benutzt man einmal http://www.anonymizer.com:8080/http://www.heise.de , und danach gehen alle Verbindungen über diesen - hier offensichtlichen und nützlichen - Zwischenschritt (der eigene Datenspuren vermeidet).

Derartige Umleitungen sind normalerweise mit entsprechender Aufmerksamkeit anhand der veränderten URL in der Statuszeile und in der "Location Line" zu erkennen. Allerdings können ein paar Zeilen JavaScript dafür sorgen, daß die normalen Anzeigen durch JavaScript-Ausgaben überdeckt werden - dann kann nur noch ein Blick in die HTML-Quellen den Umweg offenbaren.

Fatalerweise sind auch SSL-Verbindungen (Secure Socket Layer) vor dem Web-Spoofing nicht sicher: Die verschlüsselte und Server-authentifizierte Verbindung wird ja vom Browser nur mit dem direkt angesprochenen Server angestrebt, also mit dem des Angreifers. Leider zeigen die aktuellen Browser-Versionen aber neben ihrem Diese-Verbindung-ist-sicher-Symbol (z.B. dem Schlüssel neben der Netscape-Statuszeile) nicht den Namen des authentifizierten Servers.

Einen vollständigen Lösungsvorschlag mußte das SIP-Team schuldig bleiben - bis auf weiteres gilt es also, die Augen offenzuhalten und riskante Browser-Erweiterungen wie JavaScript nur bei Bedarf zu aktivieren. Da ein Angreifer deutliche Spuren hinterläßt, wird wohl niemand über seine eigene Homepage und seinen eigenen Server ein Schatten-Web aufbauen; wer tatsächlich kriminelle Absichten hegt, wird eher versuchen, attraktive Web-Seiten anderer zu hacken, um sich dort einzunisten. (nl)