[datensicherheit.de, 18.08.2016] Laut einer Mitteilung der PSW GROUP haben Forscher der Universität Leuven Timing-Angriffe in „JavaScript“ mit der „Breach“-Attacke kombiniert und damit ein Angriffsszenario erschaffen, das sie „HTTP Encrypted Information can be Stolen through TCP-windows“ (HEIST) nennen. Angriffe gegen „SSL/TLS“ ließen sich mit dieser Methode direkt im Browser durchführen, warnt Christian Heutger, Geschäftsführer der PSW GROUP. Bislang habe ein Angreifer dazu „Man-in-the-Middle“-Attacken durchführen müssen. Mit dieser neuen Methode müsse er den verschlüsselten Traffic nun nicht mehr überwachen können.

Mittels „JavaScript“ die Länge komprimierter und verschlüsselter Informationen extrahieren

Das Forscherteam Tom Van Goethem und Mathy Vanhoef habe herausgefunden, dass sich mithilfe von „JavaScript“ die Länge komprimierter und verschlüsselter Informationen extrahieren lasse. Die Funktionsweise des „Transmission Control Protocols“ (TCP) habe den Forschern geholfen: Bei TCP übertrage der Server zunächst zehn Pakete und warte dann auf Antwort seitens des Clients, um anschließend mehr Pakete zu übertragen. Zwei „JavaScript“-Funktionen ermöglichten Angreifern herauszufinden, wie viel Zeit solche Requests brauchten. Die Server-Antwort im ersten Zehnerpack der TCP-Pakete verlaufe zügiger als Antworten mit mehreren Paketen; dafür werde ein neuer Roundtrip notwendig. Probiere der Angreifer mit reflektierten Parametern herum, finde er heraus, auf welche Größe er die Parameter setzen müsse, um diese in das erste Zehnerpack einzufügen bzw. um es exakt ein Byte groß zu gestalten, erläutert Heutger.
Und genau das ermögliche nun den bereits 2013 vorgestellten „Breach“-Angriff. Lediglich die Antwortlänge müsse ein Angreifer anpassen, um dann durch die Antwortzeit darauf schließen zu können, ob das Folgezeichen korrekt erraten sei.

„Man-in-the-Middle“ gänzlich unnötig

Der Standard HTTP/2 erlaube eine zweite Variante des Angriffs: Hierbei würden sämtliche HTTP-Requests über nur eine TCP-Verbindung geschickt. So klappe der Angriff selbst dann, wenn sich das interessante Geheimnis und der reflektierte String auf verschiedenen Seiten befänden. Das Untermogeln des kontrollierten „JavaScripts“ stelle leider keine Hürde dar, denn gerade Ad-Netzwerke gestalteten ihre Produkte nicht sonderlich sicher und es brauche nur eine „JavaScript“ verwendende Werbeanzeige, so Heutger. Somit müsse der Angreifer nicht einmal den Netzwerkverkehr seines Opfers mitlesen – belauschen via „Man-in-the-Middle“ sei damit gänzlich unnötig.

© PSW Group

Christian Heutger: HEIST-Angriffe gegen „SSL/TLS“ direkt im Browser durchführbar

„Same-Site-Cookies“ als gangbare Lösung

HEIST durch Abschalten der Kompression zu begegnen, sei keine effiziente Lösung. HTML-Daten ließen sich bestens komprimieren und ein Verzicht würde immense Performance-Einbußen nach sich ziehen.
„Geheime Daten nicht zu komprimieren, wäre mit der HTTP/2-Headerkompression HPACK möglich, allerdings ist dies für Daten innerhalb des HTML-Parts schwer machbar. Eine einfache Lösung ist, Third-Party-Cookies im verwendeten Browser zu deaktivieren. Allerdings könnte es passieren, dass dann womöglich nicht mehr alle Websites uneingeschränkt aufrufbar sind“, sagt Heutger.
Stattdessen verweist der IT-Sicherheitsexperte auf „Same-Site-Cookies“ als gangbare Lösung: Webapplikationen könnten durch „Same-Site-Cookies“ verhindern, dass sich Site-Zugriffe von anderen Websites in Accounts einloggten. Bislang liege bei der IETF (Internet Engineering Task Force) lediglich ein Entwurf für „Same-Site-Cookies“ vor, jedoch würden sie von Googles Browser „Chrome“ bereits unterstützt.

