Massive Sicherheitslücken im Internet

Namenlose Cookies gefährden die Internetsicherheit. Ein Forschungsprojekt der TU Wien widmet sich der Thematik und analysiert Zusammenspiel mit Webframeworks und Software.

Das Internet hat sich in den letzten Jahren technisch stark verändert und daraus resultieren auch neue Sicherheitsprobleme. Das IT-Sicherheitsteam der TU Wien analysierte nun Sicherheitslücken, die sich durch das Zusammenspiel von Cookies und Webframeworks (Anm. Softwarepakete zum raschen Erstellen von Webseiten) ergeben. Ergebnisse zeigen, dass es bei Browsern und Servern Fehler bei der Verarbeitung von Cookies gibt.

Immer komplexere Codes
Diese Fehler können es dann erlauben, dass durch Attacken von außen Zugriff auf persönliche Accounts und die Durchführung unautorisierter Aktionen ermöglicht wird. „Die internationale IT-Sicherheitscommunity arbeitet nun an der Behebung dieser Lücken. Bei zwei der renommiertesten Sicherheitskonferenzen in Las Vegas und Anaheim (Kalifornien) wurden die Erkenntnisse nun erstmals präsentiert“, so die TU Wien in einer Aussendung.

Der Zugang zu geschützter Information im Internet wird oftmals mit einer Tür mit Schloss verglichen : Wer den Schlüssel hat, oder gefinkelte Tricks kennt, kommt hinein. Heutzutage ist die Sache noch komplexer : Es gibt nicht das eine, wohldefinierte „Schloss“, sondern eine Vielzahl von Codes, die auf komplexe Weise zusammenspielen und von vielen Leuten laufend verändert werden.

Komplexes Zusammenspiel verschiedener Komponenten
„Früher war das Internet bloß eine Distributionsplattform für Information. Heute ist es eine Distributionsplattform für Apps und Codes“, sagt Marco Squarcina vom Institut für Logic und Computation der TU Wien. Viele Webseiten basieren auf sogenannten Frameworks, eine Software mit zahlreichen Funktionen, damit nicht jeder wiederkehrende Schritt bei der Webseitenentwicklung jedes Mal neu programmiert werden muss. Mit Software arbeiten auch die Webserver, die sich über die Jahre ändert, dasselbe gilt für die Browser.

„Oft entstehen Sicherheitsprobleme erst durch dieses komplexe Zusammenspiel verschiedener Komponenten“, ergänzt Squarcina. „Es kann sein, dass zwei dieser Komponenten für sich alleine betrachtet fehlerfrei arbeiten und sich an alle allgemein akzeptierten Vorgaben halten, doch wenn man sie kombiniert, ergeben sich plötzlich Lücken“, so der TU-Experte. Diese Lücken können etwa dazu führen, dass Angreifer von außen eine Web-Session übernehmen können und sich gegenüber einem Server als ein anderer Benutzer ausgeben können – etwa als legitimer Besitzer eines bestimmten Bankkontos.

Die Cookies ohne Namen und falsche Identitäten
Das Team der TU Wien beschäftig sich insbesondere mit Cookies – kleinen Datenportionen, die zwischen Server und Browser ausgetauscht werden, etwa um individuelle Nutzerdaten für den nächsten Besuch einer Webseite zu speichern. „Die gefundenen Sicherheitslücken haben uns regelrecht schockiert“, so Marco Squarcina. Cookies haben meist einen Namen, technisch sind aber auch namenlose Cookies erlaubt. In diesem Fall versagen dann gewisse Sicherheitsmaßnahmen. “Der Angreifer besucht eine legitime Website und erhält eine Sitzungskennung, um mit dem Server zu kommunizieren”, erklärt Marco Squarcina.

Squarcina weiter : “Das Opfer wird dann zu einer kompromittierten Subdomain geleitet und diese Seite tauscht das Sitzungscookie im Browser des Opfers gegen das Sitzungscookie des Angreifers aus. Wenn sich das Opfer nun erneut bei der ursprünglichen/ersten Domain anmeldet, kann sich der Angreifer ebenfalls anmelden — weil nun ja beide dieselbe Sitzungskennung verwenden.“ So kann der Angreifer eine falsche Identität annehmen, mit dem Webserver kommunizieren, als ob er das Opfer wäre, und unerwünschte Aktionen durchführen oder Zugang zum Website-Konto des Opfers erhalten.

