identitytheft.jpg

Visual Spoofing

Im Gegensatz zu bekannten Attacken, die auf dem Gedanken basieren, Schwachstellen in Protokollen oder Sicherheitslücken in Implementierungen auszunutzen und somit einen gesicherten Informationskanal zu dechiffrieren, wird dem Anwender bei einem Visual Spoofing Angriff suggeriert, er befände sich in einer gesicherten, vertrauten Umgebung. Unter Ausnutzung legitimierter Programmiermittel, die moderne Web-Sprachen zur Verfügung stellen, wird eine gesicherte SSL-Internetverbindung, welche als Status Quo für Sicherheit im Internet gilt, im Web Browser imitiert. Das Resultat ist, der Benutzer glaubt in einer sicheren (d.h. SSL-geschützten) Umgebung zu handeln, identitytheft.jpg weil der Web Browser ihm alle, für eine authentische Seite notwendigen Informationen anzeigt, befindet sich aber tatsächlich in einer gefälschten Umgebung. Der Angreifer gaukelt (engl. spoof) dem Benutzer die Echtheit der Web-Seite vor. Somit können auch keine Aussagen über die kryptograhische Güte der Verbindung getroffen werden.
Weil es dem Angreifer gelingt, einem Benutzer glaubhaft zu versichern, er sei auf der gewünschten Web-Seite, ist der Angreifer in der Lage, alle geheimenen Informationen, wie z.B. Passwörter, Konto-, Kreditkartennummern oder TANs. zu erschleichen. Darüber hinaus kann er das Benutzerverhalten protokollieren, und sein Opfer profilieren. Außerdem kann er gezielt auf die angeforderterten Web-Inhalte Einfluss nehmen, indem er Web-Seiten konzentriert herausfiltert, manipuliert oder fälscht.
Ein traditioneller Web-Browser hat charakteristische Bereiche in seiner Oberfläche, die dem Benutzer Informationen über den Verbindungs- und Sicherheitsstatus anzeigen. Diese Informationen nutzt ein Benutzer, um die Echheit einer Web-Seite zu kontrollieren. Sie werden als Browser Spezifische Sicherheitindikatoren (BSSIs) bezeichnet. In der Abbildung rot markierte Bereiche zeigen die BSSIs am Beispiel des Internet Explorers 6. Hierzu gehören die Status-, Menü- und Adressleiste sowie das Zertifikatsdialog. Der “augenscheinlichste” Indikator für eine SSL-Verbindung ist (normalerweise auch in Browsern anderer Hersteller) das Schlosssymbol in der Statuszeile Das Schlosssymbol impliziert, dass die Web-Seite authentisch, integer und verschlüsselt über das Internet übertragen wurde.

Browser Spezifische Sicherheitsindikatoren

Ein Doppelklick auf das Symbol öffnet den Zertifikatsdialog, welchers alle relevanten Authentifikationsinformationen des Servers zusammenfasst. Es zeigt u.a. den Namen des Servers, den Aussteller des Zertifikates und kryptographische Details an. Die Adresszeile zeigt die Adresse der Web-Seite an und besteht aus Protokollnamen (z.B. HTTPS), der eigentlichen Adresse und evt. zusätzliche Attribute. Das Präfix “https” ist ein weiterer Indikator für den Gebrauch von SSL. Die Wahl eines passenden Domän-Namens kann das Vertrauen in die Echtheit der Web-Seite unterstreichen. Die Menüzeile ist ein indirekter” Indikator, weil sie keine Verbindungs- und Sicherheitsinformationen anzeigt, beinhaltet aber Informationen, die einen Visual Spoofing Angriff aufdecken könnten. Dazu gehören die Möglichkeiten die “tatsächlich” aktivierten BSSIs anzuzeigen, den Zugang zum Source Code zu ermöglichen, so dass erfahrene Benutzer Visual Spoofing am (zusätzlichen) Code erkennen könnten, oder (im Falle von SSL) kryptographische Details der Verbindung zwischen Client und Server.Die nachfolgenden Beispiele demonstrieren Visual Spoofing Angriffe gegen Microsofts Internet Explorer 6 mit allen Sicherheitsupdates bis zum 01.06.2004. Der Angriff ist auf alle Web Browser übertragbar, die es erlauben, Identifikationspunkte einer SSL Verbindung im User Interface, durch Web-Programmiersprachen auszuschalten.

Die markierten Stellen werden mit unterschiedlichen Methoden gefälscht werden. Beispiele sind:

  • Statisch
    • Leisten sind durch Bilder dargestellt
    • Voraussetzung:
      •  keine
  • Dynamisch (JavaScript)
    • Standardleisten und Zertifikatsdialog sind dynamisch mit JavaScript realisiert
      • Zertifikatsdialog zeigt gefälschte Informationen an
      • Adressleiste gibt gefälschte URL an und kann auf gezielte Web Request reagieren
      • Buttonleiste reagiert gewohnt auf Zeigerbewegung (z.B. hovered/clicked Eigenschaft, Buttontext)
      • Menüleiste öffnet alle Menüpunkte und bestätigt damit, dass die Leisten aktiviert sind
    • Voraussetzung:
      • Unterstützung von JavaScript
      • Pop-Up Blocker muss deaktiviert sein, um Zertifikatsdialog zu öffnen
  • Dynamisch mit Flash
    • Zertifikatsdialog ist auf Flash Basis realisiert
    • Zertifikatsdialog ist sichtbar trotz aktiven Pop-Up Blockers
    • Voraussetzung:
      • Macromedia Flash Plug-In
Im Gegensatz zu Viren oder Würmern, deren Schaden über die verursachten Ausfallzeiten gemessen wird, ist der direkte wirtschaftliche Schaden, der durch einen Visual Spoofing Angriff entsteht, erheblich. Der Schaden entsteht hierbei auf Seiten aller involvierten Beteiligten: einerseits ist der Benutzer betroffen, dessen private Daten gestohlen werden, andererseits der „wahre“ Domänebesitzer, der mit dem Missbrauch der gestohlenen Informationen umzugehen hat. Bei einem Visual Spoofing Angriff handelt es sich nicht um einfache Sabotage oder Spielerei, sondern um eine systematische Akkumulation von persönlichen Informationen mit krimineller Intention. Aus diesem Grunde sind Dienstleister wie Banken oder Auktionshäuser und deren Kunden ein beliebtes Ziel.

Arbeitsgruppe Identitätsschutz im Internet