Wie sicher ist euer Computer... Antivirus, Firewall, Aktuelle Patches... Da kann einem eigentlich doch nichts passieren, oder?
Das dachte ich auch, bis Anfang dieser Woche.
Diese Woche hatte ich eine interessante Schulung: "Hacking Extreme". Bei dieser von einem Sicherheitsunternehmen geleiteten Schulung lernt der Teilnehmer aus Sicht eines Angreifers nach Sicherheitslücken zu suchen.
Das Problem: Wenn die Webanwendung, die man besucht fehlerhaft ist, kann alles passieren. Das "einfachste" ist, dass ein Fremder die Login-Daten klaut etwas mehr Aufwand ist es Schwachstellen im Browser auszunutzen, um direkt euren Rechner zu übernehmen. Bei der Schulung habe ich beides machen dürfen, und es ist erschreckend, wie leicht das geht.
Natürlich haben wir nur alte Schwachstellen in veralteten Browsern angegriffen. Die aktuellen Browser sind doch sicher, oder?
Gerade läuft die "CanSecWest", eine Sicherheitskonferenz. Dort gibt es den Wettkampf "Pown to Own" Da stehen ein paar Laptops mit unterschiedlichen Browsern und Betriebssystemen. Wer einen hackt (pown), kann ihn mitnehmen (own). Der Kandidat für IE8 auf windows 7 klickte auf einen Link im Browser, zwei Minuten später startete der "Taschenrechner" von Windows. Für Techniker heist das: "Ausführen von beliebigen Befehlen im Kontext des Benutzers", und es hätte auch ein Keylogger, ein Trojaner oder etwas ähnliches sein können. Er war sogar noch so nett und hat dabei einen Fortschrittsbalken eingeblendet: "Please wait while you are beeing exploited..."
Der Hack für den Firefox ging noch schneller. Alle Patches, alle Sicherheitsfeatures aktiviert (aber keine Plugins!) und eine Minute nachdem sich der Kandidat hinsetzt ist der Browser gehackt.
Erschreckend...
Kein andere Browser hat bisher einen Angriff ausgehalten. Auch iPhone und die meisten anderen Smartphones nicht. beim iPhone wurden z.B. alle SMS und E-Mails ausgelesen.
Fühlt ihr euch immer noch sicher?
Das einzige, was bisher hilft sind Plugins wie NoScript für den Firefox. Ich weis nicht einmal, ob es für den IE etwas ähnliches gibt.
Die Zusammenfassung eines der Veranstalter: "Wie man an diesem Wettbewerb sehen kann, gibt es immer Fehler in der Software. DEP und ASLR (Die Schutzmechanismen von Windows) sind wirkungslos. Während sich die Schutzmechanismen verbessern gewinnen die Hacker das Rennen."
| 