Das Tor zur Welt
Firewalls schützen nicht vor fehlerhaften Web-Browsern
Copyright (C) 12/1998 by Howard Fuhs
Ist Ihr Unternehmen an das Internet angeschlossen?
Haben die Mitarbeiter Zugriff auf das World Wide Web?
Hat Ihr Unternehmen den Internetzugang durch eine Firewall geschützt?
Halten Sie die Nutzung des Internets durch die Firewall für sicher?
Wenn Sie auf die letzte Frage mit ja geantwortet haben, dann haben Sie eine Gefahrenquelle des Internets total übersehen. Den WorldWideWeb-Browser.
Die Funktion der Firewall eines Unternehmens sollte auf bestimmten Regeln basieren. In diesen Regeln wird festgelegt, auf welche Art von Internet-Service der Zugriff erlaubt ist und welcher nicht (so kann z.B. FTP erlaubt sein und TELNET nicht). Was passiert aber, wenn der Anwender über einen WWW-Browser ins Internet geht, was nach den Regeln der Firewall ein erlaubter Internet-Service ist, jedoch der WWW-Browser über Sicherheitslücken verfügt? In den allermeisten Fällen besteht dann eine unsichere Verbindung zum Internet die durch die Firewall in aller Regel nicht geschützt werden kann. Der Angreifer aus dem Internet kann dann durch eine bestehende Firewall hindurch einen Rechner oder gar Teile des Unternehmensnetzwerkes attackieren oder ausspionieren, ohne dass es der Firewall auffällt, da die vom Anwender genutzten Internet-Services regelkonform sind. Der Angreifer tunnelt sich praktisch einen Weg durch die Firewall!
Das schwächste Glied der Kette
Auch für den Bereich der Daten- und hier speziell der Internet-Sicherheit gilt die Aussage, dass die stärkste Kette nur so stark ist wie deren schwächstes Glied. Wurden in den letzten Jahren von Unternehmen gewisse Sicherheitsmaßnahmen zum Schutz von Firmennetzwerken eingeführt, so kristallisiert sich immer mehr heraus, dass die schwächsten Glieder in der Sicherheitskette die Internet-Browser sind. Die implementierten Fehler die missbraucht werden können sind Legende. Es vergeht keine Woche in der nicht ein neuer missbrauchsfähiger Fehler entdeckt wird. Im Internet beschäftigen sich bereits ganze Newsgroups und Mailing-Lists mit dem Thema Bugs in Browsern.
Das aktuellste Beispiel in Bezug auf Sicherheitslücken gab wieder einmal der Microsoft Internet Explorer 4.0 zum Besten. Nach langer Betatest-Phase für gut befunden musste nun festgestellt werden, dass ein kleines Java-Script auf einer Web-Seite ausreicht um unbemerkt Daten von der Festplatte des Browser-Nutzers zu lesen.
Die bisher ermittelte Fehlerliste für Internet-Browser ist also lang:
Aktive Funktionalität im Browser obwohl im Setup ausgeschaltet.
Dabei ist z.B. die JavaScript Funktion im Setup ausgeschaltet,
JavaScripts werden aber vom Browser ausgeführt.
Eine URL-Angabe mit illegalem Zeicheninhalt wird als ausführbarer Programmcode interpretiert.
Damit kann ein Angreifer Zugriff auf die Festplatte des lokalen Rechners erhalten usw.
Dies sind nur zwei Beispiele von vielen aus den vergangenen zwölf Monaten. Fairerweise muss an dieser Stelle angemerkt werden, dass der Browser von Netscape mit ähnlich gelagerten Sicherheitsproblemen kämpft.
Hinzu kommt der Aufwand auf Seiten des Anwenders sich ständig zu informieren, welche neuen Sicherheitslücken in seinem Browser entdeckt wurden, ob sich denn die Programmierer des Browsers tatsächlich dazu herablassen einen Patch (oder auch Bug Fix genannt) zu programmieren, und schließlich, wo dieser Patch im Internet erhältlich ist um sich dann den Patch herunterzuladen und zu installieren.
Bei diesen Unsicherheiten der WWW-Browser braucht man sich auch nicht zu wundern, dass beim Internet-Anwender und Konsumenten Applikationen wie E-Commerce mit Skepsis betrachtet werden. Welcher Endanwender kann schon beurteilen, wie sicher ein System ist, wenn es die Programmierer von Web-Browsern nicht schaffen ihre Produkte in einem vernünftigen Rahmen sicher zu programmieren.
Erkundigt man sich nun in der Fachwelt der Datensicherheit, so erfährt man bei mancher Gelegenheit, dass selbst SSL (Secure Socket Layer) nur noch als bedingt vertrauenswürdig gilt und auch nur noch auf kurze Sicht hin eingesetzt werden sollte. Die staatlich zugelassenen und angewandten Verschlüsselungsverfahren sind zu schwach, die Implementierung in Betriebssystemen und Applikationen ist mitunter fehlerhaft oder einfach nur schlecht programmiert und beides fördert nicht die Sicherheit. Aber auch der "Computeruntergrund" schläft nicht. Dabei handelt es sich nicht einmal um Computeruntergrund, wenn Gruppen im Internet Rechenkapazitäten auf verschiedene Rechner verteilen und dann in der Lage sind eine Verschlüsselung innerhalb eines akzeptablen Zeitraumes zu knacken, die den Endanwendern als für ihre Zwecke sicher verkauft wird. Zum Glück geht es diesen Gruppen eigentlich nur um die Beweisführung, dass unsichere Verschlüsselungsmethoden weiträumig eingeführt sind und eine Vielzahl von Computernutzern sich darauf verlassen. Was die verteilte Rechenkapazität über das Internet anbelangt, so gibt es bereits Applikationen, welche dies als Bildschirmschoner machen, d.h. die Totzeiten eines Computers ausnutzen, um einen kleinen Teil einer komplexen Berechnung durchzuführen und dann das Resultat per Internet an den "Auftraggeber" zurückzuschicken.
Was das Vertrauen in E-Commerce angeht, werden einige marktbeherrschende Firmen erst realisieren müssen, dass man sich Vertrauen verdienen muss und nicht einfach so geschenkt bekommt. In Verbindung mit dieser Erkenntnis bei den Software-Firmen muss der Kunde gleichfalls erkennen können, dass diese Qualitätserkenntnis in die Software-Produkte auch tatsächlich mit einfließt und nicht einfach von Schlipsträgern aus der Marketingabteilung schöngeredet wird.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 12/1998 by Howard Fuhs