Security-Konferenzen in Las Vegas
Vom eigenen Browser ausspioniert
Viren und Würmer waren gestern - moderne Attacken aus dem Internet zielen auf den Webbrowser und umgehen Firewalls im Handumdrehen. Das ist das Fazit zweier IT-Sicherheitskonferenzen der etwas anderen Art: der Black Hat und der Defcon in Las Vegas.
Las Vegas ist nicht gerade als Mekka der IT-Industrie bekannt – und wenn das Wort "Betrug" im
Zusammenhang mit der Glitzerstadt in der Wüste fällt, kommen den meisten Menschen nicht
Internetbetrüger, sondern illegales Glücksspiel und schmierige Casinobosse in den Sinn. Dennoch
fallen in der ersten Augustwoche eines jeden Jahres nicht nur spielwütige Touristen in die Stadt
ein, sondern auch tausende Hacker, IT-Sicherheitsexperten und Angestellte der US-Regierung und des
Militärs.
Angelockt werden sie von zwei IT-Sicherheitskonferenzen, die direkt im Anschluss aneinander
stattfinden und im Fall der zweiten Veranstaltung auch einigermaßen aus dem Rahmen fallen: Während
die eher seriöse Black Hat (www.blackhat.com) mit ihrem 1800 Dollar teuren, mehrtägigen
Trainingsprogramm etwa 4000 wissbegierige Unternehmensvertreter und Mitarbeiter der US-Behörden
anzieht, konzentrieren sich die 6700 dem digitalen Untergrund zugetanen Hacker auf die günstigere
Defcon. Teilnahmegebühr: 100 Dollar, zahlbar nur in Cash – man nimmt die Anonymität der Teilnehmer
ernst und mutet ihnen keine Kreditkartentransaktionen zu.
Die Schnittmenge der Teilnehmer ist riesig – schließlich bringt die Defcon den Spaß, den die
seriöse Black Hat vermissen lässt. Dazu Andreas Wuchner, beim Pharmariesen Novartis weltweit für
IT-Sicherheitsstrategien verantwortlich, gegenüber LANline: "Black Hat und Defcon sind für mich
schon seit Jahren Pflichttermine. Einerseits, um technisch fit und auf dem Stand der
Hacker-Forschung zu bleiben, andererseits, um Kollegen und Freunde wieder zu treffen."
Kreditkartendaten im Tausenderpack am günstigsten
30 Dollar für einen nicht zu entdeckenden Trojaner oder 400 Dollar für einen DDoS-Bot
(Distributed Denial of Service): Der Verkauf von Computerschädlingen und geklauten Daten nimmt
schwunghaft zu. Die Zeiten der von gelangweilten und geltungssüchtigen Kids zusammengezimmerten
Viren sind vorbei. Die Malware-Programmierer der Neuzeit verkaufen ihre Programmiertalent
meistbietend im Internet – Ebay für illegale Computerschädlinge. Dies ist eines der Ergebnisse, die
Dr. Thomas Holt von der Universität North Carolina (USA) mit seinem Team über ein Jahr lang
zusammengetragen hat. Er hat den gerade entstehenden Markt für Malware untersucht und seine
Ergebnisse für die Defcon 2007 in einem spannenden Vortrag zusammengefasst. So schätzt er, dass im
Jahr 2006 allein in den USA ein Schaden von 15 Millionen Dollar durch Viren und Trojaner verursacht
wurde. Nachdem dank immer besser funktionierenden Anti-Virenscannern kaum noch weltweite Viren-
oder Wurmepidemien von sich reden machen, bleiben als Verursacher nur geschickt programmierte
Schädlinge übrig, deren Wirkung weniger in die Breite zielt.
Diese werden in speziellen IRC-Kanälen oder in meist aus Russland stammenden Webforen zum Kauf
angeboten und von den Moderatoren der Foren getestet, bevor das Angebot online geht. Ist ein Käufer
zufrieden, gibt er seine Bewertung als Kommentar ab – beinahe wie auf Ebay. Laut Holt sind diese
Trojaner extrem vielseitig und werden von sehr geschickten, zum größten Teil russischen
Programmierern entwickelt. Dass die Trojaner von keinem Virenscanner entdeckt werden, ist Standard
auf dieser dunklen Seite des IT-Business.
Doch nicht nur Viren und Trojaner stehen zum Verkauf, sondern auch deren angesammelte Daten. So
kosten 8 MByte voller ICQ-Account-Namen sechs US-Dollar. Kreditkartendaten werden extrem günstig,
wenn man sie im Tausenderpack kauft: Lediglich ein paar Dollar pro gültiger Kartennummer werden
dann fällig. Der Preis für einen Windows-PC, auf dem ein Botnet-Zombie auf sein Erwachen wartet,
ist laut Holt gar nicht mehr messbar, da diese Rechner ohnehin nur im Tausender- oder
Zehntausenderpaket verkauft werden.
Javascript für Angreifer
Während beider Konferenzen lag einer der Schwerpunkte jeweils beim Thema "Angiffe per Browser".
