Massive Sicherheitslücken im Internet
© pexels/asif pavNamenlose Cookies gefährden die Internetsicherheit. Ein Forschungsprojekt der TU Wien widmet sich der Thematik und analysiert Zusammenspiel mit Webframeworks und Software.
(red/czaak) Das Internet hat sich in den letzten Jahren technisch stark verändert und daraus resultieren auch neue Sicherheitsprobleme. Das IT-Sicherheitsteam der TU Wien analysierte nun Sicherheitslücken, die sich durch das Zusammenspiel von Cookies und Webframeworks (Anm. Softwarepakete zum raschen Erstellen von Webseiten) ergeben. Ergebnisse zeigen, dass es bei Browsern und Servern Fehler bei der Verarbeitung von Cookies gibt.
Immer komplexere Codes
Diese Fehler können es dann erlauben, dass durch Attacken von außen Zugriff auf persönliche Accounts und die Durchführung unautorisierter Aktionen ermöglicht wird. „Die internationale IT-Sicherheitscommunity arbeitet nun an der Behebung dieser Lücken. Bei zwei der renommiertesten Sicherheitskonferenzen in Las Vegas und Anaheim (Kalifornien) wurden die Erkenntnisse nun erstmals präsentiert“, so die TU Wien in einer Aussendung.
Der Zugang zu geschützter Information im Internet wird oftmals mit einer Tür mit Schloss verglichen: Wer den Schlüssel hat, oder gefinkelte Tricks kennt, kommt hinein. Heutzutage ist die Sache noch komplexer: Es gibt nicht das eine, wohldefinierte „Schloss“, sondern eine Vielzahl von Codes, die auf komplexe Weise zusammenspielen und von vielen Leuten laufend verändert werden.
Komplexes Zusammenspiel verschiedener Komponenten
„Früher war das Internet bloß eine Distributionsplattform für Information. Heute ist es eine Distributionsplattform für Apps und Codes“, sagt Marco Squarcina vom Institut für Logic und Computation der TU Wien. Viele Webseiten basieren auf sogenannten Frameworks, eine Software mit zahlreichen Funktionen, damit nicht jeder wiederkehrende Schritt bei der Webseitenentwicklung jedes Mal neu programmiert werden muss. Mit Software arbeiten auch die Webserver, die sich über die Jahre ändert, dasselbe gilt für die Browser.
„Oft entstehen Sicherheitsprobleme erst durch dieses komplexe Zusammenspiel verschiedener Komponenten“, ergänzt Squarcina. „Es kann sein, dass zwei dieser Komponenten für sich alleine betrachtet fehlerfrei arbeiten und sich an alle allgemein akzeptierten Vorgaben halten, doch wenn man sie kombiniert, ergeben sich plötzlich Lücken“, so der TU-Experte. Diese Lücken können etwa dazu führen, dass Angreifer von außen eine Web-Session übernehmen können und sich gegenüber einem Server als ein anderer Benutzer ausgeben können – etwa als legitimer Besitzer eines bestimmten Bankkontos.
Die Cookies ohne Namen und falsche Identitäten
Das Team der TU Wien beschäftig sich insbesondere mit Cookies – kleinen Datenportionen, die zwischen Server und Browser ausgetauscht werden, etwa um individuelle Nutzerdaten für den nächsten Besuch einer Webseite zu speichern. „Die gefundenen Sicherheitslücken haben uns regelrecht schockiert“, so Marco Squarcina. Cookies haben meist einen Namen, technisch sind aber auch namenlose Cookies erlaubt. In diesem Fall versagen dann gewisse Sicherheitsmaßnahmen. "Der Angreifer besucht eine legitime Website und erhält eine Sitzungskennung, um mit dem Server zu kommunizieren", erklärt Marco Squarcina.
Squarcina weiter: "Das Opfer wird dann zu einer kompromittierten Subdomain geleitet und diese Seite tauscht das Sitzungscookie im Browser des Opfers gegen das Sitzungscookie des Angreifers aus. Wenn sich das Opfer nun erneut bei der ursprünglichen/ersten Domain anmeldet, kann sich der Angreifer ebenfalls anmelden - weil nun ja beide dieselbe Sitzungskennung verwenden.“ So kann der Angreifer eine falsche Identität annehmen, mit dem Webserver kommunizieren, als ob er das Opfer wäre, und unerwünschte Aktionen durchführen oder Zugang zum Website-Konto des Opfers erhalten.
Keine zentrale Sicherheitsbehörde
Die TU-Forscher erläutern die Thematik am Beispiel von Autos, wo klare gesetzliche Sicherheitskriterien gelten. Im Internet ist es komplizierter. „Webstandards werden von internationalen Organisationen verfasst und von Experten überprüft, aber es liegt in der Natur des Internets, dass es keine zentrale Behörde gibt, die durchsetzt, dass diese Standards allgemein übernommen werden. Und manchmal liegen die Probleme auch in der Norm selbst", sagt Marco Squarcina. "Wenn wir Sicherheitslücken wie die angeführte entdecken, diskutieren wir mit allen betroffenen Parteien mögliche Lösungen.“
Große Unternehmen wie Google hätten eigene kundige Sicherheitsteams, „bei kleinen Open-Source-Projekten ist die Problemerörterung aufwändiger.“ Die wichtigsten Sicherheitslücken rund um die an der TU Wien entdeckten Probleme hält Marco Squarcina nun für geschlossen, gewisse Gefahren bleiben aber noch bestehen. Bei zwei wichtigen US-Sicherheitskonferenzen präsentierte Squarcina seine Erkenntnisse nun der internationalen Community – das soll auch das weltweite Bewusstsein schärfen und die Lücken nachhaltig schließen.
