Zwischen dem Anmelden und Abmelden kann viel passieren. Zwei verschiedene Rechner kommunizieren in einem Netzwerk und teilen einige gemeinsame Kommunikationsparameter. Dies geschieht durch den Austausch von Datenpaketen zwischen den beiden Rechnern; dieser Vorgang wird als Drei-Wege-Handschlag bezeichnet. Angreifer suchen nach Sitzungen, auf die sie zugreifen und Benutzerdaten aus diesen Sitzungen ausnutzen können. Benutzer müssen sicherstellen, dass sie sich in einer sicheren Umgebung anmelden und Web Application Firewalls (WAFs) verwenden, um Anomalien im Datenverkehr zu erkennen. Dies sind grundlegende Maßnahmen. Um schwerwiegendere Probleme zu beheben, ist es wichtig, sich mit Session Hijacking auseinanderzusetzen.
Session Hijacking (auch bekannt als Cookie Hijacking oder Cookie Sidejacking) ist eine der raffiniertesten Man-in-the-Middle-Angriffe. Sie ermöglicht es Angreifern, Zugriff auf die Websitzungen des Opfers zu erlangen. Der Begriff beschreibt auch die Fähigkeit des Angreifers, die Kontrolle über einen Teil der Benutzersitzung zu übernehmen. Dadurch erhält er Zugriff auf sensible Daten wie personenbezogene und finanzielle Daten (PII und PCI), die möglicherweise durch ein Passwort oder eine Passphrase geschützt sind.
Session Hijacking ermöglicht es einem Angreifer, alle Arten von Passwortschutz zu umgehen, indem er die bestehende Verbindung authentifiziert. Angenommen, ein Angreifer schnüffelt im Netzwerk von Benutzer A herum. Er weiß, welche Sitzungen im Netzwerkmanagementsystem des Benutzers geöffnet sind. Dieser Vorgang findet statt, wenn der Angreifer die Adresse (beispielsweise 14.0.0.1) und das Schlüsselsystem des Benutzers (14.0.0.100) kennt. Anschließend sendet er Pakete an das Netzwerkmanagementsystem (NMS) unter dieser Adresse (14.0.0.1). Dadurch trennt der Benutzer seine Verbindung und sendet weiterhin Pakete unter der gefälschten Adresse (14.0.0.1) an 14.0.0.100. Dieses Szenario bedeutet, dass die Sitzung von Benutzer A gekapert wurde.
Session Hijacking richtet sich in der Regel gegen Benutzer großer Netzwerke mit vielen offenen Sitzungen. Netzwerkprotokolle wie FTP, Telnet und Login sind bei Angreifern besonders beliebt, da sie sitzungsorientiert arbeiten und die Kommunikationszeiten entsprechend lang sind.
Beliebte Beispiele für Session Hijacking
Hypertext Transfer Protocol (HTTP) HTTP ist ein zustandsloses Protokoll, dessen Header mit Session-Cookies verknüpft ist. Beim Einloggen auf einer Website kommt das HTTP-Konzept zum Tragen. Dadurch identifiziert der Server den Browser des Nutzers.
In letzter Zeit wurde Session Hijacking zwar von Spyware, Rootkits, Bot-Netzwerken und Denial-of-Service-Angriffen in den Schatten gestellt, ist aber nach wie vor eine häufig eingesetzte Cyber-Attacke.
Es gibt verschiedene Exploits und Tools, die Angreifer nutzen können, um sich Zugang zu verschaffen. Im Jahr 2017 entdeckte ein Sicherheitsforscher ein Problem in GitLab. Dabei befand sich das Sitzungstoken eines Benutzers direkt in der URL. Bei genauerer Betrachtung stellte sich heraus, dass das Sitzungstoken von GitLab nie ablief, was bedeutet, dass ein Angreifer es ohne Ablaufdatum verwenden konnte.
Ein weiteres Beispiel ist CookieCadger, ein Open-Source-Tool, das Datenlecks von Websites und Webanwendungen aufspüren kann. Es kann ungesicherte WLAN- und kabelgebundene Ethernet-Verbindungen überwachen, um die Session-Cookies zu ermitteln.
Ähnlich verhält es sich mit FireSheep, einer Browsererweiterung, die 2010 von Firefox veröffentlicht wurde. Diese Erweiterung öffnete eine Sicherheitslücke für Benutzer, die den Browser in öffentlichen Netzwerken nutzten.
Warum ist Session Hijacking so gefährlich?
Die Risiken von Session Hijacking lassen sich weder durch Software-Patches, Multi-Faktor-Authentifizierung noch durch komplexe Passwörter beseitigen. Dieser Angriff nutzt alle drei Seiten der CIA-Triade aus, die ein repräsentatives Modell von Sicherheitskonzepten darstellt: Vertraulichkeit, Integrität und Verfügbarkeit. Bei einem erfolgreichen Angriff erhält der Angreifer die Möglichkeit, Daten zu lesen und zu verändern, was gegen das CIA-Modell verstößt.
