Viren im E-Commerce

Inhaltsverzeichnis

1 Einleitung
1.1 Begriff Ecommerce und Entwicklung
1.2 Geschichtliche Entwicklung der Viren

2 Angriffspunkte im Ecommerce

3 Hardware / Betriebssystem
3.1 Betriebssystem
3.2 Kommunikationsform

4 Protokolle
4.1 Phreaking / Sniffing
4.2 Webprotokoll
4.3 Emailprotokoll
4.4 TCP / IP

5 Software
5.1 Webbrowser
5.2 Webserver
5.3 Fileserver

6 Malware
6.1 Trojaner am Beispiel von Back Orifice (BO)
6.2 Makroviren
6.3 Dateiviren

7 Schutzmaßnahmen

8 Datenbankbeschreibung
8.1 Allgemeines
8.2 Aufbau

9 Literaturverzeichnis

Anhang
1 Definitionen
1.1 Bootsektorviren
1.2 Companionviren
1.3 Dropper
1.4 Hybridviren
1.5 Keime
1.6 Killerprogramme
1.7 Logische Bomben
1.8 Makro-Viren
1.9 Netzwerk-Viren
1.10 Polymorphe Viren
1.11 Stealth- oder Tarnkappen-Viren
1.12 TSR-Dateiviren
1.13 Update-Viren
1.14 Würmer
1.15 Zeitzünder
1.16 Email-Viren
2 Zeittafel
3 Zukünftige Entwicklungen
4 Quellcode CIH

Abbildungsverzeichnis

Abbildung 1: Umsatzentwicklung im Ecommerce in Deutschland

Abbildung 2: Angriffspunkte beim Ecommerce

Abbildung 3: Sicherheitsmeldung des Internet Explorers vom 10.12.1999

Abbildung 4: Sourcecode JavaScript-Virus Lame

Abbildung 5: Sourcecode Active-X-Virus “Evil”

Abbildung 6: Verbreitung der unterschiedlichen Webserver

Abbildung 7: Anteil der Virenarten

Abbildung 8: Anteil der Infektionen

Abbildung 9: Quellcode Makrovirus AntiGUI

Abbildung 10: Aufbau der Datenbank

Abbildung 11: Sourcecodeanzeige der Datenbank

Abbildung 12: Bericht über Virus

1 Einleitung

1.1 Begriff Ecommerce und Entwicklung

Ecommerce

Das Internet wird zur Zeit neben dem Kommunikationsmarkt als das am schnellsten wachsende Geschäftsfeld angesehen. Dafür sprechen vor allem die stetig steigenden Nutzerzahlen. Es werden immer mehr Zielgruppen über das Internet angesprochen, da durch technische Innovationen auch solche Gruppen erreicht werden können, die nicht aus dem klassischen Computerumfeld stammen. Renommierte Unternehmensberatungen und Marktforschungsinstitute prognostizieren vor allem im Ecommerce-Segment exponentiell steigende Umsatzentwicklungen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Umsatzentwicklung im Ecommerce in Deutschland^[1]

Mit den wachsenden Umsätzen steigt natürlich auch die Notwendigkeit, sichere Zahlungssysteme zu entwickeln. Ein Zahlungssystem muss verschiedene Formen von Betrug zu verhindern wissen. Einerseits muss der Kunde sicher sein, dass kein anderer auf seine Kosten bezahlen kann, andererseits will auch der Händler seine Bezahlungen erhalten und die Bank nicht betrogen werden.

In dieser Arbeit werden mögliche Sicherheitsrisiken – wie z.B. Viren und Trojaner, aber auch Gegenmaßnahmen vorgestellt.

1.2 Geschichtliche Entwicklung der Viren

In der Mitte der 70er Jahre fanden Mitarbeiter von Motorola eine Sicherheitslücke in der von ihnen der Firma Xerox zur Verfügung gestellten Software. Sie teilten dies der Firma Xerox umgehend mit und wiesen sie auf die damit verbunden Risiken hin. Bei Xerox jedoch reagierte keiner auf die Hinweise.

Die Mitarbeiter von Motorola entwickelten daraufhin zwei Programme, die im Hintergrund laufen und die Sicherheitslücken ausnutzen konnten. Sie nannten die Programme Robin Hood und Bruder Tuck. Diese beiden Programme hatten sämtliche Systemprivilegien und achteten gegenseitig darauf, dass der Partner noch aktiv ist. Sollte einer der Prozesse gestoppt werden, so wurde innerhalb von Sekundenbruchteilen der Partner aktiv und startete den Prozess neu.

Aufmerksam wurden die Mitarbeiter von Xerox auf die beiden Programme als einige unerklärliche Phänomene auftauchten.

- Die Bandspeicherlaufwerke liefen vorwärts und rückwärts, und hielten mitten im Spulvorgang so rapide an, dass die Bänder zerrissen.
- Die Diskettenlaufwerke suchten auf den Disketten willkürlich nach Daten. Bei der damaligen Größe der Diskettenlaufwerke führte das dazu, dass die Laufwerke durch den Raum „tanzten“.
- Die Lochkartenanlage produzierte komplett leere oder gelochte Karten, die den Programmcode unbrauchbar machten.
- Die Lochkartenverarbeitungsanlage arbeitet mit zwei Stapeln. Die Karten wurden während des Lesevorganges von einem Stapel auf den anderen umgeschichtet, was dazu führte, dass die Karten in der Mitte durchtrennt wurden.
- Auf dem Drucker unterhielten sich die beiden Programme.

Um diese Programme zu stoppen, versuchte der Administrator, einen Prozess zu beenden. Dabei wurden folgende Meldungen auf dem Drucker ausgegeben:

Id1: Friar Tuck... I am under attack ! Pray save me !

Id1: off (aborted)

Id2: Fear not, friend Robin ! I shall rout the Sheriff of Nottingham’s men !

Id1: Thank you, my good fellow !

Die Prozesse starteten sich gegenseitig neu. Selbst bei einem Neustart wurden die Prozesse automatisch gestartet. Erst die Anwendung der von Motorola angebotenen Patches konnte das Problem lösen.

Dies war wahrscheinlich der erste Hack der Computergeschichte. Die Entwicklung der Viren und Malware (Programme mit Schadensfunktion) schritt jedoch mit großen Schritten voran.^[2]

1980 verfasste Jürgen Kraus am Fachbereich Informatik der Universität Dortmund eine Diplomarbeit mit dem Titel „Selbstreproduktion bei Programmen“. In dieser Arbeit wurde zum ersten Mal auf die Möglichkeit hingewiesen, dass sich bestimmte Programme ähnlich wie biologische Viren verhalten können. Der Verfasser schilderte die Konstruktion möglichst einfacher selbstreproduzierender Programme, ging aber nicht auf das Problem der IT-Sicherheit ein. Die Arbeit wurde nicht veröffentlicht und verschwand im Archiv der Universität.

1984 veröffentlichte der Amerikaner Fred Cohen seine Arbeit mit dem Titel „Computer Viruses - Theory and Experiments“. Da er insbesondere auf die Gefahren einging, die Computerviren für Rechner darstellen können, erregte seine Untersuchung auch internationales Aufsehen. Cohen ist auch die Definition des Begriffs Computervirus zu verdanken:

A „computer virus“ is a program that can „infect“ other programs by modifying them to include a possibly evolved version of itself.

1986 erschienen zum ersten Mal auf IBM-kompatiblen Personalcomputern Computerviren. Diese Viren waren recht einfach gebaut und konnten anhand fester Zeichenfolgen entdeckt werden, die im Programmcode zu finden waren. Häufig handelte es sich dabei um Viren, die zu irgendeinem bestimmten Zeitpunkt eine Meldung ausgeben sollten. Man brauchte also nur nach solchen Meldungstexten zu suchen, um den Virus zu entdecken.

Da solche sogenannten „Scan“-Codes auch veröffentlicht wurden, dauerte es nicht lange, bis die ersten Viren auftauchten, die den Viruscode verschlüsselten. Das hatte zur Folge, dass nach Textausgaben von Viren nicht mehr einfach gesucht werden konnte, da diese Texte jedes Mal anders verschlüsselt abgelegt wurden. Zum Glück blieb der Code der Verschlüsselungsroutine bei jedem Virus gleich, so dass man wenigstens danach suchen konnte. Die Anzahl der Bytes, die für einen bestimmten Virus typisch waren, verringerte sich jedoch entscheidend.

Die nächste Stufe waren dann die „Stealth“- oder „Tarnkappen“-Viren. Diese Viren nutzten spezielle Eigenschaften des Betriebssystems aus, indem bestimmte Systemaufrufe abgefangen und verfälscht ausgegeben wurden. So konnten diese Viren in einem infizierten System zum Beispiel die alte Programmlänge vortäuschen oder dem Benutzer statt bestimmter geänderter Sektoren der Festplatte die Originalsektoren vorspiegeln, die der Virus an eine andere Stelle verschoben hatte.

So richtig schwierig wurde es dann, als 1990 die ersten sogenannten polymorphen Computerviren auftauchten. Diese neuartigen Viren verwenden entweder verschiedene Befehle oder sie ordnen Befehle anders an, bisweilen tun sie sogar beides. Wird dies geschickt genug gemacht, ergeben die unterschiedlichsten Programmcodes die gleichen Virusfunktionen. Um einen derartigen Virus zu entdecken, genügt es nicht mehr, nur nach bestimmten Zeichenfolgen zu suchen. Nur ein algorithmisches Verfahren, das nach bestimmten Eigenschaften des Virus sucht, führt dann noch zum Erfolg.

Zusätzliche Probleme bei der Bekämpfung der Computerviren ergaben sich aus dem Umstand, dass in Zeitschriften und Büchern Programmcodes für Viren abgedruckt wurden, so dass auch Personen mit sehr wenig Programmier-Erfahrung in die Lage versetzt wurden, durch Abtippen der Befehle selbst neue Viren zusammenzustellen und zu verbreiten. Schon bald darauf nahmen sogenannte „Viren-Baukästen“ dem Virusprogrammierer sogar noch die Arbeit des Abtippens ab. Es handelt sich dabei um Programmsysteme, die durch einfaches Ankreuzen von vorgegebenen Menüpunkten einen neuen Virus erzeugen konnten.

Die neueste Bedrohung ist die „Mutation Engine“, kurz „MtE“ genannt. Man benötigt dazu lediglich einen einzigen fertigen Virus, und nach dessen Behandlung mit diesem Programmsystem entstehen Millionen von verschiedenen Varianten.^[3]

2 Angriffspunkte im Ecommerce

Bei der Betrachtung des Phänomens Ecommerce und dessen Entwicklung wird deutlich, wie groß das Potenzial für kriminelle Aktivitäten ist. Ecommerce wird ermöglicht durch die weltweite Vernetzung, das Verwenden gemeinsamer Standards und einer koordinierenden Stelle. Ecommerce nutzt dabei die Strukturen des Internet. Die Kommunikation erfolgt dabei über Hardware, Protokolle und Software:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Angriffspunkte beim Ecommerce

An jeder Schnittstelle dieser Kommunikation ist eine Manipulation möglich. Daher wird in dieser Arbeit versucht, die einzelnen Schwachstellen zu untersuchen und Ratschläge zur Sicherheit zu geben.

Definition der wichtigsten Schadprogramme:

Trojaner

Trojanische Pferde sind eigentlich keine Viren, da es sich dabei nicht um Programme handelt, die sich selbst reproduzieren und ausführen können. Meist dienen nützliche Hilfsprogramme oder Informations-Disketten als Tarnung, oft verbunden mit der Einladung, die Dateien kostenlos zu kopieren und weiterzugeben. Die verstecken Schädlinge werden erst wirksam, wenn der Anwender das Programm aufruft, in dem sie verborgen sind.

Eines der bekanntesten Trojanischen Pferde ist als Diskette mit wichtigem Informationsmaterial zum Thema AIDS getarnt. Diese "AIDS-Informationsdiskette" wurde aus Panama kostenlos an Teilnehmer eines Fachkongresses verschickt. Der Trojaner installierte sich auf dem System und öffnete damit den Computer für unbefugte Eindringlinge.

Virus

Ein Virus ist ein kleines Programm oder ein Programmteil, das von einem Programmierer mit meist bösen Absichten geschrieben wurde. Das Wesentliche an einem Virus ist, dass er sich selbst verbreitet. Wie bei den "echten" Viren, gibt es auch auf dem Computer eine Inkubationszeit: Die Aktivierung ist an ein bestimmtes Ereignis geknüpft, z.B. ein Datum. Ist dieses Datum erreicht, beginnt der Virus mit seiner zerstörerischen Aktion oder auch nur einem kleinen Witz-Bildschirm.

Viren gibt es für jede Plattform und jedes Betriebsystem. Früher waren am häufigsten DOS-Viren im Umlauf. Mittlerweile sind jedoch die Makroviren auf Platz eins.

In letzter Zeit häufen sich allerdings auch Fehlalarme: In Emails wird vor Email-Viren gewarnt, die es gar nicht gibt, oder die Hersteller von Antivirensoftware nutzen die Panik vor den Aktivierungsdaten besonders hinterhältiger Viren aus, indem sie noch Öl ins Feuer gießen.

3 Hardware / Betriebssystem

Des verwandte Betriebssystem spielt eine wesentliche Rolle bei der Entwicklung von Ecommerce-Systemen. So wird oftmals mit verschiedenen Betriebssystemen bei der Entwicklung eines Angebotes gearbeitet. In den meisten Fällen kommen beim Aufbau eines Netzwerkes mehrere Betriebssysteme zum Einsatz, die über unterschiedliche Protokolle miteinander kommunizieren. Auch die Wahl der Kommunikationsform (Telefon, ISDN, Funk) spielt eine Rolle.

3.1 Betriebssystem

Die Wahl des Betriebssystems hat einen entscheidenden Einfluss auf die Berechtigungen und die Benutzerverwaltung. An diesem Punkt setzen die meisten Angriffe gegen ein Internet-Angebot auch an. Es wird versucht zu erfahren, auf welchem Betriebssystem die Software läuft. Damit hat der potenzielle Eindringling schon eine entscheidende Information, mit welchen Methoden er am ehesten Erfolg hat.

Der größte Teil der Internet-Angebote verwenden Linux^[4], UNIX oder Windows als Betriebssystem.

Während UNIX historisch eine sehr streng reglementierte Rechte- und Benutzerverwaltung hat, ist Windows in seinen verschiedenen Ausprägungen sehr viel freigiebiger mit seiner Rechtevergabe.

Unter UNIX und Linux ist einem Benutzer genau zugeordnet, auf welche Daten er in welcher Art zugreifen darf. Meist ist ein Eingriff in diese Strukturen nur den sog. Superusern vorbehalten. Die normalen Benutzer sind nicht berechtigt, Dateien zu löschen oder Programme auszuführen.

Unter Windows unterscheidet man zwischen dem „Home-System“ Windows 98 und der „Profi-System“ Windows NT. Während Windows NT ähnlich restriktiv mit der Rechtevergabe wie UNIX umgeht, öffnet Windows 98 das System für jeden und erlaubt das Ausführen und Löschen und Dateien, sofern dies nicht explizit unterbindet.

Sicherheitsmaßnahmen:

Für die Erstellung eines Ecommerce-Angebotes sollte die Wahl des Betriebssystems auf eines der sicheren Systeme wie Linux oder Windows NT fallen.

3.2 Kommunikationsform

Auch die Wahl der Kommunikationsform ist für die Sicherheit entscheidend, allerdings ist ein Ausspionieren von Daten in diesem Bereich sehr mühsam und zudem noch abhängig von der eingesetzten Software.

Ungesicherte Funkstrecken oder Telefonkabel können durch verschiedenste technische Geräte abgehört und damit auch ausgelesen werden. Erfolgt eine unverschlüsselte Kommunikation über eine solche unsichere Leitung, so können z.B. Passwörter mitgeschnitten und zum Eindringen in das System verwandt werden.

4 Protokolle

4.1 Phreaking / Sniffing

Als Phreaking oder Sniffing bezeichnet man die Analyse von Daten, die über Netzwerkleitungen gehen. So können z.B. Passwörter, die unverschlüsselt übermittelt werden, mit Hilfe eines Sniffers ausgelesen und missbraucht werden. Man sollte vermuten, dass die Hersteller von Betriebssystemen wenigstens ihre Anmeldepasswörter verschlüsseln, aber durch die Vielzahl an Verbindungsprotokollen und deren Inkompatibilitäten ist es in der Praxis häufig so, das Klartext-Passwörter verschickt werden. So übermittelt auch Windows NT innerhalb eines Netzwerkes die Passwörter unverschlüsselt. Gefährlicher wird dies bei der Verwendung einer Kombination eines Windows NT – Rechners und einem Samba-Server. Dieser im Internet sehr häufig benutzte Server stellt Dateien zur Verfügung. Auch große Betreiber wie z.B. Tucows^[5] arbeiten mit solchen Servern.

Viel bedeutender ist jedoch das Ausspähen von Kreditkarten-Informationen. Benutzt ein Betreiber eines Ecommerce-Angebotes keine gesicherte Verbindung (Secure Socket Layer, SSL) so können die Informationen ausgelesen und missbraucht werden.

4.2 Webprotokoll

Der Austausch von Daten erfolgt im Ecommerce zum größten Teil über das Internet. Das dabei zum Einsatz kommende Protokoll HTTP^[6] ist jedoch relativ unsicher, da alle Informationen im Klartext übertragen werden. Auch Passwörter und Benutzerdaten oder vertrauliche Informationen werden unverschlüsselt übermittelt.

Um die Kommunikation sicherer zu machen, wurde das Protokoll erweitert. So können in vertraulichen Bereichen einzelne Seiten und Informationen verschlüsselt und übertragen werden. Der dabei zum Einsatz kommende Verschlüsselungsalgorithmus verwendet den DES-Standard (Data Encryption Standard) und heißt SSL (Secure Socket Layer). Eine mit diesem Protokoll verschlüsselte Seite erkennt man an dem Präfix HTTPS am Beginn der Internet-Adresse.

4.3 Emailprotokoll

Gerade der Austausch von Unternehmensdaten (EDI) wie Bestellungen, Rechnungen usw. erfolgt meist über Email. Hierbei wird jedoch ein anderes Protokoll verwendet, als dies bei den meist privaten Emails der Fall ist. Man unterscheidet also mehrere Email-Protokolle.

POP3

Das „Post Office Protocol“ (POP) ist ein sehr einfach aufgebautes Protokoll und ermöglicht einen sehr einfachen Mailverkehr. Es ist für das Empfangen von Emails ideal und wird daher fast überall eingesetzt. Der große Nachteil liegt in der fehlenden Verschlüsselung der Daten. Setzt jemand einen Sniffer (siehe Kapitel Phreaking / Sniffing) auf eine Datenübertragung an, so kann er die Email im Klartext lesen. Der Vorteil des Protokolls liegt in seiner Authentifizierung. Um die Emails abholen zu können, muss der Benutzer lediglich seinen Benutzernamen und sein Passwort übermitteln. Damit ist es z.B. möglich, von einem beliebigen Ort auf der Welt auf sein Postfach zuzugreifen, und seine Mails abzuholen.

SMTP

Um jedoch zu verhindern, das unbefugte Benutzer Emails über einen Mailserver verschicken wurde ein weiteres Protokoll zum Mailversand entwickelt. Das „Simple Mail Transfer Protocol“ (SMTP) erwartet eine Identifizierung vom Benutzer, bevor ein Versand von Emails möglich ist. Hier gibt es zwei Möglichkeiten, die Identifizierung über eine Einwahl in ein Netzwerk oder das vorherige Abholen der Email und Anmeldung mit Benutzernamen und Passwort. Damit wird sichergestellt, dass nur ein bekannter und berechtigter Benutzer Emails verschicken kann.

Auch hier wird die Information nicht verschlüsselt, es gelten also die gleichen Nachteile wie für POP.

X.400

Eine weitere Variante ist das X.400-Protokoll. Bei diesem ist der Versand und die Zustellung durch die Verwendung von bestimmter Software sichergestellt. Jedoch ist ein Versand sehr teuer, da Gebühren pro übermitteltem Megabyte von 50 – 100 DM anfallen. Daher wird diese Form oft nur in Unternehmen für den elektronischen Datenverkehr genutzt.

Sicherheitsmaßnahmen

Der Versand von vertraulichen Informationen per Email sollte nur innerhalb eines Firmennetzwerkes unverschlüsselt erfolgen. Sollen vertrauliche Informationen an Geschäftspartner verschickt werden, so bietet sich eine Verschlüsselung dieser Informationen vor dem Versand an. Entweder werden die Informationen in ein Dokument geschrieben und dieses dann mit einem Passwort gepackt (z.B. WinZip) oder die Email selbst wird vor dem Versand verschlüsselt (PGP).

4.4 TCP / IP

Das TCP / IP – Protokoll wurde im Laufe der letzten Jahre zum allgemeinen Standard in der Vernetzung von Computern. Nicht zuletzt der Einsatz im Internet hat zu der großen Verbreitung geführt.

Die Kommunikation erfolgt in kleinen Datenpaketen, in denen im Kopf jeweils der Empfänger und der Absender eingetragen wird und die eine sehr effiziente Fehlerkorrektur beinhalten. Leider bietet dieses Protokoll auch einige Schwachstellen, die für einen Angriff genutzt werden können.

Port-Angriffe

Über einen Port-Scanner^[7] werden Schwachstellen im System ausfindig gemacht. Hat ein Benutzer seinen Telnet-Port nicht deaktiviert, so kann ein Eindringling an dieser Stelle versuchen, den Usernamen und das Passwort zu erspähen und so Zugang zum Rechner zu erhalten. Eine viel größere Bedeutung hat ein Port-Scan jedoch, wenn ein Trojaner^[8] auf dem System aktiv ist. Diese Trojaner verwenden einen Port und warten auf Anfragen. Findet der Portscanner also einen Trojaner, der auf seine Anfrage reagiert, so steht einem Missbrauch nichts mehr im Wege.

Denial Of Service (DoS) – Angriff

Unter einem DoS-Angriff versteht man das gezielte Blockieren eines Servers, indem man ihn überlastet. Es gibt zum Beispiel die Möglichkeit, einen Server via Telnet anzuwählen. Hierbei wird der Standard-Port 29 benutzt. Der Server antwortet und weist den Client an, auf einen Port auszuweichen. Auf diesem Port wartet dann der Server auf weitere Anfragen des Clients. Wenn der Client in der Zwischenzeit weitere Anfragen über den Standard-Port an den Server stellt, so ist der Server mehr und mehr damit beschäftigt, auf die weiteren Anweisungen auf den zugewiesenen Ports zu warten. Er ist dann nach einer Weile nicht mehr in der Lage, auf eine neue Anfrage zu reagieren, da alle Ressourcen darauf verwendet werden, auf anderen Ports zu warten. Die Folge ist, das der Server nicht mehr reagiert. Diese recht einfache Variante wird auch als Ping-Flooding bezeichnet.

Sicherheitsmaßnahmen

Verantwortungsvolle Systemadministratoren sperren daher alle nicht benutzten Ports oder lassen ein Schutzprogramm laufen, dass Port-Angriffe protokolliert und abwehrt.

5 Software

In diesem Kapitel soll die Software, die beim Ecommerce zum Einsatz kommt, genauer betrachtet werden. Dabei spielen sowohl die empfangenden Programme (Webbrowser) wie auch die sendenden Programme (Webserver) eine Rolle.

5.1 Webbrowser

Der Webbrowser stellt die zentrale Schnittstelle zwischen dem Benutzer und den Angeboten dar. Hier werden die Informationen dargestellt und grafisch aufbereitet.

5.1.1 Cookies

Immer häufiger trifft man bei der Benutzung des Internets auf "Cookies". Cookies sind im Prinzip nur dazu da, das Internet auf Sie speziell abzustimmen. D.h. besucht ein Benutzer eine Seite regelmäßig und nimmt das Cookie immer an, so merkt sich diese kleine Datei, was der Benutzer am Liebsten auf dieser Seite machen. Es merkt sich hierbei, welche Rubriken interessieren und vielleicht auch, in welcher Reihenfolge. Beim Nächsten Besuch versucht das Cookie, die Seite möglichst speziell auf die Bedürfnisse einzustellen.

Cookies sind Dateien im ASCII-Text Format, in dem keine Viren übertragen werden können. Eben so wenig können Cookies die E-Mail-Adresse oder Verlauf-Datei auslesen.

Generell kann durch Cookies nichts passieren, außer dass die Festplatte unnötig belastet wird. Weiterhin kann es passieren, dass die Informationen, die das Cookie gesammelt hat, an andere Anbieter weitergegeben werden. Hierbei ist aber wichtig zu wissen, dass hier wirklich nur die Interessen enthalten sind, denen man im Internet nachgeht. Diese Informationen können dann ausgenützt werden, um auf die betreffende Seite eine speziell auf sie zugeschneiderte Werbung anzubringen.

Eine wirkliche Gefahr geht von Cookies dementsprechend nicht aus.

5.1.2 Browser-Sicherheitsmängel

Ein Webbrowser stellt die Bedienoberfläche des Internet dar. Immer mehr Funktionen können über das WWW angeboten werden, immer mehr Firmen nutzen die sich dadurch bietenden Möglichkeiten. Um jedoch diese Funktionen zu nutzen, muss ein Webbrowser heute nicht mehr nur einfach den Text darstellen können. Es reicht nicht aus, HTML-Informationen zu verarbeiten und darzustellen. Inzwischen gibt es mehrere Möglichkeiten, aktive Inhalte darzustellen. Als erstes sei hier Java-Script erwähnt. Diese zeilenorientierte Script-Sprache hat jedoch keinerlei Rechte auf dem Dateisystem des Benutzers, stellt somit auch keine Gefahr dar. Der Einbau einer kompletten Programmiersprache in die Webbrowser war hier schon gefährlicher. Die Firma SUN Microsystems entwickelte eine Programmiersprache, die plattformunabhängig arbeiten sollte. JAVA stammt jedoch ursprünglich von UNIX-Systemen und hat daher die Restriktionen eines UNIX-Systems übernommen. Jeder Prozess darf dabei nur die Rechte in Anspruch nehmen, die der Benutzer auf dem Rechner besitzt. Auch hier ist eine Gefährdung ausgeschlossen.

Einen Angriffspunkt ganz anderer Art haben jedoch findige Hacker gefunden. Sie nutzen die Eigenheiten des im Internet verwendeten TCP/IP-Protokolls aus. Das Protokoll erlaubt den Zugriff auf Systemressourcen über verschiedene Ports. So ist z.B. der Port 119 für News reserviert, der Port 25 für einen Telnet-Zugang.

Immer wieder finden Hersteller oder Hacker Schwachstellen in den Webbrowsern. Microsoft veröffentlicht regelmäßig Fehlerberichte wie den folgenden:

[...]

---

^[1] Quelle: Roland Berger und Partner Studie; http://www.rb-research.de; 1999

^[2] The meaning of Hack, http://www.elsewhere.org/jargon

^[3] © 1997 by BSI - Bundesamt für Sicherheit in der Informationstechnik - Godesberger Allee 183 - 53175 Bonn, http://www.hu-berlin.de/bsi/viren/kap1/kap1_1.htm

^[4] Informationen zu Linux, http://www.linux.org

^[5] http://www.tucows.com

^[6] HTTP: Hypertext Transfer Protocol

^[7] Ein kleines Software-Programm, das alle Ports der Reihe nach abfragt.

Häufig gestellte Fragen

Was ist Ecommerce laut diesem Dokument?

Laut dem Dokument ist Ecommerce das am schnellsten wachsende Geschäftsfeld neben dem Kommunikationsmarkt, angetrieben durch stetig steigende Nutzerzahlen und technische Innovationen.

Welche Sicherheitsrisiken im Ecommerce werden in diesem Dokument behandelt?

