Massive Sicherheitslücken im Internet

Namenlose Cookies gefährden die Internetsicherheit. Ein Forschungsprojekt der TU Wien widmet sich der Thematik und analysiert Zusammenspiel mit Webframeworks und Software.

Das Internet hat sich in den letzten Jahren technisch stark verändert und daraus resultieren auch neue Sicherheitsprobleme. Das IT-Sicherheitsteam der TU Wien analysierte nun Sicherheitslücken, die sich durch das Zusammenspiel von Cookies und Webframeworks (Anm. Softwarepakete zum raschen Erstellen von Webseiten) ergeben. Ergebnisse zeigen, dass es bei Browsern und Servern Fehler bei der Verarbeitung von Cookies gibt.

Immer komplexere Codes
Diese Fehler können es dann erlauben, dass durch Attacken von außen Zugriff auf persönliche Accounts und die Durchführung unautorisierter Aktionen ermöglicht wird. „Die internationale IT-Sicherheitscommunity arbeitet nun an der Behebung dieser Lücken. Bei zwei der renommiertesten Sicherheitskonferenzen in Las Vegas und Anaheim (Kalifornien) wurden die Erkenntnisse nun erstmals präsentiert“, so die TU Wien in einer Aussendung.

Der Zugang zu geschützter Information im Internet wird oftmals mit einer Tür mit Schloss verglichen : Wer den Schlüssel hat, oder gefinkelte Tricks kennt, kommt hinein. Heutzutage ist die Sache noch komplexer : Es gibt nicht das eine, wohldefinierte „Schloss“, sondern eine Vielzahl von Codes, die auf komplexe Weise zusammenspielen und von vielen Leuten laufend verändert werden.

Komplexes Zusammenspiel verschiedener Komponenten
„Früher war das Internet bloß eine Distributionsplattform für Information. Heute ist es eine Distributionsplattform für Apps und Codes“, sagt Marco Squarcina vom Institut für Logic und Computation der TU Wien. Viele Webseiten basieren auf sogenannten Frameworks, eine Software mit zahlreichen Funktionen, damit nicht jeder wiederkehrende Schritt bei der Webseitenentwicklung jedes Mal neu programmiert werden muss. Mit Software arbeiten auch die Webserver, die sich über die Jahre ändert, dasselbe gilt für die Browser.

„Oft entstehen Sicherheitsprobleme erst durch dieses komplexe Zusammenspiel verschiedener Komponenten“, ergänzt Squarcina. „Es kann sein, dass zwei dieser Komponenten für sich alleine betrachtet fehlerfrei arbeiten und sich an alle allgemein akzeptierten Vorgaben halten, doch wenn man sie kombiniert, ergeben sich plötzlich Lücken“, so der TU-Experte. Diese Lücken können etwa dazu führen, dass Angreifer von außen eine Web-Session übernehmen können und sich gegenüber einem Server als ein anderer Benutzer ausgeben können – etwa als legitimer Besitzer eines bestimmten Bankkontos.

Die Cookies ohne Namen und falsche Identitäten
Das Team der TU Wien beschäftig sich insbesondere mit Cookies – kleinen Datenportionen, die zwischen Server und Browser ausgetauscht werden, etwa um individuelle Nutzerdaten für den nächsten Besuch einer Webseite zu speichern. „Die gefundenen Sicherheitslücken haben uns regelrecht schockiert“, so Marco Squarcina. Cookies haben meist einen Namen, technisch sind aber auch namenlose Cookies erlaubt. In diesem Fall versagen dann gewisse Sicherheitsmaßnahmen. “Der Angreifer besucht eine legitime Website und erhält eine Sitzungskennung, um mit dem Server zu kommunizieren”, erklärt Marco Squarcina.

Squarcina weiter : “Das Opfer wird dann zu einer kompromittierten Subdomain geleitet und diese Seite tauscht das Sitzungscookie im Browser des Opfers gegen das Sitzungscookie des Angreifers aus. Wenn sich das Opfer nun erneut bei der ursprünglichen/ersten Domain anmeldet, kann sich der Angreifer ebenfalls anmelden — weil nun ja beide dieselbe Sitzungskennung verwenden.“ So kann der Angreifer eine falsche Identität annehmen, mit dem Webserver kommunizieren, als ob er das Opfer wäre, und unerwünschte Aktionen durchführen oder Zugang zum Website-Konto des Opfers erhalten.

