Die unsichtbare Gefahr aus dem WWW

Die derzeit grösste Gefahr für interne Netzwerke geht momentan von nicht sichtbaren Angriffen durch den Browser eines Anwender-PCs aus. Dies geht aus einer Studie von White Hat Security hervor. Die Attacke nennt sich DNS-Rebinding. Dabei wandeln Angreifer den Browser des Opfers in einen Web-Proxy um, der dann nach der Pfeiffe des Cyberkriminellen tanzt. Nach einer erfolgreichen Übernahme kann der Angreifer das interne Netzwerk, in dem sich das Opfer befindet, durchsuchen und Daten an eine externe Maschine senden. Hinterhältig an der Sache ist, dass sich der Browser komplett normal zu verhalten scheint.

«Das ist so gut wie unmöglich zu sehen, weil es keine Spuren hinterlässt», sagt Grossman gegenüber unserer US-Schwesterpublikation «Networkworld». Für einen erfolgreichen Angriff müssen die Anwender eine speziell präparierte Webseite besuchen, die dann JavaScript nutzt. Der Trick dabei ist, dass für den Browser die interne Maschine und der externe «üble Server» gleich aussehen- Daher ist Datenverkehr zwischen den beiden Maschinen gestattet. In der Untersuchung habe man 100 US-Dollar für Werbung ausgegeben und nach eigenen Aussagen etwa 100'000 Rechner kompromittieren können. Da der Angriff mittels JavaScript ausgeführt wird, ist keine infizierte Datei auf dem Rechner zu sehen. Die DNS-Server würden ebenfalls nicht kompromittiert, somit sei eine Verteidigung gegen Pharming nicht möglich. «DNS-Rebinding ist wirklich übel», meint Grossman.