Das ganz normale Chaos, täglich frisch auf den Tisch. Direkt aus der hintersten Provinz in die Metropolen von Groß-Blogistan.


Paranoia

Wed, 01 Jul 2009 09:43:43 +0200

Ja, vermutlich bin ich paranoid. Allerdings muss ich zugeben, dass seit der Zeit. als ich noch als Internet Security Consultant gearbeitet habe, doch eine Menge Wasser den Rhein runter geflossen ist. Lang, lang ist's her. Dennoch habe ich mir seit damals ein paar Grundprinzipien behalten.

Zu diesen Prinzipien passt sehr gut die Firefox Erweiterung NoScript, die viele der üblichen Angriffe blockt. Nicht nur, aber auch bei mir ist deshalb NoScript auf jeden Fall aktiv, und ziemlich restriktiv konfiguriert.

Anlässlich des neuesten Updates habe ich mal die eine oder andere Beschreibung von Angriffen durchgelesen. da können einem echt die Haare zu Berge stehen. Da wäre zum Beispiel CSRF. Und das funktioniert so:

  1. Lieschen Müller hat gerade bei der Bank ihres Vertrauens eine online-Überweisung veranlasst. Dazu hat sie sich korrekt bei der Bank ausgewiesen. Lieschen Müller ist aber noch nicht fertig. Sie tätigt noch eine Überweisung und noch eine und noch eine. Jedes Mal wieder sich ausweisen zu müssen ist lästig. Also speichert die freundliche Bank die Authentifizierung in einem Cookie.
  2. Paul Hacker will nun an ihr Geld. Er schickt ihr also z.B. eine html e-mail, die unter Anderem einen Dienst referenziert auf Lieschens Bank. Also, sagen wir einen Service, der eine Überweisung ausführt. Die Referenzierung geschieht über eine URL, ganz so, wie das durch den submit-Button durch Lieschen ebenfalls gemacht wird. Paul kann diese URL aber nicht einfach aufrufen, denn er kann sich bei der Bank nicht als Lieschen ausweisen. Also muss Lieschen das für ihn tun.
  3. Paul schickt Lieschen also besagte html e-mail, in der angeblich ein Bild eingebettet ist. Das Mailprogramm versucht nun, dieses Bild zu laden. Die URL dieses Bildes ist aber nun kein Bild, sondern die URL des besagten Dienstes bei der Bank.
  4. Für die Bank ist ganz klar, dass Lieschen Müller diesen Überweisungsauftrag abgeschickt hat. Warum? Nun, der Auftrag kommt von ihrem Browser, und sie hat sich sogar bei der Bank bereits korrekt authentifiziert. Sie hat nachgewiesen, dass sie wirklich Lieschen Müller ist. Die Informationen dazu stehen noch in dem Cookie, das Lieschens Browser einfach nimmt und an den Bankserver weiter leitet.
  5. Während Lieschen Müller sich über den blöden Inhalt einer e-mail ärgert, die angeblich von einem Herrn Otto Normalverbraucher stammt, und das unsichtbare Bild, das gar kein Bild ist, gar nicht bemerkt, wird ihr Geld gerade auf das Konto von Paul Hacker überwiesen.

Das Ganze ist jetzt natürlich deutlich vereinfacht, aber so in Etwa funktioniert das. Und nicht nur bei Banken. Wie wäre es mit einem Forum? Jemand, der Dich nicht mag, könnte dort in Deinem Namen Müll verbreiten und so Deinen Ruf ruinieren. Mir ist das mal in einem Forum so passiert. Oder Chat. Jeder kann es so aussehen lassen, als ob die kriminellen Aussagen von Dir kämen. Die Reputation ist in Nullkommanichts hinüber.

NoScript ist da eine gute Hilfe. Es ist so voreingestellt, dass das Surfen einigermaßen sicher ist. Jedoch kann auch ein solches Werkzeug komplett ausgehebelt werden. Wenn man es nicht in Kauf nimmt, dass eben auf vielen Seiten Dieses oder Jenes nicht funktioniert, dann muss man die Schutzwand, die NoScript bietet, jedes Mal weiter aushöhlen, um wie gewohnt mit allem Komfort surfen zu können. Der Schutz wird also immer löcheriger.

Und wie sieht es mit vertrauenswürdigen Sites aus? Ich kann z.B. garantieren, dass Rorkvell, so, we es von mir erstellt wurde, absolut vertrauenswürdig ist. Aber kann ich garantieren, dass die Site nicht von irgendwelchen professionellen Hackern der Russenmafia verändert wurde? Kann ich nicht. Nun, Rorkvell ist sicher kein lohnendes Ziel für solche Hacker. Was sind lohnenswerte Ziele für Hacker? Vor allem Sites mit guter Reputation und hohem Bekanntheitsgrad. Also: Je mehr man einer Site vertraut, desto lohnender ist es für Hacker, dort Schadcode einzuschmuggeln. Daher empfehle ich auch für Rorkvell, Scripte und Iframes abzuschalten, auch, wenn Rorkvell gar keine Iframes enthält. Oder besser gesagt: Genau deswegen! Wenn beim Surfen auf Rorkvell ein Iframe geblockt werden sollte, dann ist der definitiv nicht von mir.

Gleiches sollte gerade auch für Seiten von Banken, Instituten, Foren und dergleichen gelten. Seiten, denen ich ein Vertrauen entgegen bringen muss. Die Betreiber sollten Niemanden dazu zwingen, zur Inanspruchname ihrer Dienste solche Risiken einzugehen. Und Du als Kunde solltest nicht einen Komfort erwarten und verlangen, der nur unter Ignoranz dieser Risiken angeboten und genutzt werden kann.

Kurz gesagt, vertraue ich Seiten eher, die von mir nicht verlangen, solche Risiken einzugehen.


0 Kommentare