idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Science Video Project
idw-Abo

idw-News App:

AppStore

Google Play Store



Instanz:
Teilen: 
05.04.2018 14:44

Einfrieren von Webseiten

Marina Pabst M.A. Kommunikation
Technische Universität Darmstadt

    Darmstadt, 5.4.2018. Wissenschaftler am Center for Research in Security and Privacy, CRISP zeigen auf, das hinter einem solchen Szenario durchaus auch unlautere Absichten stecken können. Sie haben Schwachstellen in JavaScript Software-Modulen entdeckt, durch die Cyberkriminelle Webseiten gezielt einfrieren können, so dass andere Nutzer nicht mehr auf die Webseite zugreifen können.

    Michael Pradel, Professor an der TU Darmstadt und Leiter des Software Labs, überprüft mit seinem Team immer wieder die Webseiten bekannter und auch weniger bekannter Unternehmen und untersucht sie auf Schwachstellen. Dabei konzentriert er sich auf die Webseiten, die JavaScript‐basierte Module nutzen.
    Bei ihren jüngsten Tests haben Pradel und sein Mitarbeiter Cristian-Alexandru Staicu insgesamt 25 Schwachstellen in JavaScript Software-Modulen aufgedeckt, die immer wieder auf den gleichen Typ zurückzuführen sind. Betroffen sind über 300 Webseiten, deren JavaScript-basierte Server-Implementierung unter sogenannten ReDoS-Schwachstellen leidet. Diese Schwachstellen ermöglichen es, dass eine Webseite durch eine einzige Anfrage regelrecht eingefroren wird. Andere Nutzer können nicht mehr auf diese Seite zugreifen, da der Server, mit dem die Webseite verbunden ist, mit der Bearbeitung dieser einen Anfrage so beschäftigt ist, dass er keine weiteren Anfragen beantworten kann.

    Die Wissenschaftler identifizierten hunderte populäre Webseiten, die so durch eine gezielte http-Anfrage für mehrere Sekunden oder sogar Minuten blockiert werden könnten. „Politisch motivierte Angreifer könnten somit eine Webseite gezielt abschalten und damit erreichen, dass unliebsame News zeitverzögert an die Öffentlichkeit gelangen“, erklärt Michael Pradel ein mögliches Szenario. Oder Kunden könnten über eine längere Zeit keine Online-Käufe über die blockierte Webseite durchführen, rufen daraufhin Webseiten der Konkurrenz auf und tätigen dort möglicherweise ihre Einkäufe.

    Die Schwachstellen wurden zwischenzeitlich in die Node Security Plattform aufgenommen - eine Plattform, die Fehlermeldungen in JavaScript-Modulen sammelt und für jeden zugänglich auflistet. Die Anbieter der Module wurden von den Darmstädter Wissenschaftlern ebenfalls informiert und auf die Sicherheitslücken hingewiesen. Erfreulich für Pradel und sein Team – und letztendlich für alle Internet-Nutzer: Die meisten Schwachstellen sind mittlerweile behoben.

    Pradel ist mit seinem Team in CRISP, dem europaweit größten Zusammenschluss von Cybersicherheitsforschungseinrichtungen, eingebunden. Dort forscht er an einem der beiden Leuchtturmprojekte des CRISP: den sicheren Web-Anwendungen. Die Wissenschaftler entwickeln skalierbare Programmanalysen für JavaScript‐basierte Software, welche Schwachstellen finden und aufdecken sollen. Eine neuartige Kombination von Analysen bei der Ausführung dieser Software und Verfahren zur Generierung von Interaktionssequenzen ermöglicht es, das Verhalten solcher komplexer Internet¬anwendungen vollautomatisch zu analysieren und Sicherheitslücken aufzudecken.

    Über CRISP: Im Center for Research in Security and Privacy (CRISP) haben sich die TU Darmstadt mit ihrem Profilbereich für IT-Sicherheitsforschung CYSEC, die Hochschule Darmstadt sowie das Fraunhofer-Institut für Sichere Informationstechnologie SIT und das Fraunhofer-Institut für Graphische Datenverarbeitung IGD zur europaweit größten Allianz von Forschungseinrichtungen im Bereich Cybersicherheit zusammengeschlossen. Die rund 450 WissenschaftlerInnen beschäftigen sich mit Kernfragen der Cybersicherheit in Gesellschaft, Wirtschaft und Verwaltung. Sie beraten regelmäßig Wirtschaft und öffentliche Verwaltung, geben Hilfestellungen für Firmengründer und erstellen Gutachten für Politik und Wirtschaft.

    Bildmaterial: https://bit.ly/2H9h2ad

    Pressekontakt

    Prof. Michael Pradel
    TU Darmstadt
    Software Lab
    Tel.: 06151 16 22390
    E-Mail michael.pradel@crisp-da.de

    Cornelia Reitz
    CRISP
    Wissenschaftskommunikation
    Tel.: 06151 16 27282
    E-Mail: pr@crisp-da.de
    www.crisp-da.de


    Bilder

    Merkmale dieser Pressemitteilung:
    Journalisten
    Informationstechnik
    überregional
    Forschungsergebnisse
    Deutsch


     

    Hilfe

    Die Suche / Erweiterte Suche im idw-Archiv
    Verknüpfungen

    Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.

    Klammern

    Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).

    Wortgruppen

    Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.

    Auswahlkriterien

    Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).

    Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).