Angriff per Post
Offline-Ärger durch Web-Formulare
Copyright (C) 05/2003 by Howard Fuhs
Das größte Problem mit Computern und dem Internet ist die Tatsache, dass Angriffe in großem Maße automatisierbar sind, ist erst einmal eine entsprechende Sicherheitslücke gefunden. Was früher durch tagelange Arbeit wenig erfolgversprechend hätte durchgeführt werden können, kann heute mit einigen hundert Zeilen Perl-Script innerhalb weniger Stunden erfolgreich erledigt werden. Hält man sich diese Tatsache vor Augen, dann sollte die Datensicherheit einen entsprechenden Stellenwert in Unternehmen haben. Dies gilt vor allem dann, wenn das Internet umfangreich zur Kommunikation mit Kunden und zur Gewinnung von Neukunden genutzt wird. Denn selbst diese rudimentären Mechanismen des Internets und der Unternehmenskommunikation können zum Nachteil aller Beteiligten missbraucht werden.
Seit einiger Zeit sind Application Programming Interfaces (API) für Internet Suchmaschinen von deren Betreiber erhältlich. Zweck dieser API's ist es, für Softwareentwickler eine Möglichkeit zu bieten, eigene Front-End-Entwicklungen auf Basis der Suchmaschinendatenbank zu erstellen. Damit besteht die Möglichkeit Datenabfragen bei den Suchmaschinen zu automatisieren, diese Funktionalität in Produkte zu integrieren und damit auch portabel zu gestalten. Augenmerk sollte hierbei auf die Automatisierung der Abfragen gelegt werden, da über eine solche API große Mengen von Abfragen an die Datenbank der Suchmaschine übergeben und noch größere Datenmengen an Suchergebnissen automatisch weiterverarbeitet werden können. In gewissem Sinne kann man hier von der Möglichkeit des Data Minings sprechen. Auf Basis dieses Prinzips wurden jetzt Angriffsszenarien entwickelt, die jeden treffen können, auch ohne E-Mail Adresse und Internetzugang, und gegen die man sich kaum wehren kann, solange nicht entsprechende Schutzmaßnahmen in der Programmierung von Webseiten berücksichtigt werden.
Sucht man über eine Suchmaschine mit den richtigen Suchbegriffen, findet man mit einer Trefferquote zwischen 70% und 90% Webseiten, die ein Formular zur Adresseingabe beinhalten. Solche Formulare dienen Unternehmen zur strukturierten Abfrage von Adressdaten vom Anwender, um dessen Adressdaten dann automatisch in einer Datenbank weiterverarbeiten zu können. Da in solchen Web-Formularen die einzelnen Felder in aller Regel mit entsprechenden allgemeingültigen Namen versehen sind, wie z.B. Adresse, Postleitzahl, Straße oder Name, Vorname, können solche Web-Formulare einfach durch einen Parser analysiert, bearbeitet und der entsprechende Inhalt in die richtigen Felder automatisch eingetragen werden. Dabei können bereits einfache Parser bestehend aus wenigen Zeilen Code einen Erfolg von über 70% bei der Gesamtheit der gefundenen Web-Formulare vermelden. Je ausgefeilter der Parser-Code ist, desto höher wird die Erfolgsrate.
Ein denkbarer Angriff könnte also darin bestehen, dass zuerst über API-Funktionalitäten von Suchmaschinen große Mengen an solchen Web-Formularen gesucht werden. Wer ansatzweise eine solche Suche unternommen hat, wird schnell feststellen, dass zehntausende von Seiten gefunden werden können. Danach werden diese Seiten aufgerufen, die Adressdaten eines Opfers mittles des Parsers automatisch in das Formular eingetragen und das Formular zurückgesendet. Das hätte zur Folge, dass die Person, deren Adresse missbraucht wird, sich über die ständig ansteigende Flut von Produktkatalogen, Werbebriefen und Preisauschreiben wundern wird. Man nehme 10% von Zehntausend erfolgten Einträgen und die betroffene Person wird eintausend Werbesendungen innerhalb eines überschaubaren Zeitraumes erhalten. Dabei kann die Person sich gegen diese Flut nicht mehr wehren, wenn sie erst einmal in den Datenbanken eingetragen ist.
Auf der anderen Seite sind die Firmen, die für die Herstellung und den Versand von legitimer Werbung Geldmittel aufwenden, um damit ungewollt Personen zu belästigen, die dadurch wohl nicht als Kunden gewonnen werden können. Die Werbekosten könnten durch solchen Missbrauch in die Höhe getrieben werden, ohne dabei eine erkennbare Steigerung der Kundenbasis zu erzielen.
Eine vernünftige Vorkehrungsmaßnahme gegen solche Angriffe ist nur auf Seiten der Webseitenbetreiber möglich. Dabei muss in das Webformular eine Abfrage eingebaut werden, die nicht maschinell, sondern ausschließlich von einem Mensch beantwortet werden kann. Dies kann z.B. in Form von angezeigten Grafiken erfolgen, deren Inhalt (z.B. ein Text) in einem Eingabefeld wiedergegeben werden muss. Auch ist ein Challenge-Response-System denkbar, bei dem nach Absenden des Formulars eine E-Mail erzeugt wird, auf die geantwortet werden muss. Erst nach erfolgter Antwort wird der eingegebene Datensatz in die Datenbank übernommen.
Die hier oberflächlich beschriebene Missbrauchstechnik ist in Fachkreisen bereits seit 2000 bekannt. Doch jetzt wird diese Technik auch im Internet von entsprechenden Untergrundgruppen diskutiert. Man kann gespannt sein, wann diese Möglichkeit das erste Mal umgesetzt und angewandt wird. Webmastern sei jetzt schon geraten, Vorkehrungen zur Absicherung von entsprechenden Formularen zu treffen, denn wenn diese Technik erst in den Händen der Script-Kiddies ist, wird es schnell zu massenhaftem Missbrauch kommen - zum Ärger aller Beteiligten.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 05/2003 by Howard Fuhs