Suchen

Drive-by-Pharming

| Redakteur: Gerald Viola

Drive-by-Pharming ist ein Exploit, bei dem der Angreifer einen nicht ausreichend geschützten Breitband-Router ausnutzt, um sich den Zugriff auf Benutzerdaten zu verschaffen. Symantec

Drive-by-Pharming ist ein Exploit, bei dem der Angreifer einen nicht ausreichend geschützten Breitband-Router ausnutzt, um sich den Zugriff auf Benutzerdaten zu verschaffen. Symantec hat diese Technik in Zusammenarbeit mit der Indiana University als Proof-of-Concept entwickelt; der Angriff konnte zum Identitätsdiebstahl oder anderen unerwünschten Ergebnissen wie Denial-of-Service (DOS) oder die Infektion durch Schadprogramme führen. Zu den Routern, die für den Drive-by-Pharming Angriff anfällig waren, zählten Produkte von Cisco, D-Link, Linksys und Netgear. Cisco hat eine Meldung veröffentlicht, in der bestätigt wurde, dass 77 Prozent der Router gefährdet waren.

Die Schwachstelle rührt daher, dass die meisten Router mit einem Standardpasswort und vorkonfigurierten, internen IP-Adressbereichen ausgeliefert werden und über eine Web-basierte Konfigurationsschnittstelle verfügen. Im Dezember 2006 veröffentlichten die Forscher Sid Stamm, Zulfikar Ramzan und Markus Jakobsson einen Bericht unter dem Namen „Technical Report TR641: Drive-by-Pharming“. Obwohl es bis dahin noch keine Meldungen über Drive-by-Pharming in freier Wildbahn gegeben hatte, demonstrierten die Forscher, wie einfach es sein würde, das normale Surfverhalten der User auszunutzen, welche die Standardpasswörter ihrer Router nicht ausgetauscht hatten.

Um diese Schwachstelle auszunutzen, musste der Angreifer lediglich eine einzige Zeile JavaScript schreiben, welche die bekannten Standard-Routerpasswörter listete (diese sind im Internet erhältlich) und eine HTTP-Query auslöste, um die DNS-Servereinstellungen des Routers auf den eigenen DNS-Server verweisen zu lassen. Der Angreifer kann das JavaScript dann in den HTML-Code einer Webseite einfügen und User durch Links in Spam oder auf einer gültigen – aber kompromittierten – Website auf die Seite umlenken.

Wie bei anderen Pharming-Angriffen nutzt Drive-by-Pharming das normale Browsing-Verhalten des Users aus, indem es Anforderungen umleitet. Nachdem der User auf die Webseite mit dem JavaScript wurde, kann der Angreifer problemlos eine Seite umleiten und auf alle Daten zugreifen, die der User dort eingibt. Pharming unterscheidet sich dadurch vom Phishing, dass sie eine größere Menge von Computer-Usern in die Irre geleitet werden kann, weil es nicht notwendig ist, die Opfer einzeln anzusprechen, wobei keine bewusste Aktion seitens des Opfers erforderlich ist.

Um sich gegen Drive-by-Pharming zu schützen, sollten Benutzer die Standardpasswörter ihrer Router bei der Installation ändern. Laut den Ergebnisse der Studie durch Indiana University unterlassen es 50 Prozent aller Benutzer, diese Maßnahmen zu ergreifen. Um eine Online-Umgebung zu erschaffen, die insgesamt mehr Sicherheit bietet, sollten die Routerhersteller Prozeduren einrichten, die für eine Änderung der Standardeinstellungen während der Installation und Konfiguration sorgen.

(ID:2020879)