- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Das allwissende, gierige Auge Saurons


Ein gigantisches Auge schaut uns beim Websurfen über die Schulter
Gierig, lautlos, unberechenbar – JavaScript ist der neue Stern am Cyberschurken-Himmel und vermiest einem gehörig das Surfen oder virtuelle Shoppen


- Anzeigen -





Das nächste Mal, wenn man eine Webseite öffnet, stelle man sich vor, dass gleichzeitig eine Filmcrew eintrifft. Ein Kameramann platziert seine Kameralinse direkt über der eigenen Schulter und zwar so blitzartig schnell, dass die Webseite, die man gerade aufruft, noch nicht einmal vollständig geladen ist. Da hat die mitschauende Kameralinse bereits alles auf dem Bildschirm gierig erfasst. Jeder Mausklick, Scroll und Tastenschlag wird registriert. Unrealistisch? Mit Nichten, denn man vergisst allzu gerne, dass die virtuelle Linse existiert, alles sieht und speichert. So bewegt man sich beispielsweise durch den Checkout-Prozess und wird nach Namen, Adresse und Bezahlmodalitäten gefragt.

Solange die Daten noch unversendet auf dem Bildschirm stehen, klebt der Kameramann die Kreditkartennummer mit einem Klebesteifen ab und filmt dann alles. Clever, denkt man noch, dass er die Kreditkartennummer abgedeckt hat, doch Name, Adresse, Email, Kartenfälligkeit wurde vom Tape nicht verdeckt. Prompt fällt einem ein, dass der Kameramann beim Log-in das Passwort ebenfalls nicht abgedeckt hat – Ungemach macht sich breit. Natürlich ist diese Geschichte nicht wahr. Das alles passiert nämlich ohne Kameramann.

JavaScript ist für dieses Szenario verantwortlich. Eine Programmiersprache, die in Webseiten eingebettet wird und die – mehr als jede andere Technologie – das WWW von einer Sammlung an Dokumenten zu einer Kollektion von interaktiven Apps verwandelt. Die betagte, funktionsreiche und etablierte Werkzeugtasche beult sich mit so nützlichen Sachen, wie: clientX und clientY Tools, die die exakte Lokalisierung des Cursors erfassen. Das onkeypress-Ereignis, das jeden Tastendruck verfolgt. Die value-Eigenschaft, die den Inhalt von Formularfeldern festhält. Und darüber hinaus unzählige Objekte, Eigenschaften und Ereignisse, die Webseiten Zugang zu allem möglichen geben, vom aktuellen Aufenthaltsort bis zum Akkustatus des Laptops.

JacaScript Funktionen lassen sich verbinden, so dass sich jede winzige Aktion, die man auf der Webseite macht, aufgenommen wird. Das Skript, das die Session wiedergibt, operiert wie ein stiller Kameramann. Diese Skripte sind nicht sinnfrei. Sie existieren, um den Webseiten-Betreibern bei der Verbesserung ihrer Seite zu helfen, indem sie das User-Verhalten beobachten. Aber: wie viele Webseiten-Nutzer realisieren, dass da gerade gigantische Mengen an Daten gesammelt werden und dass ihre Entscheidung, die Ware im virtuellen Einkaufskorb nun zur Kasse zu bringen oder die Seite zu verlassen, völlig egal ist, und sämtliche geernteten Daten unter den Fittichen von ausgelagerten Tracking-Firmen sind?

Abhilfe schaffen
Eine aktuelle Studie von Wissenschaftlern der Princeton Universität zur Exfiltration von persönlichen Daten durch Session-Replay-Skripte zeigte, in welchem Ausmaß dieser Code auf ganz normalen Webseiten eingesetzt wird, darunter bei hp.com, intel.com, costco.com und gap.com. Zwar sollte jeder Webseitenbetreiber darauf achten, dass die persönlichen Daten der Besucher nicht vom alles verschluckenden Auge Saurons gesehen werden. Bislang kann man sich darauf jedoch nicht verlassen. Aber Nutzer des Internets haben Möglichkeiten, sich vor solchen Machenschaften zu schützen und es kommt vielleicht sogar Hilfe von offizieller Seite:

>> Vor Session-Aufnahmen kann man sich auf die gleiche Art verabschieden, wie man das auch mit anderen Formen unerwünschten Trackings macht: indem man Browser Plugins verwendet, wie Ghostery oder Privacy Badger. Diese Tools können das Abgreifen von Informationen verhindern.

>> Die Datenschutz-Grundverordnung regelt ab Mai 2018, wie Daten gesammelt, gelagert, zugänglich und genutzt werden dürfen. Auch wie Nutzer darüber informiert werden müssen und was bei Zuwiderhandlungen droht. Zwar kann die falsche Datenlagerung sehr teuer werden aber in Anbetracht einer weltweiten Vernetzung, ist diese europäische Regelung vielleicht nicht durchgängig wirkungsvoll.

