Suchen

Top 10 der Web-Hacking-Techniken Schwachstelle in MD5-Hash-Algorithmus ist größte Internet-Bedrohung

| Redakteur: Stephan Augsten

Gefälschte Signaturen, Protokoll-Schwachstellen, manipulierbare Web-Anwendungen: Auf der RSA Conference 2010 hat ein Security-Experte seine Hitliste der Web-Hacking-Techniken 2009 vorgestellt. Die Top Ten der Internet-Gefahren führt eine MD5-Schwachstelle an, über die ein Hacker digitale Zertifikate im Namen einer fingierten Zertifizierungsstelle ausstellen kann.

Firmen zum Thema

Kein Lichtblick: Zu den gefährlichsten Hacking-Techniken im Internet gehören seit langem bekannte Exploits.
Kein Lichtblick: Zu den gefährlichsten Hacking-Techniken im Internet gehören seit langem bekannte Exploits.
( Archiv: Vogel Business Media )

Jeremiah Grossman gilt in der IT-Sicherheitsbranche als Websicherheitsguru. Im Rahmen der RSA Conference 2010 hat der Security Chief Technology Officer von Whitehat seine aktuelle Top Ten der gefährlichsten Web-Hacking-Techniken des vergangenen Jahres vorgestellt. Auch in der nunmehr vierten Version der „Top 10 Web Hacking Techniques 2009“ erläutert Grossman undurchsichtige und bedeutende Exploit-Szenarien.

Angeführt wird die Liste von der Möglichkeit, Web-Browser mit Zertifikaten einer fingierten Zertifizierungsstelle (Certificate Authority, CA) zu täuschen. Hierfür machen sich Angreifer eine Schwachstelle im MD5-Hash-Algorithmus zunutze, die unter speziellen Umständen einen Kollisionsangriff ermöglicht. Dabei wird ein gefälschtes Duplikat eines digitalen Fingerprints mit einem identischem Hash-Wert erzeugt.

Diese Schwachstelle wurde bereits Ende 2008 von einigen Sicherheitsforschern aufgedeckt und untergräbt das Vertrauen in die Internet-Infrastruktur. Denn Web-Nutzer können sich der Integrität von Zertifikaten sowie Webseiten nicht mehr sicher sein. Der MD5-Algorithmus wird laut Grossman zwar noch von einigen CAs genutzt, muss nun aber glücklicherweise nach und nach dem sichereren SHA-1-Algorithmus weichen.

Die zweitgefährlichste Hacking-Technik ist laut der Liste die sogenannte HTTP Parameter Pollution: Indem man mehrere Anfragen an eine Webseite schickt, kann man sowohl Funktionen zur Eingabevalidierung als auch Web Application Firewalls umgehen. Gelingt dies einem Hacker, kann er anschließend nicht nur Website-Inhalte ändern, sondern auch das Verhalten der Webanwendungen beeinflussen. Dadurch kann man laut Grossman beispielsweise Web-Mail-Nutzer dazu bringen, ihr eigenes E-Mail-Konto zu löschen.

Intranet-Attacken nach wie vor nicht im Griff

Im Rahmen seines Vortrags konnte der Sicherheitsexperte zwar nicht jede einzelne Hacking-Technik im Detail erläutern, hob aber einige Sicherheitsrisiken für private Intranets hervor. Dazu gehörte auch das DNS-Rebinding, eine bereits seit mehreren Jahren bekannte aber nach wie vor effektive Attacke.

Beim DNS-Rebinding verwendet der Angreifer einen Domain Name Server (DNS) und nutzt missbräuchlich die Methoden, wie ein Browser sich IP-Adressen erschließt. Nach einem erfolgreichen Angriff kann der Hacker den Browser als Netzwerk-Proxy nutzen, um auf die eigentlich abgeschottete Intranet-Zone zuzugreifen.

Analog dazu erlaubt auch die RFC-1918-Methode mittels einer iFrame-Injektion und anschließender Man-in-the-Middle-Attacke den Zugriff auf vertrauenswürdige Intranets. „Urplötzlich liegt Javascript-Malware im Browser-Cache“, erläutert Grossman. „Selbst wenn ein Opfer den Browser schließt, bleibt der Schadcode zwischengespeichert, weil der Angreifer den Datenstrom beeinflusst hat.“

Weitere Informationen zu Grossmans Arbeit als Sicherheitsforscher und die vollständige Liste der Top 10 Web Hacking Techniques 2009 im Blog von Jeremiah Grossman.

(ID:2043887)