Topographie der Web-Abgründe

Mit dem neuen Werkzeug "FireShark" will die IT-Sicherheitsfirma Websense gründlicher als bislang Angriffe auf Webseiten durch eingebetteten Schadcode aufspüren.

In den vergangenen Jahren sind Cyberkriminelle immer gewitzter darin geworden, Schadcode in eigentlich unbescholtene Webseiten einzuschmuggeln. Üblicherweise wird der Code in editierbaren Teilen einer Webseite hinterlegt und ruft dann von anderen Webservern weitere Programme auf, wenn die Seite geöffnet wird. Für Außenstehende ist dieser Vorgang nur schwer zu entdecken, weil heutige Webseiten oft absichtlich Elemente wie Werbebanner, Videos oder Code-Schnipsel von anderen Servern anfordern. Forscher der IT-Sicherheitsfirma Websense aus San Diego wollen nun mit einem neuen System die dunklen Nischen des Web gründlicher ausleuchten.

Dabei handelt es sich um ein so genanntes Crawler-Programm, das die Quellen von so genannten eingebetteten Inhalten – kleinen Programmen, die auf dem Computer des Surfers laufen und die Webseiten interaktiv machen – zurückverfolgt und überprüft, ob sie gefährlichen Code enthalten. Die „FireShark“ genannte Software befindet sich derzeit noch in einer experimentellen Vorstufe. Rund eine Million Websites kann sie täglich checken. Daraus erstellt FireShark eine Karte der Querverbindungen zwischen den verschiedenen Servern, die Inhalte in die Websites einspeisen.

„In dieser grafischen Darstellung wird sichtbar, wie Online-Inhalte miteinander verbunden sind“, sagt Stephan Chenette von Websense. Websites, die auf den ersten Blick für den normalen User eigentlich gar nichts miteinander zu tun hätten, seien zum Teil über Server von bekannten Online-Werbedienstleistern miteinander verbunden. Bei manchen Knotenpunkten, die Websites querverbinden, könnte es sich aber auch um Angreifer handeln, die Schadcode verbreiten. Laut einer Studie von Websense haben sich derartige Attacken im vergangenen Jahr mehr als verdoppelt.

Selbst bekannte und eigentlich vertrauenswürdige Knoten können den Nutzern gefährlich werden. So räumte die New York Times vergangenen September ein, dass Cyberkriminelle die Online-Ausgabe der Tageszeitung infiltriert hatten – indem sie, als Werbende getarnt, ihren Code über ein Werbebanner-Netzwerk eingeschleust hatten.

Solche Netzwerke zu kapern, ist wesentlich lukrativer als einzelne Websites direkt anzugreifen. „Wenn ein Seitenbetreiber hohe Sicherheitsvorkehrungen getroffen hat, ist der Weg über ein Werbebanner-Netzwerk eine gute Wahl“, meint Chenette.

Websense will das System demnächst als Plug-in für den verbreiteten Firefox-Browser zur Verfügung stellen. Dann könnten Nutzer auf einen Blick erkennen, von welchen Servern einzelne Seitenelemente stammen, und auch Informationen über verdächtige Aktivitäten an das System zurückgeben. Später soll laut Chenette auch ein eigener Online-Dienst folgen.

„Richtig spannend wird es da, wo Angreifer einen Dienstleister wie DoubleClick als Angriffskanal nehmen“, bestätigt Tom Pinckney, Mitgründer der IT-Sicherheitsfirma SiteAdvisor (2006 von Antivirensoftware-Hersteller McAfee gekauft) und jetzt Technikleiter beim Empfehlungsdienst Hunch. „Irgendjemand kauft sich in einem Werbe-Netzwerk ein, aber derjenige, der den Werbeblock dann tatsächlich ausliefert, kann gottweißwer sein.“

SiteAdvisor bietet bereits ein ähnliches Browser-Plug-in wie FireShark an. McAfee unterhält dafür ein Rechenzentrum mit virtuellen PCs, die das Web nach verdächtigen Websites absuchen. Dort prüfen sie aufgeführte Links und hinterlassen Email-Adressen als Versuchsballon, um herauszufinden, ob der betreffende Server Spam-Emails versendet. Für indizierte Webadressen wird dann mit einem Ampel-Farbcode angezeigt, ob Gefahr droht.

FireShark geht noch weiter: Es analysiert HTML-, Javascript- und anderen eingebetteten Code von Webseiten und verfolgt dessen Quelle zurück – auch wenn er mehrmals umgeleitet wird. „FireShark liefert einen detaillierteren Überblick“, versichert Chenette.

Für Forscher könnte das System interessant sein, urteilt Maxim Weinstein, Direktor der Nonprofit-Organisation StopBadware. Allerdings sei ein ungewöhnliches Verhalten nicht immer ein Beleg dafür, dass eine Software schädlich ist. „Muster, die problematisch aussehen, sind oft eine gute Sache – sie erscheinen nur anomal“, sagt Weinstein. Wenn Seiten über eine Javascript-Anwendung Daten von einem dritten Server bezögen, könnte es sich bei dem einfach nur um einen neuen Webstatistik-Dienst – ähnlich wie Google Analystics – handeln, nennt Weinstein ein Beispiel.

Eine kommerzielle Anwendung von FireShark ist laut Stephan Chenette nicht geplant. Vielmehr gehe es Websense darum, eine Community aufzubauen, die über ihre Rückmeldungen das Unternehmen unterstützt, gewissermaßen Forschungsarbeit leistet. „Das dunkle Web ist eine extrem dynamische Umgebung, und mit Hilfe von außenstehenden Nutzern können wir auch Websites aufspüren, die unserem Radar bisher entgangen sind“, sagt Chenette. (nbo)