Diplomarbeit

Der als Web 2.0 bezeichnete Schmelztiegel aus miteinander verknüpften Web-Techniken, die Informationen gemeinsam nutzen und in Echtzeit aktualisieren, entpuppt sich nach einem Bericht der “Financial Times” als fruchtbarer Boden für Hacker, die versuchen, diesen Mix mit bösartigem Code zu infiltrieren.
Noch bis vor nicht allzu langer Zeit war Microsoft aufgrund der Schwachstellen in seinem Textverarbeitungsprogramm, Browser und Betriebssystem primäre Zielscheibe für Cyber-Kriminelle. Mittlerweile verschiebt sich der Fokus von Desktop- auf Web-getriebene Applikationen, so dass sich die Attacken zunehmend auf Google, Yahoo oder MySpace verlagern.
BROWSER ERSETZT DESKTOP
Bei Web 2.0 findet die Aktion im Browser statt. So können etwa Google-Nutzer heute ebenso Tabellen ausfüllen, Texte produzieren sowie ihren Kalender und ihren E-Mail-Eingang aktualisieren wie mit Microsofts festplattenbasierender Office-Suite. Der entscheidende Unterschied: Die Informationen sind in Web-Seiten eingebettet, die Googles Server an den Browser des Nutzers schicken - meist der Internet Explorer oder Firefox.
Darüber hinaus steht Web 2.0 für Social Software wie Wikis, Blogs, RSS-Feeds und Community-Sites. Es handelt sich hierbei um eine freizügige Gesellschaft, die Nutzern erlaubt, Informationen “auszuleihen”, Daten hinzuzufügen beziehungsweise miteinander zu vermischen. Diese Techniken und Tools gewähren neue Freiheiten, stellen aber gleichzeitig ein noch jungfräuliches Terrain für Virenschreiber und Identitätsdiebe dar.
Was Malware-Entwickler an Web 2.0 anzieht, ist nicht zuletzt die Komplexität der im Hintergrund laufenden Prozesse. Ajax (Asynchronous JavaScript and XML) ist der Oberbegriff für eine Vielzahl von Techniken, die Web-Pages zu mehr Interaktivität verhelfen. “Es gibt etwa 100 verschiedene Methoden, Javascript zu kodieren, bei Firefox und Explorer sind es jeweils 50″, so H. D. Moore, Security Research Director bei BreakingPoint Systems, gegenüber der “Financial Times”. Das Problem: Guter und schlechter Code lassen sich nur schwer voneinander unterscheiden.
INTERAKTIVITÄT SCHAFFT ANGRIFFSFLÄCHEN
“Schlechter Code” traf Yahoos Web-Mail-Service im Juni, als ein Virenschreiber eine E-Mail mit eingebettetem Javascript-Code verbreitete. Yahoo Mail erwies sich als verwundbar gegenüber der als Wurm Yamanner bezeichneten Malware, da es die Ausführung von Javascript zuließ. Jeder, der die Mail öffnete, aktivierte das Skript, das den Schädling daraufhin an alle im Adressbuch des Nutzers aufgeführten Kontakte versendete. Das Ziel war offenbar, Adressen für Spam-Listen zu sammeln. “Ohne Ajax wäre Yamanner nicht möglich gewesen”, gibt Billy Hoffman, Sicherheitsforscher bei SPI Dynamics zu bedenken.
Eine ähnliche Schwachstelle in Googles RSS-Reader kam im vergangenen Monat ans Licht. Google nutzt Javascript, um es Nutzern zu ermöglichen, ihren Reader um News-Feeds zu erweitern. Einem Sicherheitsexperten gelang es, Daten an die News-Feed-Adresse anzuhängen und so den Browser an eine andere Seite zu leiten. Mit böswilliger Absicht hätte dies eine Phishing-Seite sein können, die dann versuchen würde, den Besucher zur Preisgabe sensibler Daten zu bewegen.
Diese Codierungsschwächen in Web 2.0 werden als “Cross-Site-Scripting” oder XSS-Schwachstellen bezeichnet. Bestes Beispiel eines XSS-Lecks war ein Angriff auf MySpace im Oktober 2005, der dazu führte, dass die mit derzeit 54 Millionen Nutzern weltweit größte Community-Site für mehrere Stunden vom Netz genommen werden musste, um einen Wurm los zu werden.
FILTERUNG ALLER SKRIPTE
“Was MySpace, Google und Yahoo Probleme macht, ist XSS”, bestätigt Alex Stamos, Principal Partner bei dem Security-Unternehmen iSEC Partners. Abhilfe schaffen lasse sich durch das Filtern aller eintreffenden und ausgehenden Skripte. In der traditionellen Web-1.0-Welt, die im Prinzip eine große Standard-HTML-Web-Seite darstellte, sei das Fernhalten dieser Skripte noch eine übersichtliche Aufgabe gewesen. Mit Web 2.0 hingegen ist die Anzahl der Einfallsmöglichkeiten stark gestiegen, was die Skript-Abwehr deutlich erschwert. Aus diesem Grund sollten Entwickler von Web-Applikationen nicht länger auf Filter von der Stange zurückgreifen.
“Web-Entwickler müssen umerzogen werden”, betont auch SPIs Hoffman. Er erachtet den Hype um Ajax in diesem Kontext als problematisch: Viele Leute würden heute einfach ein Buch zum Thema “Ajax in 24 Stunden beherrschen” lesen - und dann eine Web-Seite kreieren, die angreifbar sei. Solche “Start-ups” nutzten so genannte Ajax Frameworks beziehungsweise “Ready-to-run-Web-2.0-Pakete”. “Die Idee dahinter: Man muss nicht verstehen, wie es funktioniert”, erläutert Stamos gegenüber der Financial Times. “Wer jedoch nicht versteht, wie Ajax funktioniert, weiß auch nicht, wie man es sicher einsetzt”, warnt der Sicherheitsexperte.

Von: Katharina Friedmann (Redakteurin der www.Computerwoche.de

Quelle: http://www.intranetberater.de/index.php?op=profarticle_detail&id=124