Kategorie-Archiv: Angriff

Mehr Infos zu den Java-Schwachstellen

Am Montag hatte ich darüber geschrieben, dass Java den Adobe Reader als kritischste Anwendung abgelöst hat. Ich hatte dort auch den Oktober Patchday erwähnt, in dem mehrere kritische Schwachstellen gefixt wurden. Die gefixten Schwachstellen und die möglichen Angriffsszenarien wurden im Minded Security Blog in  drei Artikeln beschrieben.

Beim DNS-Rebinding geht es darum, dem Browser des Opfers einen falschen DNS-Server unterzuschieben um ihn unbemerkt zu manipulierten Inhalten zu locken. Wie das passiert hat Heise in einem Artikel erklärt, der dazu auch eine Grafik enthält (Klick auf kleine Abbildung). Bereits 2006 waren derartige Angriffe mit Java Applets veröffentlicht worden. Angreifer und Verteidiger liefern sich ja seit jeher ein nettes Katz-und-Maus-Spiel um Maßnahmen, Gegenmaßnahmen und Anti-Gegenmaßnahmen. So soll die Java Same Origin Policy einem Applet nur dann erlauben auf Objekte einer anderen Webseite zugreifen, wenn sie aus derselben Quelle stammt. Das soll Angreifern eigentlich das Leben schwer machen, was aber mit DNS-Rebinding ausgehebelt werden kann und nur zu mäßigen Erfolgen führt.

“Das Problem sitzt vor dem Rechner”

“Das Problem bei der Sicherheit sitzt ja oft vor dem Rechner”, sagt Jens Fromm, Senior Researcher am Fraunhofer-Institut für Offene Kommunikationssysteme in Berlin. Und er sagt es auf einer Pressekonferenz zum neuen Personalausweis. Einer der anwesenden Journalisten ist vom Spiegel und der schreibt:

“Vor ein paar Jahren hat die Große Koalition nun mal entschieden, dass diese Probleme alle einen elektronischen Ausweis bekommen sollen.”

Und nun wird das Ding durchgezogen, egal wie gut oder schlecht der Personalausweis geworden ist. Allein schon deshalb, weil die kostenlosen Lesegeräte, von denen selbst das Innenministerium aus Sicherheitsgründen abrät, aus dem Konjunkturpaket II finanziert werden. Wer wollte schon den Aufschwung gefährden? Im Internet sein Auto ummelden, ein Konto eröffnen, eine Versicherung abschließen oder seine Rente abfragen – all das wird bald im Browser möglich sein.

Fromm lässt während der Pressekonferenz seinen Vorführ-Ausweis auf dem Lesegerät liegen. Einer der Journalisten meldet sich:

“Bitte, tun Sie mir einen Gefallen, Herr Fromm. Mir dreht sich der Magen um, wenn ich das sehe. Nehmen Sie den Ausweis von dem Lesegerät herunter.”

Herr Fromm kommt der Aufforderung nach. Eigentlich lächerlich, wenn man bedenkt, dass ein Angreifer ein Skript für sich arbeiten lassen würde, dass bereits in wenigen Sekunden hunderte von Konten eröffnen kann.

Wie hatte Thorsten Schröder vom CCC gesagt:

“Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet.”