Keine zentrale Sicherheitsbehörde
Die TU-Forscher erläutern die Thematik am Beispiel von Autos, wo klare gesetzliche Sicherheitskriterien gelten. Im Internet ist es komplizierter. „Webstandards werden von internationalen Organisationen verfasst und von Experten überprüft, aber es liegt in der Natur des Internets, dass es keine zentrale Behörde gibt, die durchsetzt, dass diese Standards allgemein übernommen werden. Und manchmal liegen die Probleme auch in der Norm selbst”, sagt Marco Squarcina. “Wenn wir Sicherheitslücken wie die angeführte entdecken, diskutieren wir mit allen betroffenen Parteien mögliche Lösungen.“

Große Unternehmen wie Google hätten eigene kundige Sicherheitsteams, „bei kleinen Open-Source-Projekten ist die Problemerörterung aufwändiger.“ Die wichtigsten Sicherheitslücken rund um die an der TU Wien entdeckten Probleme hält Marco Squarcina nun für geschlossen, gewisse Gefahren bleiben aber noch bestehen. Bei zwei wichtigen US-Sicherheitskonferenzen präsentierte Squarcina seine Erkenntnisse nun der internationalen Community – das soll auch das weltweite Bewusstsein schärfen und die Lücken nachhaltig schließen.

Links

http://www.tuwien.ac.at

Autor: red/czaak

12.09.2023

Weitere aktuelle Artikel

Viel probieren, wenig professionalisieren

Österreichs Unternehmen tun sich mit KI immer noch schwer. Rund 70 Prozent setzen auf neue Technologie. Viele testen, wenige können wirtschaftliche Bewertung vornehmen. Beim Einsatz Fokus auf Produktivitätssteigerung und Kostensenkung. Mehrheitlich noch keine Maßnahmen bei EU AI Act. Künstliche Intelligenz ist in Österreichs größeren und mittleren Unternehmen angekommen, allerdings mehrheitlich noch nicht im operativen Kern. In […]

Die Transformation im Kern

Digitale Transformation. Die operativen Herausforderungen liegen an den Schnittstellen zwischen Technologie und Betrieb. Innovation muss ganzheitlich orchestriert werden. Ein Expertenkommentar von Christian Wenner, Head of Strategic Portfoliomanagement CANCOM Austria. Change. Digitale Transformation scheitert selten an der Technologie, sondern an Vorstellungskraft, Schnittstellen und zeitgemäßen Betriebsstrategien. Die Herausforderungen liegen dort, wo viele Unternehmen noch immer nicht hinschauen : an […]

Neue Partnerschaften der US-Tech-Riesen

Amazon Web Services vertieft Partnerschaft mit Meta und OpenAI. Fokus auf Weiterentwicklung von Agentic KI mittels neuer Prozessoren und Cloud-Services. AWS selbst erweitert Amazon Connect zu KI-Paketbündel und Amazon Quick für selbständigen KI-Agent. Meta, US-Mutterkonzern von Facebook und Amazon Web Services (AWS), Tochter von Amazon (US), haben soeben einen Vertrag über den großflächigen Einsatz von […]

Österreichische Pioniere beim KI-Einsatz

Agentic (KI) Enterprise als Fokus bei Veranstaltung Wien Summit von Salesforce. Der führende IT-Dienstleister für cloudbasierte CRM-Anwendungen und KI hat nun erstmals Österreichische Unternehmen für den herausragenden Einsatz von KI-Agenten ausgezeichnet. In jeder Branche gibt es Menschen, die mit ihrem einzigartigen Taten- und Wissensdrang die Zukunft prägen und das gilt auch im Bereich von Technologie. […]

Professionelle KI für professionelle Security

TrendAI, die Enterprise-Cybersecurity-Unit von Trend Micro und KI-Anbieter Anthropic verlautbaren strategische Zusammenarbeit. KI-Modelle von Anthropics „Claude“ werden in Cybersicherheits-Plattform von TrendAI integriert. TrendAI™, der Enterprise-Geschäftsbereich von Trend Micro will die Transformation zum führenden Anbieter im Bereich KI-Sicherheit beschleunigen und startet Partnerschaft mit dem KI-Dienst Claude des Anbieters Anthropic. Im Fokus stehen agentenbasierte Workflows, um Automatisierung […]

Mas­sive Sicher­heits­lü­cken im Internet

Weitere aktuelle Artikel

Viel pro­bie­ren, wenig professionalisieren

Die Trans­for­ma­tion im Kern

Neue Part­ner­schaf­ten der US-Tech-Riesen

Öster­rei­chi­sche Pio­niere beim KI-Einsatz

Pro­fes­sio­nelle KI für pro­fes­sio­nelle Security