Weitere Informationen zum Thema:

PSW GROUP, 09.08.2016
Verschlüsselung / HEIST: Angriff auf TLS ohne MITM

[datensicherheit.de, 22.10.2013] Per Cross-Site-Scripting eingefügter Schadcode unterscheidet sich im Programmierstil vom Rest der Website und kann so mit neuartigen Sicherheitstechniken aufgespürt werden. Dies ist das Ergebnis des Forschungsprojektes Padiofire, in dem die Brandenburgische Technische Universität Cottbus (BTU), die Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) und das IT-Sicherheitsunternehmen genua mbh gemeinsam neue Lösungen gegen Gefahren im Web-2.0 entwickelt haben. Das vom Bundesministerium für Bildung und Forschung über zwei Jahre geförderte Projekt wurde Ende September abgeschlossen.

Ein wesentliches Merkmal im Web 2.0 ist der intensive Einsatz von JavaScript. Mit diesem in Browsern ausgeführten Code können attraktive Websites gestaltet, aber auch Angriffe ausgeführt werden. Die am häufigsten angewendete Angriffsmethode ist dabei das so genannte Cross-Site-Scripting: Hier werden Fehler in Web-Applikationen ausgenutzt oder Server gehackt, um bösartiges JavaScript in vertrauenswürdigen Websites einzufügen. Für den Web-Nutzer ist dieser Angriff somit nicht zu erkennen. Ruft er die manipulierte Website auf, wird der bösartige Code in seinem Browser und damit der Angriff ausgeführt.

Neue Sicherheitstechnik analysiert Programmierstil

Im Forschungsprojekt Padiofire haben die Forschungspartner ein Verfahren entwickelt, um fremdes und somit potenziell gefährliches JavaScript auf vertrauenswürdigen Websites zu erkennen. Die neue Sicherheitstechnik basiert auf der automatischen Ermittlung des gewöhnlichen Programmierstils einer Website. Wenn bei späteren Besuchen der Site ungewöhnliche Veränderungen festgestellt werden, sind diese ein starkes Indiz für Schadcode und können gefiltert werden. Ein weiteres Ergebnis aus dem Projekt Padiofire ist die Entwicklung der universellen Schnittstelle IMP (Inspection and Modification Protocol), über die beliebige Analyse-Software an Firewalls oder auch Intrusion Detection Systeme angebunden werden können. Gegenüber anderen Schnittstellen-Lösungen wie ICAP bietet IMP ein breiteres Einsatzspektrum und ist performanter.

Forschungsergebnisse fließen in Firewall-Entwicklung ein

Einige Entwicklungen aus dem Projekt Padiofire sind bereits zur freien Nutzung veröffentlicht worden, damit sie eine breite Verwendung finden. Das deutsche IT-Sicherheitsunternehmen genua hat Forschungsergebnisse bereits in die Produktentwicklung einfließen lassen. So ist die zweistufige Firewall genugate mit der neuen Schnittstelle IMP ausgestattet worden und ermöglicht somit eine detaillierte Datenkontrolle nach individuellen Kundenwünschen.
Weitere Ergebnisse sollen schrittweise in den Sicherheitslösungen umgesetzt werden.

Weitere Informationen zum Thema:

PADIOFIRE
Projektziele

[datensicherheit.de, 23.12.2011] Das berüchtigte Social-Media-Botnetz „Koobface“ – ein Anagramm zu „facebook“ – legt nach Erkenntnissen von TREND MICRO nach – es wehre sich immer erfolgreicher gegen Abwehrmaßnahmen:
Grund sei eine neue im Web verteilte Infrastruktur – ein Server soll 2011 zumindest zeitweise in Deutschland aktiv gewesen sein – mit der sich der Internetverkehr auf verschiedenste bösartige Seiten umleiten lasse. Jeder Klick eines ahnungslosen Opfers lasse dann bei den Online-Gangstern die Kasse klingeln.
Die Anwender würden über Einträge in verschiedenen Sozialen Netzwerken wie twitter, Tumblr, FriendFeed3, FC24, livedoor5, So-net6 oder facebook und der Google-Blogger-Site auf die Seiten der Koobface-„Kunden“ gelockt. Selbstverständlich seien die Einträge gefälscht wie auch die Konten, von denen aus sie zusammen mit den eingebetteten Webadressen an die Anwender geschickt werden. Sowohl die Erzeugung der Konten als auch der Einträge erfolge dabei vollautomatisch.
Die Anwender selbst sollten folglich höchste Vorsicht walten lassen und lieber zehnmal nachdenken, bevor sie auf eine Webadresse klicken. Außerdem sollten sie darüber nachdenken, die Einstellungen in ihrem Browser so zu ändern, dass nur vertrauenswürdigen Webseiten das Ausführen von eingebetteten „JavaScripts“ zu erlauben. Denn die „Koobface“-Gangster nutzten „JavaScript“-Code, um zu messen, wie viele Anwender die von ihnen gefälschten Blogeinträge besuchen, und um auf bösartige Webseiten weiterzuleiten.
Empfehlenswert sei ferner eine IT-Sicherheitslösung, die das Öffnen bösartiger Seiten unterbinden kann. Auch E-Mails mit bösartigen Webadressen, die von Sozialen Netzwerken an die Anwender weitergeleitet werden, sollten als gefährlich erkannt und entfernt werden, noch bevor sie im Posteingang des Anwenders landen. Entsprechende IT-Sicherheitslösungen zeichneten sich durch die Nutzung sogenannter Reputationsdienste aus, welche die Vertrauenswürdigkeit von Webadressen und E-Mail-Nachrichten bewerten und auch miteinander in Beziehung setzen können. Auch der vorsichtigste Anwender werde irgendwann einmal auf die fiesen Methoden der Online-Kriminellen hereinfallen und auf eine bösartige Webadresse klicken – auch dann müsse die eigene Sicherheitssoftware Schutz bieten.

Weitere Informationen zum Thema:

blog.trendmicro.de
Das Geheimnis des wachsenden KOOBFACE-Geschäfts: das Traffic Direction System / Originalartikel von Jonell Baltazar, Senior Threat Researcher

[datensicherheit.de, 08.12.2011] Die Webseiten-Beschreibungssprache HTML5 wird wohl mit zahlreichen Neuerungen aufwarten, auf die Entwickler und Administratoren schon lange gewartet haben. Laut TREND MICRO gibt es indes eine „Kehrseite der Medaille“, denn HTML5 biete auch Cyber-Kriminellen völlig neue Möglichkeiten. Eine nicht zu unterschätzende Bedrohung, die mit HTML5 entstehe, seien „Botnetze im Browser“. TREND MICRO hat nach eigenen Angaben das Infektionsszenario durchgespielt und analysiert, für welche Zwecke Online-Gangster diesen neuen Angriffsweg missbrauchen könnten.
Angreifer seien mit HTML5 in der Lage, ein Botnetz zu erzeugen, das auf jedem Betriebssystem und auf jedem Gerät funktioniere, warnt TREND MICRO. Es laufe vorwiegend im Hauptspeicher und berühre daher die Festplatte kaum. Dies mache es für Antivirenprogramme, die mit Signaturdateien arbeiten, schwierig, das Botnetz zu erkennen. Da der bösartige Code als „JavaScript“ implementiert sei, das sich technisch gesehen mit wenig Mühe verschleiern lasse, täten sich auch solche Sicherheitslösungen schwer, die auf das Erkennen von Einbruchsversuchen in Netzwerken spezialisiert sind. Zu nennen seien hier die sogenannten „Intrusion-Detection-Systeme“ (IDS), die mit Signaturen arbeiten. Zudem könne der bösartige Code wegen seiner Einbettung im Browser auch die meisten Firewalls mühelos passieren.
Einmal erfolgreich in das System eines Anwenders eingedrungen, stehe den Online-Kriminellen ein ganzes Waffenarsenal zur Verfügung:

• DDoS-Attacken: Tausende von Anfragen könnten ohne Wissen des Nutzers an eine Ziel-Website geschickt und diese dadurch lahmgelegt werden.
• Spamming: Unzureichend gesicherte Kontaktseiten von Websites ließen sich zur Erzeugung von Spam-Nachrichten missbrauchen.
• Bitcoin-Generierung: Die infizierten Rechner ließen sich als Generatoren zur Berechnung von Bitcoins, der beliebtesten Währung des cyber-kriminellen Untergrunds, zweckentfremden.
• Phishing: Mittels „Tabnabbing“ könne das Botnetz Registerkarten („Tabs“) im Browser des Anwenders kapern und ihr Aussehen beliebig gestalten. Dadurch sei es möglich, dem ahnungslosen Anwender jedes Mal, wenn er auf die infizierte Registerkarte klickt, eine Eingabeaufforderung zu einem von ihm genutzten Webdienst vorzutäuschen. Gibt er seine Zugangsdaten ein, fielen seine Webdienst-Konten in die Hände der Kriminellen.
• Netzspionage: Das Botnetz sei in der Lage, im Netzwerk des Opfers nach Sicherheitslücken zu forschen und die Ports zu scannen.
• Netzwerke als Proxy: Mit dem Botnetz könnten die Kriminellen im Cyber-Untergrund Angriffswege verschleiern und Attacken über die infizierten Netzwerke leiten; der Ursprung der Angriffe sei dadurch kaum noch auszumachen.
• Verbreitung: Die Cyber-Kriminellen könnten in das Botnetz zusätzlich eine Wurmkomponente einfügen, die sich dann auf angreifbaren Websites verbreite.

Experten von TREND MICRO gehen davon aus, dass diese doch bemerkenswerten Möglichkeiten für Angreifer bald häufiger eingesetzt werden, vor allem bei gezielten Attacken. Herkömmliche Sicherheitsmaßnahmen gegen Malware könnten diese neuen Angriffsvektoren nicht abwehren, doch gebe es zwei kostenlose Tools, die einen sehr guten Schutz böten:

• „NoScript“: Das unter Fachleuten bereits gut bekannte Browser-Plug-In schränkr die Funktionsweise von „JavaScript“ und anderen Plug-Ins auf nicht vertrauenswürdigen Seiten ein.
• BrowserGuard: TREND MICROs eigenes Tool umfasse eine Reihe von Funktionen, um webbasierte Angriffe abzuwehren. Dazu gehörten unter anderem fortschrittliche heuristische Techniken.

Weitere Informationen zum Thema:

blog.trendmicro.de
HTML5 – Die größten Gefahren / Originalartikel von Robert McArdle, Senior Threat Researcher

NoScript
The NoScript Firefox extension provides extra protection…

TREND MICRO
Browser Guard 2011

[datensicherheit.de, 08.11.2010 Microsoft hat kürzlich ein so genanntes „Security Advisory“ zu einer Sicherheitslücke im „Internet Explorer“ 6, 7 und 8 veröffentlicht:
Diese Sicherheitslücke ermöglicht es Cyberkriminellen, ferngesteuert Code auszuführen. Zwar sei sie ursprünglich lediglich auf einer einzigen, inzwischen vom Netz genommenen Website gefunden worden, doch alles deute laut TREND MICRO darauf hin, dass weitere Angriffe folgen könnten.
Die Experten von TREND MICRO haben bereits ein Werkzeug, „HKTL_ELECOM“, entdeckt, mit dessen Hilfe Cyberkriminelle Seiten mit dem JavaScript-Code generieren könnten, der die Sicherheitslücke ausnützt. Weil damit Angriffe einfacher würden, gehe TREND MICRO davon aus, dass diese Attacken sich weiter verbreiteten.
Noch ist ungewiss, wann Microsoft die Schwachstelle schließt – bis dahin könnten sich Anwender jedoch selbst vor den Angriffen schützen. Die Beta-Version des „Internet Explorer“ 9 sei von dieser Lücke nicht betroffen, so dass Nutzer auch die Möglichkeit hätten, den eigenen Browser auf diese Version zu aktualisieren, so TREND MICRO.

Weitere Informationen zum Thema:

Microsoft, 03.11.2010
Microsoft Security Advisory (2458511) / Vulnerability in Internet Explorer Could Allow Remote Code Execution

datensicherheit.de, 29.10.2010
TREND MICRO warnt vor Schadprogramm auf offizieller Website des Friedensnobelpreises / Angreifer sollen Zero-Day-Schwachstelle im „Mozilla Firefox“-Browser ausgenutzt haben