Das Dokument behandelt Sicherheitsrisiken wie Viren, Trojaner und andere Bedrohungen, die Ecommerce-Systeme gefährden können. Es werden auch Gegenmaßnahmen vorgestellt.

Was war die geschichtliche Entwicklung der Viren laut diesem Dokument?

Das Dokument beschreibt die Anfänge von Hackern, die Sicherheitslücken ausnutzten. Es erwähnt die Arbeit von Jürgen Kraus und Fred Cohen, die wichtige Beiträge zur Erforschung und Definition von Computerviren leisteten. Es werden auch die Entwicklung von einfachen Viren zu Stealth- und polymorphen Viren beschrieben.

Welche Angriffspunkte im Ecommerce werden identifiziert?

Die Angriffspunkte sind Hardware, Protokolle und Software, über die die Kommunikation im Ecommerce erfolgt. Manipulation ist an jeder Schnittstelle dieser Kommunikation möglich.

Was sind Trojaner und wie funktionieren sie?

Trojaner sind Programme, die als nützliche Hilfsprogramme getarnt sind. Sie werden aktiv, wenn der Anwender das Programm aufruft, in dem sie verborgen sind, und können das System für unbefugte Eindringlinge öffnen.

Was sind Viren und wie verbreiten sie sich?

Viren sind kleine Programme, die sich selbst verbreiten. Sie können eine Inkubationszeit haben und ihre zerstörerische Aktion an ein bestimmtes Ereignis knüpfen.

Welche Rolle spielt das Betriebssystem bei der Sicherheit?

Das Betriebssystem spielt eine wesentliche Rolle bei den Berechtigungen und der Benutzerverwaltung. Die Wahl eines sicheren Betriebssystems wie Linux oder Windows NT ist wichtig für die Sicherheit eines Ecommerce-Angebotes.

Was ist Phreaking/Sniffing und wie gefährlich ist es?

Phreaking/Sniffing ist die Analyse von Daten, die über Netzwerkleitungen gehen. Dabei können z.B. Passwörter und Kreditkarteninformationen ausgelesen und missbraucht werden, wenn sie unverschlüsselt übertragen werden.

Was ist das HTTP-Protokoll und warum ist es unsicher?

HTTP ist das Protokoll, das im Internet für den Datenaustausch verwendet wird. Es ist unsicher, da alle Informationen im Klartext übertragen werden.

Was ist SSL und wie macht es die Kommunikation sicherer?

SSL (Secure Socket Layer) ist ein Verschlüsselungsalgorithmus, der den DES-Standard verwendet. Es wird verwendet, um vertrauliche Bereiche einzelner Seiten und Informationen zu verschlüsseln und übertragen. Eine mit diesem Protokoll verschlüsselte Seite erkennt man an dem Präfix HTTPS.

Welche Email-Protokolle werden erwähnt und wie sicher sind sie?

Es werden POP3, SMTP und X.400 erwähnt. POP3 und SMTP sind einfach aufgebaut und bieten keine Verschlüsselung. X.400 ist sicherer, aber teuer.

Was sind Port-Angriffe und Denial Of Service (DoS)-Angriffe?

Port-Angriffe nutzen Schwachstellen im System aus, indem Ports abgescannt werden. DoS-Angriffe blockieren einen Server, indem sie ihn überlasten.

Welche Rolle spielt der Webbrowser bei der Sicherheit?

Der Webbrowser stellt die zentrale Schnittstelle zwischen dem Benutzer und den Angeboten dar. Es wird auf Cookies und Browser-Sicherheitsmängel hingewiesen.

Was sind Cookies und sind sie gefährlich?

Cookies sind kleine Dateien, die dazu dienen, das Internet auf den Benutzer abzustimmen. Generell geht von Cookies keine wirkliche Gefahr aus, außer dass die Festplatte unnötig belastet wird. Informationen könnten jedoch an andere Anbieter weitergegeben werden.

Welche Sicherheitsmaßnahmen werden empfohlen?

Empfohlen werden sichere Betriebssysteme, Verschlüsselung vertraulicher Informationen, Sperrung unbenutzter Ports und Schutzprogramme gegen Port-Angriffe.