computerwoche.de

Security

Security-Tool macht Surfer zu Hacker-Handlangern

21.03.2007
Ein Sicherheitsexperte hat herausgefunden, wie Hacker die Rechner ahnungsloser Online-Nutzer dazu missbrauchen können, ihre Schmutzarbeit zu erledigen.

Möglich sei dies mit einem neuen Sicherheitswerkzeug namens "Jikto", erklärte Billy Hoffman, Forscher bei der Web-Security-Firma SPI Dynamics und Erfinder des Tools, gegenüber dem Branchendienst "Cnet". Das in JavaSkript geschriebene Tool untersucht Web-Seiten nach Schwachstellen, während der ahnungslose PC-Nutzer im Internet surft. Hoffman, der Jikto entwickelt hat, um die Web-Sicherheit voranzutreiben, will das Werkzeug in dieser Woche auf der US-Hacker-Veranstaltung "ShmooCon" präsentieren.

"Das wird die Bandbreite dessen, was man mit JavaScript an Bösartigem tun kann, drastisch erweitern", so Hoffman. Jikto verwandle jeden PC in eine Art Drohne, die im Auftrag eines Dritten Web-Sites attackiere und diesem die Resultate zukommen lasse.

Mit dem Aufkommen von Online-Applikationen haben Hacker zunehmend Interesse daran gezeigt, die Web-Sicherheit zu untergraben. Zwar gibt es Schwachstellen wie Cross-Site-Scripting-Bugs oder SQL-Injection-Fehler bereits seit Jahren. Sicherheitsprobleme wie diese werden jedoch zunehmend häufiger gemeldet - und ausgenutzt.

Bei Jikto handelt es sich um einen Vulnerability-Scanner für Web-Applikationen, der sich in die Site eines Angreifers einbetten oder - unter Ausnutzung eines Cross-Site-Scripting-Fehlers - in vertrauenswürdige Seiten injizieren lässt. Dass Schwachstellenscanner Kriminellen als Werkzeug dienen, ist an sich nichts Neues. In der Hackerszene gern und häufig verwendet wird beispielsweise das Tool "Nikto", das Web-Applikationen auf Fehler untersucht. Im Unterschied zu Nikto, einer herkömmlichen PC-Anwendung, läuft Jikto im Browser und verteilt die Aufgabe der Bug-Suche auf eine Vielzahl von Rechnern.

Jikto könne eine Vielzahl gängiger Sicherheitslecks aufspüren und dann mit seinem Controller Verbindung aufnehmen, um Anweisungen entgegenzunehmen, welche Web-Seiten er attackieren und nach welchen Fehlern er suchen soll, erläutert Hoffmann gegenüber "Cnet". So ließe sich das Tool beispielsweise so programmieren, dass es die Sites führender Banken nach SQL-Injection-Fehlern durchforste. Letztere können schwerwiegend sein und Datenbanken für Angriffe öffnen.

Etwa die Hälfte der Arbeit beim Hacking besteht laut Hoffman aus dem Sammeln und Sortieren von Informationen - diese Aufgaben könne ein Angreifer nun auf viele Leute verteilen. Obendrein sei die Identität des Hackers für die angepeilte Web-Seite nicht erkennbar, da sie ja von einem ahnungslosen Web-Surfer untersucht werde.

Das in JavaScript geschriebene Jikto läuft in den meisten Browsern ohne Warnung. Internet-Nutzer, die auf einer mit dem Tool behafteten Web-Seite landen, bemerken aller Wahrscheinlichkeit nichts davon: Das Tool ist aktiv, solang der Browser geöffnet ist und verschwindet hernach, ohne eine sichtbare Spur zu hinterlassen. Auch unterscheidet sich Jiktos Wirken von so genannten Botnet-Aktivitäten. Dabei werden PCs üblicherweise über Lecks im Browser oder mittels Trojaner-Mails gekapert und dann im Verbund mit anderen "Bots" ferngesteuert. Mit einem gepatchten Browser, umsichtigem E-Mail-Verhalten sowie aktualisierter Sicherheitssoftware können sich Nutzer im Normalfall vor Übergriffen durch Bot-Software schützen.

Gegen Jikto oder andere JavaScript-basierende Bedrohungen hingegen könne der Nutzer wenig ausrichten, gibt Hoffman zu bedenken. Nachdem es sich dabei weder um einen Trojaner noch um eine herkömmliche Hintertür handle, könne Virenschutz hier kaum helfen.

Bislang spürt Jikto lediglich Schwachstellen auf. Eine nächste Version, an der Hoffman eigenen Angaben zufolge bereits arbeitet, soll Verwundbarkeiten aber auch ausnutzen und Daten extrahieren können. Besagtes Jikto-Release will der Experte möglicherweise schon auf der US-Hacker-Konferenz Black Hat im Sommer vorstellen. (kf)