Diesen Fragen habe ich mich im Rahmen eines Vortrages gestellt und möchte nun hier eine kleine Zusammenfassung geben.
[slideshare id=455896&doc=web-20-blog-kommunikationswissenschaft-norman-schuldt-1213018936487226-9&w=425]
Grundsätzlich gilt nicht mehr, dass das bloße Verhalten und das bloße Anklicken von vermeintlichen “sicheren” Seiten ausreicht um geschützt zu surfen. Im neuen Web muss nun auch von Angriffen über populäre, gut geschützte Seiten ausgegangen werden. Doch wie genau geschieht das?
Die Angreifer bedienen sich weiterhin, an dem schon im Web1.0 beliebten, Cross Site Scripting (CSS). Damals wurde der Nutzer auf dubiose Webseiten geführt, indem er einen ihm zugesandten Link anklicken musste. Dies war einfach zu durchschauen, weil der Link und die dazugehörigen Spam E-Mail leicht zu erkennen waren.
Dies hat sich nun im Web2.0 geändert. Mittlerweile ist es möglich diese Weiterleitungen in Java Anwendungen zu verstecken, so dass sie unbemerkt auf dubiose Seiten geleitet werden. Weiterhin ist es möglich schädlichen Inhalt in Java Anwendungen so zu verstecken und so starten zu lassen, dass der Rechner des Nutzers direkt infiziert werden kann. Dies stellt eine neue gefährliche Bedrohung dar. Java wird heutzutage von fast jeder Internetseite genutzt und somit sind auch Blogs nicht mehr sicher. Wenn z.B. ein Mitarbeiter auf einem infizierten Blog surft und gleichzeitig im Intranet seiner Firma eingeloggt ist, ist es möglich auch dieses auszuspähen und dadurch an geheime Firmenunterlagen zu gelangen.
Zusätzlich bietet die so genannte Ajax Programmierung (elementarer Baustein des Web2.0, der das dynamische Nachladen auf Internetseiten ermöglicht ohne diese komplett neu zu laden) neue Angriffsmöglichkeiten. Da hier der Inhalt immer automatisch dynamisch nachgeladen wir, wird der Nutzer nicht auf das Nachladen von schädlichen Inhalten aufmerksam. Das heißt, dass ein Angreifer schädlichen Inhalt in einer solchen Anwendung platzieren kann und der Nutzer bei der Ausführung diesen in seinen Browser lädt, ohne davon etwas zu merken. Als populäres Beispiel wäre hier das Orkut Netzwerk (beliebt in Südamerika) zu nennen. Dort haben sich über 100000 Nutzer innerhalb kürzester Zeit mit einem Wurm infiziert, der auf den beschriebenen Weg die Rechner infizierte.
Weiterhin ist es möglich Angriffe über den Flash Player zu starten (elementare Baustein um z.B. Online Videos bei Youtube abzuspielen). Angriffe über den Flash Player sind zwar nicht ganz so bedrohlich wie Angriffe über Java, weil der Flash Player nicht über den gleichen Funktionsumfang verfügt, aber er läuft im Internet Explorer im lokalen Kontent mit vollen Rechten. Vorstellbar wäre ein Angriff über ein Video von Youtube wodurch dann eure Cookies und somit eure Nutzerdaten ausgespäht werden könnten.
Zusätzlich zu diesen neuen Methoden gibt es auch eine neue Art von Angriffen auf Router. Dadurch wird der Nutzer, wenn sein Router infiziert ist, automatisch auf andere Seiten umgeleitet. Diese können dann genauso wie die echte Seite aussehen und der Nutzer gibt seine Login Daten ein. Dann wird er automatisch zu der richtigen Seite geleitet und somit bemerkt der Nutzer keine Veränderung und der Angreifer bekommt die Login Daten. Dies kann bei Online Banking Seiten bis zum Diebstahl von Pin´s und Tan´s führen.
Durch diese Bedrohungen sollte nun nicht jeder Nutzer aufhören Java oder Flash Player zu nutzen, denn natürlich gibt es auch Schutzmaßnahmen gegen diese neuen Bedrohungen. Diese werden in einem folgenden Beitrag geklärt.
Norman Schuldt
Student der Universität der Bundeswehr München
Frühjahrstrimester 2008 studium+ Kurs Dr. Barbara Niedner