Die Black Hat konzentrierte sich in diesem Jahr auf die Sicherheit von Anwendungen. Die thematische Verschiebung des Hacker-Events in Las Vegas spiegelt den Bedrohungswandel im IT-Umfeld wider: Gezielte Angriffe auf Applikationslücken drängen Malware-Attacken durch generische Internet-Viren allmählich in den Hintergrund. Der Trend zu interaktiven und dynamischen Browser-Anwendungen hat 2006 stark zugenommen. Katalysator dafür ist nicht zuletzt die Technik "Asynchronous JavaScript and XML" (Ajax), die Web-Anwendungen "Flügel verleihen soll" und mittlerweile von vielen Herstellern im Rahmen ihrer Entwicklungswerkzeuge unterstützt wird. Doch wo Licht ist, ist auch Schatten, wie auf der Konferenz betont wurde. Dort mahnten Experten, bei Geschäftsanwendungen besser die Finger von Ajax zu lassen.

Lieber ohne Ajax

Billy Hoffman und Bryan Sullivan von SPI Dynamics präsentierten eine Vielzahl von Attacken, die möglich sind, wenn Entwickler den Ratschlägen selbst seriöser Blogs folgen oder die auf Websites und Manuals gefundenen Skripte verwenden. Trotz der Möglichkeiten, die damit verbundenen Sicherheitsrisiken einzudämmen, empfehle sich in letzter Konsequenz eine Ajax-Abstinenz.

Das Problem von Ajax sei JavaScript, das die Browser-seitige Logik einer Applikation mehr oder weniger kryptisch als reinen Text darstellt, der von Hackern gelesen und modifiziert werden kann. Als Beispiel zeigten die SPI-Männer ein manipuliertes Flugbuchungssystem, bei dem der Ajax-Aufruf zur Bezahlung abgeschaltet, der Buchungsbefehl jedoch weiterhin aktiviert war. In einem anderen Fall wurde die Schwachstelle einer Ajax-basierenden Shop-Anwendung dahingehend ausgenutzt, dass sich auf der Client-Seite die Preise verändern ließen. Viele Entwickler von Web-Applikatio-nen sind sich nicht bewusst, so die Spezialisten, dass mit Ajax im Prinzip ein ganzes Bündel von Server-APIs öffentlich zugänglich gemacht wird. Das im Browser ablaufende JavaScript beschreibe zwar genau, wie diese Schnittstellen aufzurufen und zu nutzen sind. Für Hacker sei dies jedoch die Einladung, Veränderungen vorzunehmen.

Einfallstor Intranet

Einen vom Gros der Unternehmen stark unterschätzten Angriffsvektor stellt nach den Black-Hat-Darbietungen der beiden Sicherheitsforscher Jeremiah Grossmann und Robert Hansen das Firmen-Intranet dar. Aufgrund neuer Hacking-Techniken sei es ein Leichtes, interne Web-Seiten zu infiltrieren. "Im Grunde verhält es sich dabei so, als gebe es keine Firewall", warnt Grossmann, Gründer und CTO von WhiteHat Security. So könnten Angreifer mit Hilfe aufkommender Angriffstechniken wie Cross-Site Request Forgery (CSRF) in vermeintlich sichere Internet-Sessions einbrechen und heimlich Passwörter sowie Details zur Browser-Historie abgreifen.

Bei CSRF-Attacken versuchen Hacker ähnlich wie beim traditionellen Phishing oder bei Cross-Site-Scripting-Angriffen (XSS), den User zum Laden einer bösartigen Web-Seite zu bewegen. Ihr Ziel ist, Identität und Rechte des Opfers zu missbrauchen, um etwa dessen Applikations-Passwörter zu ändern und so Zugriff auf das Intranet oder auf Banken-Sites zu erlangen beziehungsweise sich in E-Commerce-Sites einzuloggen und unter dem Namen des Opfers einzukaufen.

In den kommenden 18 Monaten dürften Hacker die Forschungsgemeinde eingeholt haben und die neuen Methoden in der Praxis ausprobieren. Daher müssten Firmen ihre internen Web-Seiten ebenso sorgfältig absichern wie ihre öffentlichen URLs, mahnt Hansen von SecTheory. Dabei sollten Letztere keinerlei Zugriff auf das Intranet erhalten - ein weiteres verbreitetes Mittel, mit dem sich Hacker dem Experten zufolge Zugang zu Firmensystemen verschaffen.

An der Firewall vorbei

Neben neuen Tücken kamen in Las V egas auch bereits bekannte Schwachstellen auf den Tisch: Laut Dan Kaminsky, Director des auf Penetrationstests spezialisierten Unternehmens IO Active, müssen sich IT-Verantwortliche mit einem rund zehn Jahre alten Sicherheitsproblem im Zusammenspiel von Browser-Software und dem Domain Name System (DNS) des Internets erneut auseinandersetzen. Nach seinen Ausführungen ermöglicht die Schwachstelle Zugriff auf jegliche, hinter der Firmen-Firewall befindliche Ressourcen. Mittel zum Zweck ist ein mehrstufiger Angriff, durch den sich Firmennetze nach Daten oder Lücken scannen lassen. Im Mittelpunkt seiner Präsentation stand eine Analyse der Princeton University von 1996. Darin schildern Wissenschaftler, wie ein Java-Applet den Zugriff auf Systeme im Netz des Opfers ermöglicht.

Das erneut aktue Problem ist laut Kaminsky, dass Browser-Software über die Vertrauenswürdigkeit von Systemen anhand ihres Internet-Domain-Namens entscheidet. DNS-Informationen ließen sich aber missbrauchen, so der Experte. (kf/ue)