Beinahe alle modernen Webseiten setzen auf Javascript. Wird Javascript im Browser abgeschaltet oder ist das Firefox-Plugin Noscript aktiv, sind Seiten wie Youtube, Myspace, Googlemail oder Hotmail zu großen Teilen unbrauchbar. Wer Javascript jedoch aktiviert läuft beispielsweise Gefahr, einem Ebay-Betrüger aufzusitzen, der seine Verkäuferbewertung per Javascript in märchenhafte Regionen tunt.
Extrem groß ist auch die Gefahr, Opfer einer XSS-Attacke (Cross-Site Scripting) zu werden. Bei einer solchen Attacke pflanzt die Website des Angreifers dem Websurfer per Javascript eine lokale HTML-Seite auf den Rechner und zeigt sie im Browser an. Diese Seite enthält den eigentlichen Schadcode, der in diesem Fall mit den Benutzerrechten des gerade angemeldeten Users ausgeführt wird. Auf der Defcon wurde beispielsweise gezeigt, dass sich so selbst komplexe Anwendungen wie ein funktionstüchtiger Netzwerkscanner unbemerkt auf dem PC des Opfers installieren und ausführen lassen. Da der angegriffene Rechner hinter der Firewall steht, hat der Angreifer kein Problem, die Firewall zu umgehen und sich im internen Netzwerk so umzusehen, als wäre er vor Ort. Angesichts solcher Demonstrationen wird klar, wie mächtig Javascript ist und welch ausgeklügelte Angriffe in Zukunft zu erwarten sind.
Wie die Sicherheitsexperten Ben Feinstein und Daniel Peck auf der Defcon 2007 demonstrierten, sind diese schädlichen Javascripts mit etlichen Methoden dagegen gesichert, von Virenscannern erkannt zu werden. Die Scripts werden absichtlich auf teilweise krude Weise programmiert und verbergen ihren Inhalt hinter auf den ersten Blick wie Datenmüll aussehenden Code, um den wahren Daseinszweck vor einem menschlichen oder PC-basierten Analysten zu verbergen.
Feinstein und Peck haben daher ein Programm namens Caffeine Monkey entwickelt, dass die Analyse eines beliebig komplex verschleierten Javascripts in Sekundenschnelle erledigt und so den wahren Zweck des Scripts enthüllt. Für Endanwender ist Caffeine Monkey jedoch nicht gedacht, da es zu komplex zu bedienen ist.
Dem täglich durchs Web streifenden Surfer sei somit angeraten, Javascript am besten auszuschalten – entweder per Browseroption oder dem Firefox-Plugin – und nur in Ausnahmefällen wieder zu aktivieren.
Neueste Kommentare
Noch keine Kommentare zu Gipfeltreffen der Hacker-Elite: Black Hat und Defcon 2007
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.