Ein externer Angreifer, der auf das Web-basierte Administrations-Interface
des lokalen Routers zugreifen kann, und das womöglich auch noch interaktiv
- das klingt eigentlich ziemlich unmöglich. Genau das hat aber Craig
Heffner auf der Konferenz "Black Hat USA 2010"
gezeigt.
Besonders erstaunlich ist, dass es sich dabei eigentlich nur um die
Kombination einiger altbekannter Angriffe und Schwachstellen, insbesondere
DNS-Rebinding, handelt. Auch eigentlich längst als erledigt geglaubte
Angriffe oder Schwachstellen sind also immer noch für eine
Überraschung gut
(Paper
und
Präsentation
als PDF).
In dieser Folge gibt es eine Beschreibung der Grundlagen des Angriffs, d.h.
der alten Angriffe und Schwachstellen, in der nächsten Folge dann die
des eigentlichen Angriffs sowie mögliche Gegenmaßnahmen.
Md Sohail Ahmad von AirTight Networks hat eine Schwachstelle in der
Spezifikation des WLAN-Sicherheitsprotokolls WPA2 entdeckt: Die "Hole196"
genannte
Schwachstelle
erlaubt es einem Benutzer, der den Broadcast-Schlüssel GTK (Group
Temporal Key) kennt, als Access Point getarnt eigene Brodcast-Pakete zu
versenden und Antworten darauf zu entschlüsseln.
Das Erkennen und Abwehren von Drive-by-Infektionen bildet den Abschluss
dieses Themas. Der Benutzer bemerkt im Allgemeinen nichts von einer
Drive-by-Infektion. Evtl. stürzt irgendwann der Webbrowser oder eine
der Komponenten ab, die Schadsoftware selbst verhält sich aber meist
vollkommen unauffällig. Eine Ausnahme stellt dabei Scareware dar, die
den Benutzer durch die Warnung vor nicht vorhandenen Gefahren zum Kauf
eines Fake-Virenscanners verleiten soll. Auch den präparierten
Webseiten sieht man die Bedrohung i.A. nicht an. Falls ein iframe für
das Einschleusen des Schadcodes verwendet wird, wird er durch Verwenden
einer Höhe oder Breite von 0 vor dem Benutzer verborgen, die
script-Tags fallen einem normalen Benutzer sowieso nicht auf.
Daher kann der Benutzer selbst fast nichts gegen die Angriffe unternehmen.
Wird das Fenster, in dem der bösartige JavaScript-Code läuft,
geschlossen, wird der Angriff zwar beendet, aber bis es dazu kommt ist es
i.A. schon zu spät und der Schadcode installiert. Der Benutzer muss
also schon im Vorfeld aktiv werden und vor allen Dingen ...
In der
vorhergehenden Folge
wurde der Anfang einer Drive-by-Infektion beschrieben: Die Seite, die die
verschiedenen Exploits einbindet, mit denen dann versucht wird, den
Rechner des Besuchers mit Schadsoftware zu infizieren, sowie ein erster
dieser Exploits. In dieser Folge werden zwei weitere Angriffe vorgestellt.