Willkommen bei WCM
Um alle Funktionen dieser Website nutzen zu können müssen Sie sich Einloggen oder Registrieren. Die Registrierung ist unverbindlich und dauert nur einen Moment.
Hacker könnten Cloud-Browser missbrauchen
Veröffentlicht am 01.12.2012 02:49:57
Raleigh - Browser wie Operas Mini oder Amazons Silk, die zumindest Teile der zur Darstellung von Webseiten nötigen Operationen auf Servern durchführen, könnten ein mächtiges Tool für Hacker werden, so US-Forscher. Denn wie das Team der North Carolina State University (NC State) http://ncsu.edu und der University of Oregon
http://uoregon.edu zeigen konnte, lassen sich solche Cloud-Browser mit den richtigen Tricks anonym für beliebige Berechnungen missbrauchen - beispielsweise, um mit dieser Rechenleistung Passwörter zu knacken. Demnach liegt es an den Anbietern solcher Browser, sie gegen diesen potenziellen Missbrauch abzusichern.
"Die Cloud-Browser-Technology wächst. Opera Mini ist wohl das bekannteste Beispiel, mit über 500.000 Downloads im Google Play Store", sagt William Enck, Informatikprofessor an der NC State. Ebenfalls bekannt ist der auf dem Kindle Fire vorinstallierte Silk, und es gibt weitere Vertreter der Gattung. All diese Browser dienen dazu, Smartphones oder Tablets einen Teil der Rechenarbeit für die Darstellung von Webseiten abzunehmen - AlwaysOn Technologies nutzt das bei Cloud Browse ogar dazu, um Flash-Inhalte auf iPhone oder iPad zu bringen.
Enck und seine Kollegen konnten nun zeigen, dass sich die verteilte Rechenleistung der vier genannten Cloud-Browser für andere Zwecke missbrauchen lässt. "Jedes Mal, wenn ein Cloud-Browser eine Seite rendert, führt er eine Berechnung durch. Wir zeigen, wie man diese Berechnungen kombiniert, um eine viel größere Berechnung durchzuführen", erklärt der Informatiker. Dazu setzt das Team auf eine Methode namens MapReduce, die Google für die Verarbeitung großer Datenmengen auf verteilten Clustern entwickelt hat. Datenpakete, die für die Berechnung übergeben werden müssen, legen die Forscher dabei mittels bit.ly- und anderen Kurzlinks ab.
Mit diesen Tricks ist es den Forschern gelungen, mithilfe der Cloud-Browser einige gängige Rechenoperationen für Datenpakete mit bis zu 100 Megabyte Größe durchzuführen. "Es hätte viel mehr sein können, aber wir wollten die kostenlosen Dienste, die wir genutzt haben, nicht über Gebühr belasten", so Enck. Theoretisch sollte jede beliebige Berechnung möglich sein, zudem erfolgen diese völlig anonym. Das könnte den Ansatz für kriminellen Missbrauch in großem Maßstab attraktiv machen. "Beispielsweise könnte jemand, der eine gestohlene Passwort-Datenbank cracken will, Cloud-Browser zum Ausführen der Berechnungen heranziehen."
Enduser wären davon freilich indirekt - beispielsweise durch Passwort-Cracks - betroffen. "Den größten Einfluss haben unsere Ergebnisse auf Cloud-Browser-Anbieter, die für die zugrunde liegende Rechenleistung zahlen und sich mit etwaig verschlechtertem Service für User auseinandersetzen müssen", betont der Informatikprofessor. Eine Option, wie sich Anbieter vor Missbrauch schützen können, sei demnach, für die Nutzung der Cloud-Browser eigene User-Accounts vorzuschreiben. Das würde es leichter machen, übergebührlichen Gebrauch zu bemerken.
Details zur Forschungsarbeit unter dem Titel "Abusing Cloud-Based Browsers for Fun and Profit" werden am 6. Dezember im Rahmen der 2012 Annual Computer Security Applications Conference http://www.acsac.org/2012 präsentiert.
