Experten warnen vor Hacking 2.0

Spezialisten haben auf der ‘Black Hat Conference 2007’ in Las Vegas über neue Hacker-Methoden und Sicherheitsgefahren informiert.

Demnach attackieren Cyberkriminelle immer öfter Firmen-Intranets. Ajax-Anwendungen geraten verstärkt ins Visier. Die Hacker zapfen zudem Web-2.0-Software über WiFi-Verbindungen an.

Nach Angaben von Jeremiah Grossman, CTO des Sicherheitsunternehmens WhiteHat Security, werden Techniken wie ‘Cross-Site Request Forgery’ (CSRF) und ‘Cross-Site Scripting’ (XSS) bislang vor allem dazu genutzt, um Online-Konten zu knacken. Künftig könnten die Hacker CSRF- und XSS-Angriffe jedoch vor allem gegen Firmen-Intranets richten, sagte er dem Branchendienst Infoworld.

Attacken dieser Art machten die Firewall quasi wirkungslos, so Grossman. Einige Unternehmen gingen mit internen URLs weniger sorgfältig um, als mit den externen URLs. Die Hacker könnten jedoch den Browser als Proxy nutzen, um Zugang zum Intranet zu erhalten, sagte Robert Hansen, Chef der Consulting-Firma SecTheory.

In den kommenden zwei Jahren dürften entsprechende Hacker-Tools auf den Markt kommen, prophezeite Grossman. Die Unternehmen sollten daher die internen Webseiten genauso schützen, wie sie das mit den externen Seiten tun. In einigen Fällen sei es sinnvoll, die internen URLs zu überprüfen und neu aufzubauen.

Billy Hoffman und Bryan Sullivan, Mitarbeiter des Sicherheitsunternehmens SPI Dynamics, zeigten, wie Hacker Ajax-Anwendungen (Asynchronous JavaScript and XML) attackieren. Zu diesem Thema hatte Hoffman bereits auf der Black Hat Conference 2006 gesprochen.

In diesem Jahr demonstrierten Hoffman und Sullivan anhand der fiktiven Web-2.0-Seite ‘HackerVacations.com’, wie einfach Angriffe auf Ajax-Anwendungen sind. Für den Bau der Seite nutzten sie populäre Tipps für die Ajax-Programmierung. Danach konnten sie die Flugreservierung und der Bezahlvorgang mit einem Überlastungsangriff (Denial of Service) manipulieren sowie einen Zugriff auf die Backend-Datenbanken erzwingen. Laut Hoffman und Sullivan mangelt es den Ajax-Entwicklern an Erfahrung und Wissen darüber, wie sie Web-2.0-Seiten sichern können.

Die Unternehmen sollten daher Authentifizierungs-Tools einsetzen und Software-Schwachstellen schnell schließen, hieß es. Die Firmen sollten Ajax nur dort verwenden, wo es unbedingt notwendig sei, sagte Sullivan. “Wenn sie 80 bis 90 Prozent ihrer Seiten in Ajax vorhalten, ist das keine gute Idee.”

SecTheory-Chef Hansen nahm Ajax dagegen in Schutz. Die gezeigten Attacken könnten gegen die allermeisten Web-Applikationen ausgeführt werden, sagte er. “Ajax ist nur eine andere Straße, auf der die Hacker jetzt einfallen können.”

Robert Graham, CEO des Sicherheitsunternehmens Errata Security und David Maynor, CTO von Errata, warnten unterdessen davor, Web-2.0-Anwendungen über WiFi-Verbindungen aufzurufen. Hacker könnten einen ‘Packet Sniffer’ einsetzen, um die in Cookies auf den Rechnern abgelegten Informationen anzuzapfen. Die Daten könnten sie dann verwenden, um sich in die Online-Konten der Anwender einzuloggen.

Die Gefahr betreffe nicht nur Consumer-Seiten wie Facebook, sondern auch SaaS-Angebote (Software as a Service) wie Salesforce.com. Viele dieser Seiten nutzten zwar verschlüsselte Passwörter. Dennoch sei es möglich, den WiFi-Datenverkehr mitzuschneiden. Cookies enthielten Informationen wie den ‘Session Identifier’, die Kriminelle nutzen könnten, um Zugangsdaten zu rekonstruieren. “Die Anwender sollten WiFi nur über ein VPN oder mit SSL nutzen”, so Graham und Maynor.