Soziale Netzwerkseiten verbinden Millionen von Internet-Usern – und liefern sie auch gleichzeitig Angriffen aus dem Netz aus. Am letzten Tag der Hackerkonferenz Defcon gab es gleich mehrere Vorträge, die alle um das gleiche Thema kreisten: Die Verwundbarkeit von massenhaft frequentierten Web-2.0-Seiten wie Myspace.com oder Youtube.com. Insbesondere Myspace ist ein attraktives Ziel für Attacken, da die Seite reichlich Gebrauch von Web-2.0-Elementen macht und sich somit zahlreiche Angriffsmöglichkeiten bieten. Außerdem ersetzt das interne Nachrichtensystem für viele Myspace-User den herkömmlichen E-Mail-Austausch, so dass externe Virenscanner chancenlos sind.
Dan Hubbard, Senior Director of Security and Technology Research von Websense, zeigte in seinem Vortrag, wie fatal ein Angriff innerhalb von Myspace ausfallen kann: Die meisten User nehmen beliebig viele Kontakte auf, so dass sie binnen kurzer Zeit tausende von Freunden innerhalb von Myspace haben. Die Rekordhalterin kommt gar auf zwei Millionen virtuelle Kontakte. Wird nun ein Myspace-Profil von Crackern übernommen, können diese E-Mails mit Links zu bösartigen Websites verschicken – die Empfänger werden dem Link gerne folgen, kommt er doch vermeintlich von einem Freund.
Wie anfällig Myspace gegenüber Attacken ist, zeigte der 21-jährige Student und Netzwerk-Admin Rick Deacon in einem anderen Vortrag. Er demonstrierte eine inzwischen geschlossene Sicherheitslücke von Myspace, durch die ein Angreifer die Online-Session eines Myspace-Users übernehmen kann. Der Angreifer muss hierzu nur per XSS-Attacke (Cross-Site Scripting) an das auf dem Rechner des Opfers abgelegte Myspace-Cookie kommen und hieraus den Myuserinfo-Teil in sein eigenes Cookie kopieren. Nach einem Refresh des Browsers gehört dem Angreifer das Profil seines Opfers und er kann E-Mails mit weiteren Links zu seiner Angriffsseite schicken.
Deacon hat Myspace bereits vor Monaten auf diese Sicherheitslücke aufmerksam gemacht, jedoch keine Reaktion erhalten. Direkt nach Deacons Vortrag wurde dessen Myspace-Account vom Betreiber wegen Verletzung der Geschäftsbedingungen gelöscht und Myspace verkündete, dass die Lücke geschlossen wurde. Laut Deacon gibt es jedoch noch hunderte weitere dieser Lücken, und es ist nur eine Frage der Zeit, bis die nächste ausgenutzt wird.
Neueste Kommentare
Noch keine Kommentare zu Gipfeltreffen der Hacker-Elite: Black Hat und Defcon 2007
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.