Keine zentrale Sicherheitsbehörde
Die TU-Forscher erläutern die Thematik am Beispiel von Autos, wo klare gesetzliche Sicherheitskriterien gelten. Im Internet ist es komplizierter. „Webstandards werden von internationalen Organisationen verfasst und von Experten überprüft, aber es liegt in der Natur des Internets, dass es keine zentrale Behörde gibt, die durchsetzt, dass diese Standards allgemein übernommen werden. Und manchmal liegen die Probleme auch in der Norm selbst”, sagt Marco Squarcina. “Wenn wir Sicherheitslücken wie die angeführte entdecken, diskutieren wir mit allen betroffenen Parteien mögliche Lösungen.“

Große Unternehmen wie Google hätten eigene kundige Sicherheitsteams, „bei kleinen Open-Source-Projekten ist die Problemerörterung aufwändiger.“ Die wichtigsten Sicherheitslücken rund um die an der TU Wien entdeckten Probleme hält Marco Squarcina nun für geschlossen, gewisse Gefahren bleiben aber noch bestehen. Bei zwei wichtigen US-Sicherheitskonferenzen präsentierte Squarcina seine Erkenntnisse nun der internationalen Community – das soll auch das weltweite Bewusstsein schärfen und die Lücken nachhaltig schließen.

Links

http://www.tuwien.ac.at

Autor: red/czaak

12.09.2023

Weitere aktuelle Artikel

Der digitale Kern

Innovation. Defizite in der ganzheitlichen Verbindung von Prozessen, Daten und Steuerungslogik. Bei der Digitalisierung entscheidet der Mut, auch den Unternehmenskern zu transformieren, über Erfolg oder Misserfolg. Ein Expertenkommentar von Christian Wenner, Head of Strategic Portfoliomanagement CANCOM Austria. Noch vor wenigen Jahren war die Welt für die österreichische Exportwirtschaft in Ordnung. Günstige Energie, gut ausgebildete Fachkräfte, […]

Mächtige Allianz für Digitale Unabhängigkeit

Deutsche Telekom, T‑Systems, SAP und Siemens starten in München erste KI-Fabrik für Wirtschaft und Verwaltung. Spitzenpolitik unterstützt Strategie zur Digitalen Souveränität von Deutschland und Europa. T‑Systems Austria Boss Peter Lenz verweist auf Nutzung auch für österreichische Kunden. Der Vizekanzler und Bundesfinanzminister von Deutschland, Lars Klingbeil war zugegen, ebenso wie der Bayrische Ministerpräsident Markus Söder, der […]

„Pull the plug!“ oder die historische Wende

Künstliche Intelligenz als epochal historische Dimension. Historiker Yuval Noah Harari spricht am Davoser WEF zu KI als neuen Akteur in der Geschichte des aufgeklärten Humanismus. In und rund um Davos äußern sich weitere prominente Manager. Eine kleintaschenbuchlange Einordnung auch mit den Thesen von Max Tegmark und Nicklas Bostrom von Christian Czaak und Laurin Czaak. Beim jährlichen World Economic Forum (WEF) […]

Schlüsseltechnologie der automobilen Transformation

Künstliche Intelligenz (KI) wird in der Automobilbranche mit autonomem Fahren verbunden. KI unterstützt aber auch Entwicklung, Wartung, Flottenmanagement und weitere betriebliche Abläufe. Petronas hat im Kontext einer Studie aktuelle KI-Anwendungen in der Automobilbranche analysiert. Künstliche Intelligenz (KI) in der Automobilbranche stand bis dato eigentlich primär im Kontext mit dem Thema autonomes Fahren. KI spielt aber […]

Digitales Business To Digitales Business

Digitale Plattformen verschränken nahtlos Software-Applikationen, KI, Cloud-Dienste oder auch Hardware. Ingram Micro entwickelt primär für IT-Reseller konzipierte Plattform Xvantage weiter. Rasche Integration von ganzen CRM- und ERP-Systemen über vorkonfigurierte Schnittstellen. Ingram Micro, global führender IT-Dienstleister für die integrative Nutzung aller gängigen Digitalisierungs-Lösungen hat schon 2023 mit Xvantage™ eine Digital-Plattform entwickelt, welche primär andere IT-Dienstleister bzw. […]

Mas­sive Sicher­heits­lü­cken im Internet

Weitere aktuelle Artikel

Der digi­tale Kern

Mäch­tige Alli­anz für Digi­tale Unabhängigkeit

„Pull the plug!“ oder die his­to­ri­sche Wende

Schlüs­sel­tech­no­lo­gie der auto­mo­bi­len Transformation

Digi­ta­les Busi­ness To Digi­ta­les Business