Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

03.01.1997 - 

US-Forscher warnen vor neuer Internet-Sicherheitslücke

Web-Spoofing gaukelt falsche Tatsachen vor

Web-Spoofing hat das Team um Edward Felten einen Typ von Internet-Attacke getauft, der bisher wenig beachtet wurde. Grundsätzlich geht es bei dem Angriff darum, daß Daten und Informationen sich auf anderen Servern befinden, als der arglose Benutzer glaubt.

Ein potentieller Angreifer schaltet dazu seinen Server zwischen das eigentliche Zielsystem und den Rechner des Anwenders. Auf seinem System erstellt er eine täuschend echte Kopie der Daten, die er komplett kontrollieren und für seine Belange modifizieren kann. Danach hat er nach Belieben die Möglichkeit, vom Benutzer verschickte Informationen abzufangen oder zu manipulieren.

Die Uniform Resource Locators (URLs) auf dem ursprünglichen Ziel verändert der Hacker so, daß sie auf die Kopien in seinem System verweisen. Daraufhin landet ein Ahnungsloser ungewollt auf der vorgetäuschten Maschine. Weitere Möglichkeiten Opfer anzulocken, sind etwa das Plazieren von Links in das falsche Web auf vielfrequentierten Seiten, das Publizieren der Links im Usenet oder per E-Mail sowie im Index populärer Search-Engines.

Der Hacker kann sämtliche Transaktionen mitschneiden. Auf diesem Wege vermag er sich Paßwörter oder etwa Kreditkartennummern zu verschaffen. Das funktioniert auch dann, wenn der Benutzer eine vermeintlich sichere Verbindung über den Secure Sockets Layer (SSL) gewählt hat beziehungsweise im Browser eine solche angezeigt wird. Die sichere Verbindung besteht tatsächlich allerdings zum falschen Server, nämlich zu dem des Angreifers.

Da die meisten Transaktionen im Web über HTML-Formulare ablaufen, kann der Angreifer an dieser Stelle Informationen nicht nur abhören, sondern auch die Daten verändern. Bei einer Warenbestellung kann er beispielsweise die Artikelnummer, Menge oder Lieferadresse für seine Zwecke ummodeln.

Da das ganze Web online zur Verfügung steht, kann ein solcher Angreifer dieses einfach nachbilden. Er braucht dazu nicht eine komplette Kopie auf seinem System vorzuhalten, sondern kann Seiten genau dann auf seinen Server holen, wenn er sie aktuell benötigt.

Die Anzeige der URLs in der Statuszeile des Browsers und beim Bewegen des Cursors auf Hyperlinks der gefälschten Seiten würde die falschen Adressen normalerweise preisgeben. Über simple "Javascript"-Programme kann der Betreiber des imitierten Web die Anzeige verändern und dadurch austricksen.

Einzig der Blick in den HTML-Sourcecode der Dokumente oder das Anzeigen der Dokument-Informationen kann Klarheit darüber verschaffen, wo eine Seite sich tatsächlich befindet. Beide Möglichkeiten werden im Alltag praktisch nie genutzt und stellen daher für den Hacker keinen Grund zur Beruhigung dar.

Die Autoren empfehlen als Gegenmaßnahmen gegen das Web-Spoofing die ständige Kontrolle der Status- und Adreßzeile des Web-Browsers. Vor allem aber sollen ihrer Ansicht nach Anwender Javascript, Active X und Java in ihrem Browser tunlichst deaktivieren, weil diese die Verschleierung eines Spoofing-Angriffs extrem vereinfachen. Zwar geht dadurch einige Funktionalität verloren. Bei Bedarf können aber die Zusatzfunktionen auf bestimmten vertrauenswürdigen Seiten, die dies erfordern, jederzeit temporär aktiviert werden. Ein Mittel, das das Spoofing grundsätzlich verhindert, gibt nach Ansicht der SIP-Forscher bislang jedoch nicht.

Detaillierte Informationen zum Thema Web-Spoofing finden sich im Internet unter http://www.cs.princeton.edu/sip/. Dort kann auch der entsprechende Technical Report als Postscript-File und als Winword-Dokument heruntergeladen werden.