Veröffentlicht am 01.12.2012 02:49:57
Raleigh - Browser wie Operas Mini oder Amazons Silk, die zumindest Teile der zur Darstellung von Webseiten nötigen Operationen auf Servern durchführen, könnten ein mächtiges Tool für Hacker werden, so US-Forscher. Denn wie das Team der North Carolina State University (NC State) http://ncsu.edu und der University of Oregon
http://uoregon.edu zeigen konnte, lassen sich solche Cloud-Browser mit den richtigen Tricks anonym für beliebige Berechnungen missbrauchen - beispielsweise, um mit dieser Rechenleistung Passwörter zu knacken. Demnach liegt es an den Anbietern solcher Browser, sie gegen diesen potenziellen Missbrauch abzusichern.
"Die Cloud-Browser-Technology wächst. Opera Mini ist wohl das bekannteste Beispiel, mit über 500.000 Downloads im Google Play Store", sagt William Enck, Informatikprofessor an der NC State. Ebenfalls bekannt ist der auf dem Kindle Fire vorinstallierte Silk, und es gibt weitere Vertreter der Gattung. All diese Browser dienen dazu, Smartphones oder Tablets einen Teil der Rechenarbeit für die Darstellung von Webseiten abzunehmen - AlwaysOn Technologies nutzt das bei Cloud Browse ogar dazu, um Flash-Inhalte auf iPhone oder iPad zu bringen.
Enck und seine Kollegen konnten nun zeigen, dass sich die verteilte Rechenleistung der vier genannten Cloud-Browser für andere Zwecke missbrauchen lässt. "Jedes Mal, wenn ein Cloud-Browser eine Seite rendert, führt er eine Berechnung durch. Wir zeigen, wie man diese Berechnungen kombiniert, um eine viel größere Berechnung durchzuführen", erklärt der Informatiker. Dazu setzt das Team auf eine Methode namens MapReduce, die Google für die Verarbeitung großer Datenmengen auf verteilten Clustern entwickelt hat. Datenpakete, die für die Berechnung übergeben werden müssen, legen die Forscher dabei mittels bit.ly- und anderen Kurzlinks ab.
Mit diesen Tricks ist es den Forschern gelungen, mithilfe der Cloud-Browser einige gängige Rechenoperationen für Datenpakete mit bis zu 100 Megabyte Größe durchzuführen. "Es hätte viel mehr sein können, aber wir wollten die kostenlosen Dienste, die wir genutzt haben, nicht über Gebühr belasten", so Enck. Theoretisch sollte jede beliebige Berechnung möglich sein, zudem erfolgen diese völlig anonym. Das könnte den Ansatz für kriminellen Missbrauch in großem Maßstab attraktiv machen. "Beispielsweise könnte jemand, der eine gestohlene Passwort-Datenbank cracken will, Cloud-Browser zum Ausführen der Berechnungen heranziehen."
Enduser wären davon freilich indirekt - beispielsweise durch Passwort-Cracks - betroffen. "Den größten Einfluss haben unsere Ergebnisse auf Cloud-Browser-Anbieter, die für die zugrunde liegende Rechenleistung zahlen und sich mit etwaig verschlechtertem Service für User auseinandersetzen müssen", betont der Informatikprofessor. Eine Option, wie sich Anbieter vor Missbrauch schützen können, sei demnach, für die Nutzung der Cloud-Browser eigene User-Accounts vorzuschreiben. Das würde es leichter machen, übergebührlichen Gebrauch zu bemerken.
Details zur Forschungsarbeit unter dem Titel "Abusing Cloud-Based Browsers for Fun and Profit" werden am 6. Dezember im Rahmen der 2012 Annual Computer Security Applications Conference http://www.acsac.org/2012 präsentiert.
« Novarion PlatinStor® integriert DataCores Storage-Hypervisor-Technologie · Hacker könnten Cloud-Browser missbrauchen
· Sicherheitslücke in Samsung-Druckern entdeckt »