Unfreiwillige Umleitung

Eine äußerst gefährliche Angriffstechnik ist seit einiger Zeit unter dem Namen "Pharming" bekannt. Hier machen sich Betrüger die Sicherheitsmängel des DNS-Systems zunutze: Der Browser muss die URL erst in eine IP-Adresse umsetzen, bevor er Kontakt zu einer Site aufnehmen kann. Dazu kontaktiert Ihr Rechner einen DNS-Server im Netz. DNS-Server arbeiten hierarchisch gestaffelt: Erster Anlaufpunkt ist ein DNS-Server, den Ihr Internet-Provider beim Aufbauen der Internetverbindung festlegt. Fordern Sie eine Seite an, die dieser DNS-Server nicht kennt, so schickt er seinerseits eine Anfrage an einen höherrangigen Server. Falls er jedoch die Adresse bereits im Cache gespeichert hat, führt er keine neue Anfrage aus. Ein Cache Poisoning genannter Angriff versucht, falsche Werte in diesen Cache einzuschleusen.

Gelingen kann dies, weil DNS-Anfragen gewöhnlich nicht über eine sichere Verbindung erfolgen. Die Konsequenz ist, dass alle Benutzer, die auf den kompromittierten DNS-Server zugreifen, zumindest für eine Weile, nach Eingabe von [ihrebank].de auf die Webseite des Angreifers gelangen. Allein ein über SSL/TSL gesicherte Verbindung kann dies verhindern.

SSL/TSL

Das HTTP-Protokoll überträgt Daten auf eine Weise, die keine Kontrolle über den Weg zulässt, den die Daten nehmen. So effizient und ausfallsicher diese Methode ist, bei der sich die Daten quasi selbst den schnellsten Weg suchen: Sie führt auch dazu, dass Sie den Rechnern, die am Transport Ihrer Daten beteiligt sind, nie vertrauen können. Sie müssen daher stets mit einer Man-in-the-middle-Attacke rechen, die Ihre Daten im Netz abhört oder sogar manipuliert. Für für die Übertragung sicherheitskritischer Daten wie Ihrer Kreditkartennummer ist deswegen eine verschlüsselte Verbindung über SSL/TSL ein absolutes Muss.

Abbildung 5: Zeigt Firefox diese unübersichtlich lange und schwach formulierte Warnung, so gilt: Abbrechen, wenn sensible Daten im Spiel sind.

SSL/TSL-Verbindungen setzen Zertifikate ein. In Zusammenhang mit diesem Begriff gibt es häufig Missverständnisse:

  • "Vertrauenswürdiges Zertifikat" bedeutet nicht, dass eine Prüfung stattgefunden hat, ob ein Seitenbetreiber im Einklang mit dem Gesetz agiert.
  • "Vertrauenswürdig" heißt: Das Zertifikat wurde von einer bekannten Zertifizierungsstelle herausgegeben. Ein Schlüssel auf dem Webserver garantiert in diesem Fall, dass Sie über https://beispiel.de mit dem Server http://beispiel.de Verbindung aufnehmen und nicht durch Tricks wie DNS-Attacken fehlgeleitet werden.

Ein Klick auf einen Link aus nicht vertrauenswürdiger Quelle wie einer E-Mail, unterläuft diese Sicherung: In der Adressleiste des Browsers steht dann ja nicht die richtige Adresse. Der Inhaber dieser "gefälschten" Adresse kann durchaus ein für seine Site gültiges Sicherheitzertifikat besitzen.

Ein weiter wichtige Einschränkung ist zu machen: SSL in Version 2.0 weist Sicherheitslücken auf. Deaktivieren Sie SSL 2.0 in Ihrem Browser (Abbildung 6). Sie können nun zwar nicht mehr auf auf veraltete Webserver, die nur SSL 2.0-Verbindungen anbieten, zugreifen. Doch da diese Verbindungen ein Risiko darstellen, sollte Sie dies nicht als Verlust werten.

Abbildung 6: SSL in Version 2.0 sollten Sie nicht nutzen – das Sicherheitsprotokoll weist selbst Sicherheitlücken auf.

Ein weiteres Problem ist, dass in der Praxis wegen Unachtsamkeit der Serverbetreiber allzu häufig vorkommende Zertifikatwarnungen dazu verführen, im entscheidenden Moment ohne Nachdenken auf OK zu klicken. Manchmal möchten Seitenbetreiber sogar suggerieren, eine Zertifikatwarnungen sei "normal" und instruieren ihre Nutzer, auf OK zu klicken. Dies soll schon bei Online-Banking-Seiten vorgekommen sein.

In Wirklichkeit gilt: Zeigt der Browser eine Zertifikatwarnungen (Abbildung 5), dann ist Ihre Sicherheit nicht garantiert. Alle Banken oder Online-Shops, denen Sie Ihr Geld oder persönliche Informationen anvertrauen, sollten sich zumindest dadurch als vertrauenswürdig ausweisen, dass sie es schaffen, eine funktionierende SSL/TSL-Verbindung bereitzustellen.

Glossar

XUL

Eine XML-basierte Sprache, mit deren Hilfe Mozilla-Basierte Browser Ihre Benutzeroberfläche generieren, erlaubt es, per Stylesheet Symbolleisten, Adressfelder und Dialogfelder, kurz alle Oberflächenelemente des Browsers, originalgetreu im aktuell eingestellten Theme wiederzugeben.

XSA

(Cross Site Authentication) Technik, mit der Login-Daten an einen feindlichen Server weitergeleitet werden. Der Angreifer suggeriert dabei dem Benutzer, dass die Seite, auf der er sich befindet, nach dem Passwort fragt.

Webanwendung

Interaktive "Webseite", die auf Benutzereingaben reagiert. Das Spektrum reicht von einfachen Foren bis hin zu komplexer Fahrplansoftware.

DNS

(Domain Name System) Serverbasiertes System zur Umsetzung von Domainnamen ("google.de") in IP-Adressen ("216.239.39.104"): Das Http-Protokoll kann mit den Domainnamen selbst nicht anfangen, sondern arbeitet mit den hierarchisch aufgebauten IP-Adressen.

Man-in-the-middle-Attacke

Abhören oder manipulieren einer Datenübertragung im Internet. Sie setzt einen Zugriff auf einen Router im Internet voraus. Wegen der dezentralen Organisation des Internets ist jedoch nie auszuschließen, dass Angreifer darüber verfügen.

SSL/TSL

(Secure Sockets Layer/Transport Layer Security) Verschlüsselungsprotokoll, das bei mit https:// beginnenden Internetadressen zum Einsatz kommt. TSL ist eine Weiterentwicklung von SSL. Die "sichere" Internetverknüpfung verhindert, dass sich Angreifer unbemerkt "dazwischen schalten" und den Datenfluss abhören oder manipulieren. Ebenso garantiert sie, dass Sie tatsächlich mit der Adresse verbunden sind, die in der Adressleiste des Browsers steht. Die Verantwortung dafür, dass diese stimmt und nicht durch einen Link aus unzuverlässiger Quelle "ähnlich lautet", liegt bei Ihnen.

Infos

[1] Phishing-Attacken der Vergangenheit: http://www.antiphishing.org/phishing_archive.html

[2] XUL als Gefahr bei Mozilla-basierten Browsern: http://www.pikey.me.uk/mozilla/test/spooftest.html

[3] Sicherheitlücken in den bisherigen Mozilla-/Firefox-Versionen: http://www.mozilla.org/projects/security/known-vulnerabilities.html

[4] Sicherheitslücke in der JavaScript-Engine von Konqueror: http://www.kde.org/info/security/advisory-20060119-1.txt

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 4 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

eeepc 1005HA externer sound Ausgang geht nicht
Dieter Drewanz, 18.03.2015 15:00, 0 Antworten
Hallo LC, nach dem Update () funktioniert unter KDE der externe Soundausgang an der Klinkenbuc...
AceCad DigiMemo A 402
Dr. Ulrich Andree, 15.03.2015 17:38, 2 Antworten
Moin zusammen, ich habe mir den elektronischen Notizblock "AceCad DigiMemo A 402" zugelegt und m...
Start-Job behindert Bootvorgang, Suse 13.2, KDE,
Wimpy *, 20.02.2015 10:32, 4 Antworten
Beim Bootvorgang ist ein Timeout von 1 Min 30 Sec. weil eine Partition sdb1 gesucht und nicht gef...
Konfiguration RAID 1 mit 2 SSDs: Performance?
Markus Mertens, 16.02.2015 10:02, 6 Antworten
Hallo! Ich möchte bei einer Workstation (2x Xeon E5-2687Wv3, 256GB RAM) 2 SATA-SSDs (512GB) al...
Treiber für Canon Laserbase MF5650
Sven Bremer, 10.02.2015 09:46, 1 Antworten
Hallo ich weiß mittlerweile das Canon nicht der beste Drucker für ein Linux System ist. Trotzd...