Der Spion in meinem Browser

Es ist schon ohne Sicherheitsprobleme nicht ganz leicht, im Internet seine Privatsphäre zu bewahren. Mit ihnen wird es richtig gefährlich: Zwei IT-Security-Forscher haben nun mehrere neue Methoden gezeigt, wie sich Web-Nutzer unter Ausnutzung von Lücken im Browser ausspionieren lassen. Die Anfang August auf der Sicherheitskonferenz DEFCON 17 präsentierten Angriffsmuster zeigen auch, dass Datenschutzwerkzeuge, wie sie in immer mehr modernen Browsern stecken, kaum als Abwehrmaßnahme taugen.

Robert Hansen, Chef und Gründer der Internet-Sicherheitsfirma SecTheory und Joshua Abraham, Sicherheitsberater beim IT-Security-Spezialisten Rapid7, demonstrierten, wie sich beispielsweise auslesen lässt, welche Software auf dem Rechner des Opfers läuft. Aber auch die komplette Kontrolle des Nutzer-PCs war möglich. Dabei reichte es aus, dass der Online-Gangster eine Zielperson auf eine von ihm kontrollierte Website lockte – beispielsweise über einen Link in einer E-Mail. Die Angriffe funktionierten ohne große Mitwirkung der Opfer, in einem Fall sogar ganz ohne sie.

"Die Privatsphäre jedes Einzelnen hängt davon ab, auf welche Websites man sich begibt und welchen Browser man einsetzt", meint Hansen. Den in den Internet-Programmen eingebauten Schutzmaßnahmen sei dagegen nur teilweise zu trauen. "Ein Privatsphären-Modus bietet nur sehr rudimentäre Sicherheit", meint er. In vielen Fällen seien solche Werkzeuge nur zur Abwehr harmloser Angriffe geeignet, etwa dann, wenn man seine familieninterne Datenintegrität sichern wolle. Ein entschlossener Angreifer lasse sich so nicht stoppen.

Hansen und Abraham zeigten bei ihrer DEFCON 17-Präsentation, wie Online-Gauner detaillierte Informationen über einen Nutzer und sein System sammeln können. Dabei setzten sie eine Reihe einfacher Tricks ein. Überzeugt der Angreifer den Nutzer beispielsweise davon, eine bestimmte URL zu kopieren und wieder in die Browserleiste einzufügen, ließen sich Nutzer- und Computername auslesen und Zugriff auf bestimmte Systemdateien erlangen. Ähnliche gestrickte Angriffe lesen die verfügbaren Plug-ins im Browser aus, was weitere Einfallstore öffnet.

Die so gewonnenen Informationen könnten dann für einen gezielten Angriff auf einen bestimmten Nutzer verwendet werden, sagt Abraham. Kennt der User die installierte Software, lassen sich bekannte Lücken in dieser ausnutzen.

Hansen und Abraham zeigten auch Probleme mit der "Google Safe Browsing"-Erweiterung für Firefox auf, die Nutzer eigentlich vor gefährlichen Websites warnen soll. Zwar erledigt sie diesen Job laut den Sicherheitsforschern ordentlich, hinterließ aber auch ein Cookie, das dazu verwendet werden könnte, nachzuprüfen, welche Websites ein Nutzer besucht hat. Diese Informationen könnten dann beispielsweise durch entsprechende Verfügungen von Behörden eingeklagt werden.

Abraham zeigte auch ein Java-Applet, das im Browser läuft und einem Angreifer vollen Zugriff auf die Maschine des Opfers geben kann – inklusive verschlüsselter Dateien und einem eventuell angeschlossenen Mikrofon. Damit das funktioniert, muss der Nutzer nur zwei Mal klicken – einmal zum Besuch der Angriffs-Website und dann, um eine Browser-Warnmeldung zu unterdrücken. Damit letzteres die Attacke nicht verhindert, kann der Online-Gangster das Applet aber auch als legitime Software verschleiern, die mit bereits installierten Programmen im Zusammenhang steht.

Viele der von Abraham und Hansen gezeigten Angriffsformen müssen auf eine bestimmte Person zugeschnitten sein. Das muss sich für den Angreifer natürlich lohnen, etwa wenn er in ein bestimmtes Firmennetzwerk eindringen will.

Großes technisches Wissen braucht ein Online-Gauner aber nicht. "Die wirklich harte Arbeit wurde bereits von anderen erledigt." Die notwendigen Werkzeuge fänden sich kostenlos im Netz.

Kate McKinley, Sicherheitsforscherin bei iSec Partners in San Francisco, die sich mit Browser-Datenschutz beschäftigt, meint, dass insbesondere Plug-ins wie Flash ein Problem darstellen können. Die meisten Browser böten zwar die Möglichkeit, private Daten zu löschen. Doch solche, die von Plug-ins gespeichert werden, gehörten oft nicht dazu. Cookies, die Flash auf die Festplatte schreibt, halten sich sogar dann noch, wenn der Nutzer den Browser wechselt, weil sie an einem anderen Ort gespeichert werden.

Nutzer könnten sich zwar schützen, meint Hansen. Doch das bedinge eine Veränderung ihrer Online-Gewohnheiten. Beispielsweise müsse man sich stets genau ansehen, was die vom Browser vorgesetzten Dialogfenster bedeuten. "Was ist wichtiger, eine einfache Nutzbarkeit oder hundertprozentige Sicherheit und Privatsphäre? Eine einfache Antwort darauf gibt es nicht, wir müssen den Leuten aber klar machen, welche Probleme auf sie zukommen." (bsc)