Kurz-URLs tricksen Browser-Sicherheit aus

28. Jänner 2009, 10:01
13 Postings

Cyberkriminelle mit TinyURL und Co gegen Google

Googles Safe Browsing zum Schutz vor Phishing- und Malwarewebseiten ist ein Werkzeug, das unter anderem Nutzern der Browser Chrome und Firefox mehr Sicherheit im Internet verspricht. Doch Cyberkriminelle haben Kurz-URL-Angebote wie TinyURL als Methode entdeckt, um den von Safe Browsing gebotenen Schutz zu umgehen, so Moshe Basanchig, Security Researcher beim IT-Sicherheitsunternehmen Finjan. Die Kurz-URLs nutzen nämlich den vertrauenswürdigen Domainnamen des jeweiligen Dienstes, leiten den User aber auf die eigentlich bösartige Webseite um. „Safe Browsing kann angepasst werden, um das Problem zu lösen“, meint Finjan-CTO Yuval Ben-Itzhak.

Kürzer

Werkzeuge wie TinyURL, bit.ly, w3t.org und andere dienen dazu, dauerhafte Kurz-URLs zu erstellen. Statt beispielsweise beim E-Mail-Versand mit einem langen, unhandlichen zu einer Webseite hantieren zu müssen, können User dann einfach die kompakte Zeichenkette verwenden. Um die von Googles Safe Browsing angezeigten Warnungen vor bekannt gefährlichen Webseiten zu umgehen, verpacken nun Cyberkriminelle ihre Links beispielsweise in eine TinyURL. „Das ist eine deutlich kürzere URL, welche die eigentliche, schädliche versteckt“, so Basanchig. Der kurze Link wird außerdem von Safe Browsing nicht als verdächtig eingestuft, da es Tausende ungefährliche Kurz-URLs gibt, die mit TinyURL erstellt wurden.

Ausgenutzt

„Die Technik nutzt die Tatsache aus, dass Safe Browsing Sites nur auf der Domain-Ebene nutzt“, erklärt Basanchig. Einen Domainnamen zu nutzen, der immer als nicht-bösartig eingestuft wird, sorgt daher dafür, dass vor einer infizierten Webseite nicht gewarnt wird. Der sichtbare Link einer TinyURL verweist nun immer auf die Domain tinyurl.com, unabhängig davon, zu welcher Webseite danach umgeleitet wird. Analoges gilt auch für andere Kurz-URL-Dienste. Zwar glaubt man bei Finjan, dass Safe-Browsing so angepasst werden kann, dass es auch vor gefährlichen Kurz-URLs warnt. „Allerdings basiert Safe Browsing auf einem Feed bekannt bösartiger URLs. Was ist mit Safe Browsing unbekannten Links, davon gibt es viele“, meint jedoch Ben-Itzhak. Generell sieht man Black- oder Whitelists bei Finjan nicht als optimal an. „ Wir glauben, dass jede Webseite in Echtzeit inspiziert werden muss um festzustellen, ob sie bösartig ist“, sagt der Unternehmens-CTO. Finjan habe zwölf Jahre Erfahrung mit der Echtzeit-Contentanalyse.

Ertappt

Finjans Sicherheitsexperten haben neben missbräuchlichen TinyURLs auch gefährliche Kurz-URLs bei bit.ly gefunden. Die entdeckten bösartigen Links wurden Basanchig zufolge von den beiden Unternehmen bereits entfernt. Aber neue, gefährliche Kurz-URLs könnten jederzeit auftauchen. „Seien Sie sich dessen bewusst, wenn Sie auf solche Links klicken, wenn Sie sie empfangen. Stellen Sie sicher, dass Sie aktuellen und ausreichenden Web-Schutz eingerichtet haben“, mahnt daher der Finjan-Experte. (pte)

  • Safe Browsing: Diese Warnung wird mit Kurz-URLs umgangen
    pte

    Safe Browsing: Diese Warnung wird mit Kurz-URLs umgangen

Share if you care.