Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Einfallstor Browser

Seite 4: Angepinnt

Inhaltsverzeichnis

Die Same Origin Policy ist zwar eine hohe Hürde, sie verlässt sich aber im Wesentlichen nur auf die Richtigkeit des Server-Namens. Schafft es ein Angreifer, die Namensauflösung zu manipulieren, so kann er seine Skripte etwa im Kontext eines Unternehmensnetzes laufen lassen und interne Strukturen ausspionieren. Bei dieser DNS-Rebinding genannten Attacke muss der Angreifer einen Nameserver kontrollieren können. Zusätzlich muss er sein Opfer auf eine Webseite (www.example.com) locken, die das schädliche JavaScript enthält. Bei der ersten DNS-Anfrage des Browser liefert der vom Angreifer kontrollierte Nameserver die offizielle Adresse seines Servers zurück und der Browser lädt die Seite mit dem Skript. Allerdings hat der Angreifer seine Antwort im Time-To-Live-Feld als nur für kurze Zeit gültig markiert.

Beim DNS-Rebindung schiebt der Angreifer seinem Opfer während einer Sitzung eine neue Adresse unter.

Nach der ersten Anfrage ändert er im Nameserver die IP-Adresse für www.example.com auf eine Adresse im Netzwerk seines Opfers, beispielsweise 192.168.2.1. Alle folgenden Anfragen des Browser beantwortet der Nameserver mit dieser Adresse. Für ein laufendes JavaScript hat sich indes nichts geändert, der Servername ist derselbe, der Port und das Protokoll ebenfalls. Allerdings ist das Skript nun in der Lage, mit dem unter der Adresse 192.168.2.1 residierendem Gateway oder Server zu kommunizieren oder auf bereits geöffnete Seiten im Browser von diesem Server zuzugreifen und Inhalte zu manipulieren. Dieses einfache Angriffsszenario funktioniert in der Realität jedoch nicht so ohne Weiteres, da Browser die Zuordnung von Name zu IP-Adresse über den gesamten Verlauf einer Session cachen, egal was im TTL-Feld steht. Die zweite Anfrage bleibt einfach aus. Diese DNS-Pinning genannte Funktion verhindert zunächst DNS-Rebinding.

Mit einem einfachen Trick hebelt man DNS-Pinning jedoch aus: Per Firewall blockiert der Angreifer nach dem ersten Zugriff alle weiteren Verbindungsversuche zu www.example.com. Damit wird der Browser trotz Cache gezwungen, eine zweite Anfrage zu starten, um eine möglicherweise neue Adresse von www.example.com zu erfahren. Dieses Anti-DNS-Pinning getaufte Verfahren ließe sich wiederum verhindern, indem man die Host-Header der HTTP-Anfragen kontrolliert. Aber auch hierfür gibt es wieder Gegenmaßnahmen, beispielsweise in dem man die Header per XMLHttpRequests fälscht. Dieses Spiel wird auf absehbare Zeit weitergeführt, wobei DNS-Rebinding-Attacken derzeit noch eher selten stattfinden.

Abseits von allen Skripting-Tricks lauern weiterhin die auf Buffer Overflows beruhenden Sicherheitslücken in Browser und Anwendungen, durch die Hacker die PCs ihrer Opfer mit Trojanern und Bots zu infizieren versuchen. Allerdings gehen die Bösewichte dabei nun weitaus subtiler vor als noch vor einigen Jahren. Ziel ist es dabei, populäre Webseiten als Sprungbrett zu benutzen. Unter anderem dringen sie dafür auf MySpace mit gestohlenen Passwörtern in die Profile bekannter Stars und Rockbands ein und hinterlassen in der Seite einen versteckten IFrame. Dieser zeigt auf einen Server der Kriminellen, der den eigentlichen Schadcode verbreitet. Surft ein Besucher die manipulierte My-Space-Seite mit einem verwundbaren Browser an, so lädt der Browser den Code nach und infiziert so den Rechner.

Die von den Angreifern benutzten Werkzeuge inklusive Server sind als komplette Webattack-Toolkit-Suite für wenige hundert Euro etwa unter dem Namen MPack auf einschlägigen Seiten im Internet zu erwerben. Bekannt wurde MPack während eines groß angelegten Angriffs Mitte des vergangenen Jahres, bei dem Zehntausende von Internetauftritten einem Massenhack zum Opfer fielen. In der Folge wiesen alle geknackten Auftritte eine einzige zusätzliche Zeile auf, die in einem IFrame Kontakt mit einem MPack-Server aufnahm. Darunter auch Seiten von US-amerikanischen Regierungsbehörden und Universitäten.

Zudem machen sich die Kriminellen die Vermaschung der Seiten zu Nutze: Kaum ein Internetportal, auf dem nicht per Werbebanner für Produkte oder Dienstleistungen geworben würde. Um flexibler zu sein, laden die Portale die Werbung beispielsweise als Flash-Banner von Servern der Werbeagenturen nach. Leider sind diese Server oftmals weniger gut gesichert, sodass die Hacker dort leichteres Spiel beim Einbruch haben. Mit einem infizierten Banner erzielen sie aber den gleichen durchschlagenden Effekt, als hätten sie das Portal selbst gehackt. Auch heise online wurde bereits Opfer einer solchen Manipulation, bei der ein Flash-Werbebanner weiteren Code nachlud, der Lesern ein fragwürdiges Produkt aufdrängen wollte. Die Angreifer gingen dabei sogar so geschickt zu Werke, dass der Code nur dann lief, wenn die IP-Adresse nicht aus Hannover stammte. Damit wollten die Geschäftemacher verhindern, dass Mitarbeiter von Heise während der obligatorischen Tests solcher Banner auf die Manipulation aufmerksam wurden.

Darüber hinaus zieht Google mit seiner Suchmaschine Kriminelle an wie das Licht die Motten. Mit allen möglichen Tricks versuchen sie, ihre Seiten in den Google-Ergebnissen ganz vorne unterzubringen. Unter anderem nutzen sie die Eigenheiten der lokalen Suchfunktionen großer Internetportale aus, die eingegebenen Anfragen cachen, um ein höheres Google-Ranking zu erzielen.

Weil immer mehr dubiose Links in den Treffern von Google landen, versucht der Suchmaschinenbetreiber seit geraumer Zeit Gegenmaßnahmen zu ergreifen. In einem der ersten Schritte warnt Google nun bei Ergebnissen, die zu gefährlichen Seiten führen können mit dem Hinweis "Diese Website kann Ihren Computer beschädigen."

Leider ist im Internet nichts mehr isoliert zu betrachten, alles ist irgendwie miteinander verknüpft – und das wissen die Betrüger für sich zu nutzen. Das sollte allerdings kein Grund sein, den Kopf in den Sand zu stecken und gar nicht mehr ins Internet zu gehen. Mit einigen Maßnahmen kann der Anwender sich und seinen PC vor den Angriffen schützen oder sie zumindest so erschweren, dass der Großteil davon ins Leere läuft.

Literatur & Links

[1] Christiane Rütten, Tobias Glemser, Gesundes Misstrauen, Sicherheit von Webanwendungen, c't 26/06, S. 234

[2] Advanced Cross-Site-Scripting with Real-time Remote Attacker Control

[3] Kicking Down the Cross Domain Door

[4] JavaScript Port Scanner

[5] Tim Wartmann, Risiko 2.0, Eine Analyse der Sicherheit von Ajax, c't 02/08, S. 130

[6] BT Home Flub: Pwnin the BT Home Hub

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten