Analysierte Angriffe Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


14.07.2011 Edmund E. Lindau

Analysierte Angriffe

Eine dritte wichtige Hacking-Technik macht zu schaffen.

Sicherheitsspezialisten von Imperva haben die IRC-Diskussionen der Anonymus-Hacker und Lulzsec-Angriffe analysiert und sind zu erstaunlichen Ergebnissen gekommen: In der Hacker-Gruppe gab es keine Viren- und Malware-Spezialisten. Stattdessen hat Lulzsec sich darauf konzentriert, Schwachstellen in Applikationen zu finden und auszunutzen.

»Wir haben uns die Chat-Logs der Gruppe sehr genau angeschaut«, so Rob Rachwald, Director of Security Strategy bei Imperva. »Die Vorgehensweise und der Erfolg von Lulzsec zeugen von einem Paradigmenwechsel, der sich bei den Angreifern vollzogen hat. Diese Gruppe hat sogar für ihre Distributed Denial of Service (DDoS)-Angriffe Applikationsschwachstellen genutzt. Für Sicherheitsverantwortliche in Unternehmen bedeutet das: IT-Security wird nicht mehr an Firewall und aktuellem Virenscanner gemessen, sondern an Lösungen, die sensible Informationen in Applikationen und Datenbanken überwachen und schützen.« Eine der wesentlichen Angriffstechniken der Gruppe war Remote File Inclusion.

REMOTE FILE INCLUSION Hacker-Angriffe wie SQL-Injection und Cross-Site-Scripting (XSS) genießen bei Sicherheitsverantwortlichen in Unternehmen mittlerweile traurige Berühmtheit. Durch ihren häufigen Einsatz sind Schutzmechanismen oder zumindest Warnsysteme gegen solche Angriffe mittlerweile sehr verbreitet, was sie zwar nicht entschärft, aber immerhin kontrollierbarer macht. Weniger bekannt ist eine andere Angriffstechnik, die genauso viel Schaden anrichten kann, dabei aber meist die klassischen Sicherheitsmaßnahmen unterläuft: Remote File Inclusion (RFI).

Bei diesem Angriff werden Schwachstellen in Web-Applikationen ausgenutzt, um Anwendungen beim Zugriff auf Dateien, die auf unterschiedlichen Servern gespeichert sind, umzuleiten. Die meisten Angriffe zielen dabei auf die Skriptsprache PHP. Da PHP die Eingaben bei solchen Zugriffen nicht ordentlich prüft, lassen sich die verwendeten Links auf andere Webseiten, die sich unter der Kontrolle des Hackers befinden, umleiten.

Entsprechende Sicherheitslücken finden sich in Skript-basierenden Webanwendungen, die Benutzereingaben nicht ausreichend prüfen. Auf diesem Weg ist es deshalb möglich, zusätzlichen Code in ein laufendes Webserver-Skript einzubinden. Normalerweise werden solche Angriffe verwendet, um Webanwendungen zu kontrollieren und Daten abzufangen. Lulzsec jedoch nutzte die Remote File Inclusion, um Webserver mit Bot-Programmen zu infizieren und per UDP-Flooder DDoS-Attacken gegen Webseiten wie die des CIA zu starten.

RFI ist vor allem deshalb so tückisch, weil PHP bei zahlreichen Webseiten verwendet wird – unter anderem bei Facebook oder bei verbreiteten Customer Relationship Management (CRM)-Systemen, die in vielen Unternehmen genutzt werden. Hacker können solche Angriffe für den Diebstahl vertraulicher Daten, für die Manipulation der Informationen oder für die Übernahme des gesamten Servers verwenden.

RFI-Attacken machten zwischen Dezember 2010 und März 2011 nur einen geringen Teil des Datenverkehrs bei von Imperva beobachteten Angriffen aus. Allerdings traten diese Angriffe häufig sehr konzentriert und innerhalb eines kurzen Zeitraums auf – ein deutlicher Indikator für automatische Hacker-Tools, die für Kriminelle die technische Einstiegshürde erheblich senken. Gleichzeitig zielten die Angriffe meist auf eine größere Zahl von Webseiten ab und wurden teilweise über Wochen oder Monate mit dem gleichen Code wiederholt.

»RFI-Angriffe sind besonders gefährlich, weil sie nur wenig verbreitet sind, weshalb viele Unternehmen keine wirkungsvollen Verteidigungsmechanismen gegen sie haben«, so Dietmar Kenzle, Regional Sales Director DACH & Eastern Europe bei Imperva. »Die meisten von ihnen zielen auf die in Deutschland sehr verbreitete Skriptsprache PHP, was die Unternehmen hier überdurchschnittlich angreifbar macht.«

Schützen kann man sich gegen solche Angriffe, indem man Signaturen für bekannte Applikationsschwachstellen nutzt. »Zusätzlich empfiehlt sich eine Web Application Firewall, die über Informationen zu aktuellen RFI-Angriffen verfügt und idealerweise auch eine Blacklist nutzt, mit der sich die bösartigen Links identifizieren lassen. Auf diese Weise lassen sich auch neue Schwachstellen nicht ausnutzen.«

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • Dimension Data Austria GmbH

    Dimension Data Austria GmbH Call Center, IKT-Consulting, Migrations-Management, Outsourcing, Systemintegration und Systemmanagement, Systempflege- und Wartung mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr

Hosted by:    Security Monitoring by: