Finger weg von JavaScript-Packern
Packer bieten nach Meinung von Sophos nur wenig Schutz vor Source-Code-Dieben, erschweren aber Sicherheitsanwendungen die Arbeit, da sie für die Analyse von verschlüsseltem Sourcecode länger bräuchten oder gänzlich scheitern würden.
- Uli Ries
- Daniel Bachfeld
Entwickler legitimer Web-Anwendungen sollten in Zukunft die Finger von Tools zum Packen und Codieren von JavaScript lassen. Das fordert Paul Ducklin, Head of Technology beim Antivirensoftwarelieferanten Sophos. Duckling ist der Überzeugung, dass verschlüsselter JavaScript-Code mehr Schaden als Nutzen hat.
Wie Ducklin in seinem Vortrag "The Malware in the Rue Morgue" während der RSA Conference erklärte, bieten kommerzielle Packer wie Aevitas Advanced HTML Encrypt and Password Protect kaum Schutz gegen potenzielle Sourcecode-Diebe. Webentwickler die glauben, dass sie ihre Schöpfung mit diesem und ähnlichen Tools wirksam gegen den Diebstahl des geistigen Eigentums schützen können, sind laut Ducklin auf dem Holzweg. Er demonstrierte, wie sich Sourcecode, der mit Aevitas Tool verschlüsselte wurde, binnen Minuten in Klartext umwandeln lässt. Dazu bediente er sich lediglich frei zugänglicher Tools wie Mozillas Rhino und Caffeine Monkey sowie seinem HTML- und JavaScript-Sachverstand.
So wenig die Codierung dem Schutz des Codes nutzt, so sehr spielt sie Cyber-Kriminellen in die Hände. Denn lokale Sicherheitsanwendungen, die den vom Internet zum Browser strömenden Webtraffic ständig auf potenzielle Gefahren untersuchen, brauchen für die Analyse von verschlüsseltem Sourcecode entweder erheblich länger was sich negativ auf die Performance des Webzugangs auswirkt oder scheitern gänzlich.
Laut Ducklin sammelt alleine das Anti-Malware-Labor von Sophos täglich 30.000 legitime Webseiten, die mit bösartigem JavaScript-Code oder iFrames infiziert wurden. Ein großer Teil dieser Seiten wurde zwar von den Entwicklern verschlüsselt, der eigentlichen Webserver-Sicherheit wurde aber offenbar weniger Aufmerksamkeit geschenkt. Andernfalls wäre es den Angreifern nicht gelungen, ihren Schadcode in die Seiten zu pflanzen. Den Negativrekord hält laut Ducklin eine Website, deren Code von 22 verschiedenen Angreifern mit diversem Schadcode infiziert wurde.
Wie Ducklin erklärte, nutzen inzwischen auch die Angreifer neben der üblichen Verschleierung (Code Obfuscation) Verschlüsselungstechniken, um ihren JavaScript-Code gegen Analysen zu sichern. Insbesondere das Exploit-Toolkit Luckysploit sei aufgrund der verwendeten Verschlüsselungstechniken erwähnenswert. In Kombination mit der Codierung der legitimen, infizierten Website mache dies die Arbeit der Online-Scanner unnötig kompliziert.
Ducklin forderte die Entwicklergemeine daher auf, in Zukunft auf das mehr als fragwürdige Konzept der "security through Obscurity" zu verzichten. Einen Vorschlag, wie die Programmierer ihren wertvollen Sourcecode stattdessen anderweitig gegen unerlaubtes Kopieren schützen sollen, hatte der Sophos-Mann jedoch leider nicht parat. (Uli Ries)/ (dab)
