Dipl.-Inform. Carsten Eilers

Im Artikel gibt es eine ziemlich willkürliche Auswahl einiger Forschungsergebnisse, es gab auf den Sicherheitskonferenzen noch eine ganze Reihe weiterer Vorträge zu Schwachstellen in und Angriffen auf Webbrowser und Webclients. Da ich nicht alle vorstellen konnte, habe ich versucht, eine breit gestreute Mischung zu präsentieren.

„In the wild“ beschränken sich die Angriffe zum Glück weitgehend auf die Verbreitung von Schadsoftware durch Drive-by-Infektionen und Angriffe auf das Onlinebanking im Browser. Wozu es übrigens auch Vorträge gab, z.B. über das Austricksen der Virenscanner durch den Schadcode [14] oder um die Möglichkeiten der Scanner, Angriffe zu erkennen [15]. Sie sehen also: Da tut sich einiges.

Und nun stellen Sie sich mal vor, die Cyberkriminellen fangen an, im großen Stil Webanwendungen anzugreifen . Ein Angreifer, der Schadcode in den Client einschleusen kann, kann im Namen dessen Benutzer im Rahmen der Webanwendung agieren und alles tun, was der auch tun kann.

Möglich wäre so etwas schon lange, das Konzept eines „Rootkits im Webclient“ wurde schon 2011 von Artur Janc auf dem 28C3 vorgestellt [16], und seitdem sind die Webclients noch viel mächtiger geworden. Und die obigen Beispiele haben ja gezeigt, dass auch eigentlich als sicher betrachtete Daten ausgespäht werden können.

Was macht man denn da?

Als Benutzer können Sie nur System, Browser und PlugIns aktuell halten, um Angriffe über bekannte Schwachstellen darin zu verhindern.

Webentwickler sollten darauf achten, dass ihre Webanwendungen keine Schwachstellen enthalten.

Und Webadministratoren sollten alle verfügbaren Schutzmaßnahmen wie z.B. die CSP nutzen, auch wenn die wie oben zu lesen war nicht immer wirksam sind.

Und hier noch die Links und Literaturverweise aus dem Artikel:

• [1] Carsten Eilers: "Drive-by-Infektionen - Gefahren drohen überall"
• [2] Matt Molinyawe, Jasiel Spelman, Abdul-Aziz Hariri, Joshua Smith; Black Hat USA 2016: "$hell on Earth: From Browser to System Compromise" (Video auf YouTube)
• [3] Michele Spagnuolo, Lukas Weichselbaum; Hack in the Box Amsterdam 2016: "CSP Oddities"
• [4] Cure5: "H5SC Minichallenge 3: "Sh*t, it's CSP!""
• [5] CSP Evaluator
  Artur Janc, Michele Spagnuolo, Lukas Weichselbaum, David Ross; Google Security Blog: "Reshaping web defenses with strict Content Security Policy"
• [6] W3C: "Implementation Report for Content Security Policy Level 2"
• [7] Rafay Baloch; Black Hat Asia 2016: "Bypassing Browser Security Policies for Fun and Profit"
  Rafay Baloch; Learn How To Hack - Ethical Hacking and security tips: "Bypassing Browser Security Policies For Fun And Profit (Blackhat Asia 2016)"
• [8] Carsten Eilers: "Firesheep - unverantwortlich oder dringend nötig?"
• [9] Suphannee Sivakorn, Jason Polakis; Black Hat USA 2016: "HTTP Cookie Hijacking in the Wild: Security and Privacy Implications" (Video auf YouTube)
• [10] Nethanel Gelernter; Black Hat USA 2016: "Timing Attacks Have Never Been So Practical: Advanced Cross-Site Search Attacks" (Video auf YouTube)
• [11] Timothy Morgan, Jason Morgan; Black Hat USA 2015: "Web Timing Attacks Made Practical" (Video auf YouTube)
• [12] Ran Dubin; Black Hat Europe 2016: "I Know What You Saw Last Minute - The Chrome Browser Case"
• [13] Yaoqi Jia; Black Hat Asia 2015: "I Know Where You've Been: Geo-Inference Attacks via the Browser Cache" (Video auf YouTube, Whitepaper als PDF)
• [14] Jakub Kaluzny, Mateusz Olejarka; Black Hat Asia 2015: "Bypassing Malware Detection Mechanisms in Online Banking" (Video auf YouTube)
• [15] Sean Park; Black Hat USA 2015: "Winning the Online Banking War" (Video auf YouTube)
• [16] Carsten Eilers: "Cross-Site Scripting im Überblick, Teil 5: Resident XSS"

Carsten Eilers