News
08.12.2011, 10:27 Uhr
HTML5 bringt neue Gefahren ins Web
Ist der Anwender künftig bereits hinter feindlichen Linien, wenn er lediglich den Browser startet? Der HTML-5-Standard bringt nicht nur Vorteile für User sondern auch ganz neue Angriffsmöglichkeiten für Cyberkriminelle.
HTML5-Begeisterte warten bereits sehnsüchtig auf den finalen Schliff der Auszeichnungssprache. Viele der neuen Möglichkeiten werden schliesslich aus gutem Grund bereits in der täglichen Praxis eingesetzt: Noch nie war es einfacher, interaktive, multimediale und sehr dynamische Internetangebote ohne Drittlösungen umzusetzen.
Doch leider hat auch HTML5 eine Kehrseite, wie die Security-Experten von Trend Micro mitteilen. Nicht nur Webentwickler, sondern auch Cyberkriminelle profitieren von den zahlreichen Features, die es vorher so im Browser nicht gab. Das betrifft in erster Linie neuartige Botnetze, deren Client-seitige Malware direkt aus dem Browser heraus in den Hauptspeicher geschrieben wird und die somit keine lokalen Dateien mehr in den Rechner einschleusen muss.
Dieser Angriffsvektor funktioniert auf jedem Betriebssystem und jedem Endgerät und umschifft ganz nebenbei auch die meisten Anti-Malware-Lösungen, die oft nur die lokalen Verzeichnisse nach Schädlingen absuchen. Da der bösartige Code als JavaScript implementiert ist, das sich technisch gesehen mit wenig Mühe verschleiern lässt, tun sich auch ID/IP-Systeme (Intrusion Detection/Prevention Systems) schwer, die auf das Erkennen von Einbruchsversuchen in Netzwerken spezialisiert sind. Eine gängige Firewall hilft ebenfalls nicht weiter, weil die Malware direkt im Browser ausgeführt wird, der wiederum die entsprechenden Zugriffsrechte auf das Internet bereits besitzt.
Dieser Angriffsvektor funktioniert auf jedem Betriebssystem und jedem Endgerät und umschifft ganz nebenbei auch die meisten Anti-Malware-Lösungen, die oft nur die lokalen Verzeichnisse nach Schädlingen absuchen. Da der bösartige Code als JavaScript implementiert ist, das sich technisch gesehen mit wenig Mühe verschleiern lässt, tun sich auch ID/IP-Systeme (Intrusion Detection/Prevention Systems) schwer, die auf das Erkennen von Einbruchsversuchen in Netzwerken spezialisiert sind. Eine gängige Firewall hilft ebenfalls nicht weiter, weil die Malware direkt im Browser ausgeführt wird, der wiederum die entsprechenden Zugriffsrechte auf das Internet bereits besitzt.
Mittelfristig sind umso mehr zielgerichtete Attacken zu erwarten, je stärker der Browser selbst zum Betriebssystem wird. Auch dank HTML5-Features wie FileRead und FileWrite, die sich noch in der Entwicklung befinden, vergrössert sich der Einfluss des Browsers innerhalb der lokalen Clients immer weiter. Stephanus Schulte, Technical Evangelist für Windows und den Internet Explorer bei Microsoft, ist sich sicher, dass die Browser-Hersteller mithelfen müssen, ganzheitliche Sicherheitskonzepte für lokale Clients zu entwickeln. Es dürfe keine Browser-Lösungen mehr geben, die nicht bereits während des Codings die möglichst vollständige Vermeidung potenzieller Schwachstellen für sich als absolutes Hauptziel in Anspruch nähmen.
«Wir appellieren aber auch jetzt schon an unsere Unternehmenskunden, sich eine grundlegende Browser-Strategie zu überlegen», berichtete Schulte jüngst gegenüber unserer deutschen Schwesterpublikation Computerwoche. Die Zusammenarbeit zwischen Unternehmen wie Microsoft (IE), Apple (Safari), Google (Chrome) und der Mozilla Foundation (Firefox) gestalte sich seit vielen Jahren produktiv, was die gegenseitige Unterstützung in der Entwicklung sicherer Browser betreffe. Steigerungspotenzial ist nichtsdestotrotz immer da.
Um sich vor Browser-basierten Botnetzen einigermassen sicher zu fühlen, sollten zumindest alle Firefox-Anwender das Browser-Plug-in NoScript installieren. Dieses schränkt die Funktionsweise von JavaScript auf nicht vertrauenswürdigen Websites ein und versucht so, bereits das Server-seitige Laden des Schadcodes zu verhindern.
Kommentare
Es sind keine Kommentare vorhanden.
