Virenschutz nutzlos: Kleine Software unterjocht User zu Hacker-Sklaven

4. April 2007, 11:09
20 Postings

Wissenschaftler hat Weg gefunden, wie Angreifer Web-Surfer zu ihren Handlangern machen können, ohne das Kommando über die Computer ergreifen zu müssen

Möglich machen soll dieses Horrorszenario ein kleines Security-Tool namens Jikto, schreibt das IT-Branchenblatt Cnet. Die Software ist in JavaScript geschrieben und kann PCs von Internet-Nutzern nicht wissend nach Schwachstellen in Webseiten suchen lassen, behauptet der Entwickler Billy Hoffman, ein Forscher der Sicherheitsfirma SPI Dynamics. Hoffman, der das Tool erschuf, um die Web-Sicherheit zu erhöhen, plant Jikto Ende der Woche im Rahmen des ShmooCon hacker Events in Washington zu veröffentlichen.

Böse

"Das wird die Grenzen der bösen Dinge, die man mit JavaScript machen kann, drastisch erweitern", betont Hoffman. "Jikto wandelt jeglichen PC in meine kleine Drohne. Ihr PC wird, anstelle meiner, Webseiten attackieren und sie werden mir alle Resultate liefern". Jikto ist eine Web-Applikation und fungiert als Schwachstellen-Scanner. Es kann unbemerkt öffentlich zugängliche Seiten abtasten, überprüfen und dann die gesammelten Informationen an einen Dritten weiterleiten. Die Software kann dabei in eine Webseite des Angreifers eingebettet sein oder sich über eine Schwachstelle auch in eine scheinbar vertrauenswürdige Seite einnisten, sagt Hoffman.

Unterschiede

An sich sind Schwachstellen-Scanner nichts Neues, der Namensvetter Nikto wäre ein bereits etabliertes Beispiel dafür. Doch Jikto ist im Gegensatz zu seinen "Kollegen" keine traditionelle PC-Software, sondern läuft allein in Webbrowsern und agiert System- und Computer-übergreifend. So kann die Anwendung nach verschiedensten Lücken suchen, um dann dem Angreifer zu melden, welche Seite aufgrund welcher Schwachstelle für einen Angriff in Frage käme.

Verschleiert

"Zur Hälfte geht es beim Hacken darum Informationen zu sammeln und diese dann zu sortieren. Ein Angreifer kann diese Aufgabe nun auf viele Leute aufteilen", unterstreicht Hoffman. Zudem ist es für die Betreiber der attackierten Webseiten unmöglich den eigentlichen Übeltäter zu identifizieren, da die Seite von einem unwissenden Dritten - einem x-beliebigen Internet-User - geprüft wurde, der sich zuvor auf einer anderen Webseite mit Jikto "angesteckt" hat.

Kein Schutz

Eine weitere Hinterlist des Tools ist die Tatsache, dass es sich nicht wie ein üblicher Bot über eine Schwachstelle an ein System heftet. "Als Anwender können sie nicht wirklich etwas gegen Jikto und andere JavaScript-basierten Bedrohungen tun. Ich sende ihnen da keinen Trojaner. Ich kompromittiere ihren Computer nicht wirklich. Das ist es, was es so beängstigend macht. Virenschutz kann ihnen nicht helfen", gibt Hoffman zu Bedenken.

Web 2.0-Desaster

Gerade die boomenden Web 2.0-Seiten, bei denen JavaScript häufig eine Rolle spielt, machen das Internet für derartige Attacken so attraktiv. Zurzeit kann Jikto lediglich Seiten scannen und Schwachstellen ausmachen. Hoffman plant allerdings eine erweiterte Version zu veröffentlichen, die gleich auch passende Exploits dazu liefern kann. (red)

  • Artikelbild
    standard / zsolt wilhelm
Share if you care.