Michael Veit, IT-Sicherheitsexperte bei Sophos, prognostiziert: "Im Sinne der Datenschutz Grundverordnung sollten Unternehmen im eigenen Interesse sehr vorsichtig sein, welche Daten sie sammeln und speichern. Es ist zu erwarten, dass verantwortungsvolle Unternehmen einen gewissen Teil an Datensätzen sogar löschen werden, um nicht Gefahr zu laufen, mit den neuen Gesetzen in Konflikt zu kommen – je weniger man aufbewahrt, desto weniger kann man verlieren. Allerdings ist dies noch keine Garantie für den Nutzer im Unternehmen oder zuhause. Hier gelten zwei grundsätzliche Regeln. Erstens kritischer im Surfverhalten zu sein und Daten nur dann anzugeben, wenn unbedingt nötig. Zweitens sollten die entsprechenden Security-Mechanismen installiert sein und dazu gehören neben dem wirksamen Security-Tools auch Privacy Plugins für den bevorzugten Browser."
(Sophos: ra)

eingetragen: 13.01.18
Home & Newsletterlauf: 21.02.18


Sophos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Einsatz von KI in Sicherheitsprodukten

    Anbieter von Sicherheitssoftware vermarkten den Einsatz von KI in ihren Produkten als technologischen Fortschritt. Dabei haben sie gar keine Wahl: Cyberkriminelle geben den Takt vor und werden immer mächtiger. Schuld ist der konzeptionelle Ansatz einer ganzen Branche, analysiert Sicherheitssoftware-Anbieter Bromium. Tatsächlich befinden sich Cyberkriminelle im Kampf um die Sicherheitshoheit seit jeher im Vorteil. Sie unterliegen keinen Organisationszwängen, sind schnell, per Definition skrupellos und geben mit immer fortschrittlicheren Attacken den Takt vor. Anbieter von Sicherheitssoftware können neuartige Angriffe nicht antizipieren und müssen reagieren; bis aber angepasste Abwehrmaßnahmen entwickelt und am Ende von ihren Unternehmenskunden produktiv eingesetzt werden, ist es meist schon zu spät. Dann beginnt der Kreislauf wieder von vorne.

  • Virtualisierung wird zum Retter der IT

    Sicherheitsvorfälle sind weiter an der Tagesordnung und klassische Sicherheitsmaßnahmen haben mehr als einmal versagt. Einen Ausweg aus dem Sicherheitsdilemma bieten Virtualisierungslösungen, meint Bromium. Noch vor wenigen Jahren schien es undenkbar, dass eine Bank ihre auf Mainframes angesiedelten unternehmenskritischen Kernapplikationen auch auf virtuellen Servern betreibt. Heute bilden virtuelle Infrastrukturen im Bankenumfeld keine Ausnahme mehr. Die Entwicklung weg von physischen Infrastrukturen hin zu virtuellen Architekturen zeigt sich in der gesamten IT. So ist die Virtualisierung im Server- und Storage-Bereich bereits der Standard. Der Virtualisierungstrend erfasst aber nicht nur Server- und Storage-Landschaften, sondern seit geraumer Zeit auch Applikationen, Netzwerke und sogar einzelne Netzwerkfunktionen. Und aktuell setzt sich zunehmend die Erkenntnis durch, dass Virtualisierung gerade auch hinsichtlich der IT-Sicherheit entscheidende Vorteile bringt.

  • Diebstahl von Passwörtern

    Der Diebstahl von Passwörtern geschieht nicht nur durch Software und Social Engineering - es kann auch schon eine Wärmebildkamera ausreichen, die kostengünstiger und somit für Cyberkriminelle immer interessanter wird. Laut einer Untersuchung von Wissenschaftlern der University of California reichen die Wärmespuren (Heat Traces) auf handelsüblichen Tastaturen aus, um Passwörter abzugreifen. Nach Einschätzung der Forscher sind besonders leicht Eingaben von Nutzer des Zwei-Finger-Suchsystems auslesbar. Diese ungewöhnliche Methode des Passwortknackens könnte im Bereich Cyber- und Industriespionage zum Tragen kommen.

  • Lösegeld-Flatrate für Unternehmen

    WannaCry hat Ransomware zu einer besonders zerstörerischen Dimension verholfen. Mit WannaCrypt erscheint nun eine neue Variante der Erpressungssoftware: Zahlt, dann bleibt ihr verschont. Sophos gibt eine Einschätzung und Tipps zum Umgang mit Ransomware. Gibt es Schlimmeres als einen Ransomware-Angriff, der sämtliche Dateien zerhackt und Geld fordert, damit der Computer wieder befreit wird? WannaCry hat der Ransomware-Gefahr eine ganz neue Dimension verliehen, indem es den Prozess der Datenzerstörung mit einem selbst verbreitenden Computer-Virus kombinierte. Als Ergebnis konnte WannaCry sich automatisch ins eigene Netzwerk einschleichen und hatte das Potenzial, Hunderte oder sogar Tausende PCs in einer einzigen Attacke zu zerlegen - auch wenn nur ein einziger Nutzer einen Anhang mit derartiger Sprengladung öffnete oder eine Datei von einer infizierten Webseite downloadete.

  • Hacker-Angriffe: Weiterhin Handlung

    Fragen Sie sich doch einmal selbst: Würden Sie eher die E-Mail-Nachricht eines Prinzen aus Nigeria öffnen, der Sie um Hilfe bittet, oder die, bei der Sie einfach nur "hier klicken" müssen, um kostenlose Tickets zur Fußballweltmeisterschaft zu erhalten? Cyberkriminelle halten immer Ausschau nach günstigen Gelegenheiten, um Verbraucher zu täuschen. Wenn große Datenpannen bekannt werden, versenden sie zum Beispiel oft Sicherheitsmeldungen, die die Empfänger dazu auffordern, ihre Daten zu sichern. Oder sie verschicken Links zu meist unvorteilhaften und daher für eine Veröffentlichung gesperrte Fotos von Prominenten.