Internetnutzer müssen sich keine Viren mehr herunterladen und auf obskure E-Mail-Anhänge klicken,
um ihren Rechner zu infizieren. Inzwischen reicht der Besuch einer bösartigen Webseite, damit dem
Browser – unbemerkt vom Anwender – Schadprogramme untergeschoben werden können. Liegen diese erst
einmal auf dem PC, kann sie der Angreifer aus der Ferne zum Leben erwecken und so beispielsweise
PIN- und TAN-Codes erhaschen oder die Login-Daten für E-Mail- oder Ebay-Konten abzweigen.
Besonders beliebt bei den Crackern sind millionenfach frequentierte Seiten wie myspace.com oder
youtube.com. Aufgrund der schieren Größe dieser Seiten ist es den Betreibern unmöglich, alle von
ihren Usern ins Netz gestellten Profile oder Videos zu checken. Der Cracker dankt es und präpariert
seine Seiten mit bösartigen Bestandteilen. Außerdem sind diese Webseiten einem der
Defcon-Referenten zufolge auch deswegen gut für Angriffe geeignet, weil sie technisch sehr komplex
und damit oft voller sicherheitsrelevanter Fehler sind.
Beinahe alle modernen Webseiten setzen auf Javascript (JS). Wird JS im Browser abgeschaltet oder
ist das Firefox-Plug-in "Noscript" aktiv, sind Seiten wie Youtube, Myspace, Gmail oder Hotmail zu
großen Teilen unbrauchbar. Wer Javascript jedoch aktiviert, läuft beispielsweise Gefahr, einem
Ebay-Betrüger aufzusitzen, der seine Verkäuferbewertung per Javascript in märchenhafte Regionen
tunt.
Extrem groß ist auch die Gefahr, Opfer eines XSS-Angriffs (Cross Site Scripting) zu werden. Bei
einer solchen Attacke pflanzt die Website des Angreifers dem Web-Surfer per Javascript eine lokale
HTML-Seite auf den Rechner und zeigt sie im Browser an. Diese Seite enthält den eigentlichen
Schadcode, der in diesem Fall mit den Benutzerrechten des gerade anmeldeten Users ausgeführt wird.
Auf der Defcon wurde gezeigt, dass sich auf diese Weise selbst komplexe Anwendungen wie ein
funktionstüchtiger Netzwerkscanner unbemerkt auf dem PC des Opfers installieren und ausführen
lassen. Da der angegriffene Rechner hinter der Firewall steht, hat der Angreifer kein Problem, die
Firewall zu umgehen und sich im internen Netzwerk so umzusehen, als wäre er vor Ort. Angesichts
solcher Demonstrationen wird klar, wie mächtig Javascript ist und welch ausgeklügelte Angriffe in
Zukunft zu erwarten sind.
Wie die Sicherheitsexperten Ben Feinstein und Daniel Peck auf der Defcon 2007 demonstrieren,
sind diese schädlichen Javascripts mit etlichen Methoden dagegen gesichert, von Virenscannern
erkannt zu werden. Die Skripte werden absichtlich auf teilweise krude Weise programmiert und
verbergen ihren Inhalt hinter Codes, die auf den ersten Blick wie Datenmüll aussehen, um den wahren
Daseinszweck vor einem menschlichen oder PC-basierten Analysten zu verbergen. Dem Surfer sei
deshalb angeraten, Javascript auszuschalten und nur in Ausnahmefällen wieder zu aktivieren.
Angriff per Audio- und Videostream
Der Sicherheitsexperte David Thiel vom kalifornischen IT-Sicherheitsunternehmen Isec Partners
demonstrierte auf der Black Hat, wie sich Audio- und Videodateien so manipulieren lassen, dass sie
als Angriffs-Tools dienen können. Das Verstecken von Schadcode in herkömmlichen Audio- und
Video-Streams birgt laut Thiel große Gefahren, da es keinen wirkungsvollen Schutz vor solchen
Angriffen gibt. Angesichts der massenhaften Verbreitung von Multimedia-Streams auf Seiten wie
Youtube oder Myspace rechnet Thiel mit einem riesigen Angriffspotenzial. Noch ist ihm allerdings
kein Angriff untergekommen, der auf dieser Technik beruht.
Wie leicht sich MP3- oder Ogg-Vorbis-Files als Lastentiere für Schadcode missbrauchen lassen,
zeigte Thiel anhand seines selbstgeschriebenen Phython-Programms "Fuzzbox". Das Tool nutzt die
Metadaten der Files wie die ID3-Tags von MP3-Dateien, um die bösartigen Programmzeilen auf den
Rechner des Opfers zu transportieren. Nachdem die Metadaten verändert wurden, berechnet das Tool
die Prüfsummen neu, so dass die Player die Datei als intakt akzeptieren. Welche Media-Player für
einen solchen Angriff anfällig sind, wollte Thiel noch nicht verraten. Er sei in Kontakt mit "
namhaften Herstellern" und wolle diesen die Chance geben, die Bugs zu bereinigen, bevor er die
Liste der fehlerhaften Player publik macht. Der Experte verriet jedoch bereits, dass sich auch
Speex-Dateien missbrauchen lassen. Diese Files werden in der Regel zur Sprachwiedergabe verwendet
und kommen etwa bei der Open-Source-VoIP-Telefonanlage Asterisk zum Einsatz.
Lesen Sie mehr zum Thema
