Grüne und Piraten in der EU planen “Bill Of Rights” für das Internet


image

Christian Engström

Wie der schwedische Europaabgeordnete der Piratenpartei Christian Engström heute in seinem Blog (engl.; schwed.) bekanntgab, plant die Fraktion der Grünen und Piraten im Europaparlament, eine Verfassung für das Internet aufzustellen. Diese soll unter Einbeziehung der Internetgemeinschaft entstehen und letztendlich eine Mehrheit des Europäischen Parlaments überzeugen.

Engström schlägt in seinem Blog drei Punkte vor, die die Verfassung in jedem Fall beinhalten sollte:

1. Die Grundrechte in Form der Europäischen Menschenrechtskonvention

2. Netzneutralität: sprich keine Zugriffsbeschränkungs- bzw. Zensurmaßnahmen


3.Reine Leitungen” (mere conduit): Anbieter von Netzinfrastruktur sollen nicht für über sie übertragene Informationen haftbar gemacht werden können.

Die Netzgemeinde ist also aufgerufen, sich mit ihren Ideen an der Verfassungsbildung zu beteiligen.

Als Diskussionsplattform scheint zur Zeit nur Engströms Blog  zu dienen, dies wird sich aber sicherlich noch ändern.


Gefährdung aus den eigenen Reihen

Angriffe aus dem Internet sind ein ständiges Thema in der IT-Branche. Umso schlimmer die Tatsache, dass man sich immer weniger auf die bisher gängisten Mittel, diesen vorzubeugen, nicht mehr verlassen kann. Wer sich hinter einer Firewall verbirgt, ist nicht automatisch geschützt vor Angriffen. Das Zauberwort hierfür heißt Cross Site Request Forgery (CSRF), auch bekannt unter dem Namen Session Riding. Hierbei werden legimitierte Benutzer ausgenutzt, um einen Angriff zu vollführen.
Wie ein Internet-Magazin herausgefunden hat, sind weltweilt Millionen DSL-Router gefährdet, angefangen von AVM bis hin zu ZyXEL. Wie das Magazin herausgefunden hat, lässt sich durch eine einfache CSRF-Attacke die gesamte Konfiguration des Routers ändern.
Dabei gelten CRSF-Attacken und Injection-Angriffe bislang als Hauptfaktor für erfolgreiche Angriffe auf Web-Server. Daher hat sich CSRF in der Liste der gefährlichsten Fehler, die von der Non-Profit-Organisation OWASP ständig aktualisiert wird, auf Platz fünf hochgearbeitet.
Hinlängst bekannt sind Cross Site Scriptings und SQL-Injections, bei denen durch schlecht oder gar nicht gefilterte Eingaben im Browser schadhafter Code ausgeführt, oder wie beim SQL-Injection, bishin zum Server gelangen kann und dort Daten ausspionieren, manipulieren oder im schlimmsten Fall sogar löschen kann.
Ganz anders ist aber CSRF: Funktionsprinzip dieser CSRF-Attacken ist, dass ein legimitierter Benutzer hinter der Firewall des Netzes missbraucht wird, um Schadcode auszuführen. Der Benutzer muss dabei nicht einmal selbst aktiv werden. Bewegt dieser sich auf eine bösartige Homepage, kann beispielsweise über den <img>-Tag ein Angriff stattfinden. Genau wie beim Klick auf einen Link werden hierbei Daten von einem Server angefordert. Handelt es sich bei der Datei, die über den <img>-Tag angefordert wird, welcher dazu gedacht ist, Bilder auf Webseiten darzustellen, nicht um ein Bild, so wird dieses auch nicht angezeigt.
Doch wie sieht nun ein solcher Anriff aus?
Ein einfacher Fall, der aber fatale Auswirkungen haben kann, ist der in jedem Haushalt übliche Router. Die AVM Fritz!Box ist beispielsweise immer aus dem internen Netz über die URL fritz.box erreichbar. Die Konfiguration erfolgt über ein paar Checkboxen und Drop-Down Felder, die dann per HTTP-Posts an die Fritz!Box gesendet werden.
Befindet sich nun ein Benutzer auf jener Konfigurationsseite und surft zugleich auf einer Seite mit gefährlichen CSRF Inhalten, kann mit einfachen Mittel die Konfiguration des Routers geändert werden. Der Angriff erfolgt somit aus dem Intranet und nicht aus dem, von der Firewall geschützten Internet.
Das einzige Hinderniss eines Routers ist das Passwort, um sich auf die Seite einloggen zu können. Doch selbst das ist nich ausreichend, zumal viele Benutzer dieses Passwort gar nicht setzten.
Die trügerische Sicherheit der hochgepriesenen Firewall lässt Benutzer unvorsichtig werden, was die Sicherheit in den eigenen vier Wänden angeht.
Doch gerade dies und die Tatsache, dass es Millionen dieser Router gibt, lässt das Ganze so gefährlich werden.
Damit lassen sich nicht nur jede Art von Telefongespräch auf teure 0900-Nummern umleiten, sondern auch das Intranet oder auch nur den PC zum offenen Scheunentor werden.
Die Problematik ist den Herstellern bereits bekannt. Viele weisen Benutzer bei der Konfiguration ihres Routers auch eindringlich darauf hin, ein Passwort zu setzen. Aber es fehlt zum Beispiel den AVM Fritz!Boxen an einer Logout-Funktion, was die noch mangelnde Sensibilität für dieses Thema zeigt.
Selbst die neusten Technologien, wie verschiedene Prozesse beim IE8, verhindern nich das Session Riding.
Schützen kann man sich nur in dem man:


  • Routerpasswort vergeben
  • Keine Browsertabs geöffnet haben, während man sich auf der Konfigurationsseite befindet
  • Wenn möglich ausloggen
  • AVM ist sich der Thematik soweit bewusst, als dass sie in Betracht ziehen, beispielswiese den Internetverkehr während des Zugriffs auf die Konfigurationsseite komplett zu blockieren. Dennoch gilt bei den meisten Herrstellern noch, dass sie auf die Abschreckung des Gesetzes, das Zugriffe auf fremde Rechner verbietet, setzen und die Tatsache, dass es ein gewisses Maß an krimineller Energie benötigt, um einen solchen Angriff zu starten.