Pressemitteilung CCC

Chaos Computer Club 28.01.1997

Glasfaser bis in die Brieftasche

Heute abend wird im ARD-Magazin PlusMinus in einem Beitrag über eine Schwachstelle im "Microsoft Internet Explorer" berichtet, die auf der von Microsoft mit diesem Internet-Betrachter verbreiteten Multimedia-Technologie Active-X beruht.

Konkret erlaubt das Internet-Zugangswerkzeug "Microsoft-Explorer" mit Active-X eine Fernsteuerbarkeit des eigenen Computers, ohne daß dies vom Benutzer nachvollzogen werden kann. Active-X bedeutet, daß der nichtsahnende Netzbenutzer Programme auf seinen Rechner herunterlädt, die dann dort ausgeführt werden.

Hacker aus dem Umfeld des Chaos Computer Club demonstrieren an einem Beispiel im Fernsehbeitrag einen "Kontoklau". Dieser ist durch das Zusammenspiel von Microsoft Explorer, Active-X und Homebanking-Software möglich. Während der Benutzer glaubt, sich eine (harmlose) Web-Seite anzugucken, wird ein Geldtransaktionssatz der Datei seiner Homebanking-Software hinzugefügt. Beim nächsten Abgleich mit der Bank wird der Benutzer zwar nach einer Anzahl von TAN's (Transaktionsnummern) gefragt aber nicht angezeigt, wofür diese benutzt werden.

Im Rahmen des Chaos Communication Congress wurden bereits vor mehreren Wochen die Gefahren von Active-X diskutiert. Bereits wenige Tage nach der Freigabe von Active-X durch Microsoft waren im Internet Seiten verfügbar, die einen ferngesteuerten Systemabsturz erzeugten, wenn Active-X auf dem Rechner des Netzbenutzers aktiviert ist. Die von Microsoft als "Sicherheitsmaßnahmen" bezeichneten Funktionen lassen sich, wie schon die ersten deratigen Beispiele zeigten, sehr einfach umgehen.

Beim jetzigen Stand der Dinge kann von der Nutzung des Microsoft-Explorers mit Active-X nur abgeraten werden. Der Benutzer muß mindestens nach seinem Einverständnis gefragt werden, bevor andere Stellen die Kontrolle über seinen Computer übernehmen. Dateimanipulationen wie mit Active-X dürfen nicht möglich sein.

zur ckzurück © 1996-2024 Lutz Donnerhacke @ IKS GmbH Jena Friday | 29.Mar.2024