Arten von Session-Hijacking-Methoden
Es gibt verschiedene Arten von Session Hijacking-Methoden, und zu wissen, wie sie funktionieren, hilft dabei, sie zu erkennen und sich ihrer bewusst zu sein.
Die häufigsten sind –
- Cross-Site Scripting (XSS)
Der Hijacker findet Schwachstellen im Zielserver und nutzt diese aus, indem er Skripte in die Webseite einfügt. Diese lädt dann den Code und geht davon aus, dass auf der Clientseite alles legitim aussieht. Sobald dieser Code geladen ist, gibt der Webbrowser dem Hijacker die Sitzungs-ID (den Sitzungsschlüssel) des Benutzers bekannt.
- Sitzungs-Side-Jacking
Dies, auch als Session Sniffing bezeichnet, ist eine aktivere Angriffsart. Dafür benötigt der Angreifer jedoch Zugriff auf den Netzwerkverkehr des Benutzers. Um dies zu erreichen, nutzt er Packet-Sniffing-Techniken wie Kismet oder Wireshark, um nach der Suche nach der Benutzersitzung Sitzungscookies zu überwachen und zu stehlen.
- Sitzungsfixierung
Bei dieser Art von Angriff erstellen Angreifer eine Sitzungs-ID, die der Benutzer nach einer Täuschung verwendet. Die Sitzungs-ID kann über URLs oder Formulare in E-Mails festgelegt werden, die auf die Website des Angreifers führen. Sobald sich der Benutzer anmeldet, erhält der Angreifer Zugriff auf seine Daten.
- Brute Force
Dies funktioniert hauptsächlich dann, wenn die Website oder der Zielnutzer vorhersehbare Sitzungs-IDs verwendet, die der Angreifer erraten und den Angriff durchführen muss. Ein anderes Szenario ist, wenn der Angreifer Zugriff auf eine Liste von Sitzungs-IDs von einer Website mit schwachen Sicherheitsvorkehrungen erlangt.
- Mann im Browser
Dies wird auch als Man-in-the-Middle-Angriff oder Malware bezeichnet. Dabei infiziert der Angreifer den Computer des Benutzers mit Malware und Viren und kann so eine Sitzung kapern. Bei dieser Art von Angriff ist es sehr schwierig, Probleme mit der Webanwendung oder der Sicherheit der Site zu erkennen.
Wie funktioniert Session Hijacking?
Es gibt verschiedene Techniken und Methoden, um eine Sitzung zu übernehmen, wie z. B. Session Sniffing, Cross-Site-Scripting, vorhersehbare Session-Token-IDs usw. Das grundlegende Szenario bleibt jedoch gleich –
Dies geschieht, wenn ein Hijacker unbefugt Zugriff auf die Sitzung eines Benutzers erhält, indem er dessen Sitzungscookie stiehlt und den Browser so täuscht, dass er glaubt, der Angreifer sei ein tatsächlicher Benutzer.
Dieser Vorgang erfolgt in zwei Hauptschritten, beispielsweise wenn der Nutzer eine Webanwendung oder Website öffnet, die einen temporären Cookie, auch Session-Cookie genannt, installiert. Diese Session-Cookies dienen der Authentifizierung des Nutzers und der Nachverfolgung seiner Aktivitäten. Sie bleiben jedoch im Browser gespeichert, bis die Sitzung des Nutzers automatisch abläuft oder dieser sich manuell abmeldet. Cyberkriminelle können verschiedene Methoden nutzen, um Session-IDs zu stehlen (wie oben erwähnt). Der grundlegende Ablauf besteht darin, die Session-ID aus dem Cookie zu extrahieren und die darin enthaltenen Informationen zu verwenden, um die Sitzung des ursprünglichen Nutzers zu übernehmen. Sobald die Sitzung übernommen ist, können die Angreifer die Vorteile der gestohlenen Session-ID nutzen. Je nach ihren Motiven können sie die fortgesetzte Sitzung verwenden, um persönliche Daten zu extrahieren oder illegale Aktivitäten durchzuführen.
Wie kann man sich vor Session Hijacking schützen?
Session Hijacking zählt zu den größten Cybersicherheitsbedrohungen, doch es gibt verschiedene Möglichkeiten, wie sich Nutzer schützen können. Einige Schritte sind:
- Vermeiden Sie öffentliches WLAN
Nutzer sollten niemals öffentliche WLAN-Netze verwenden, insbesondere nicht bei wichtigen Online-Transaktionen wie Bankgeschäften, Einkäufen, Zahlungen usw. Ein Angreifer in der Nähe kann durch Packet Sniffing die Session-Cookies eines Nutzers auslesen.
- Setzen Sie auf Web-Frameworks für die Verwaltung von Session-Cookies.
Je länger und zufälliger die Session-Cookies sind, desto schwieriger lassen sie sich erraten oder vorhersagen. Am besten verwendet man ein Web-Framework, um ein solches System selbst zu generieren und zu verwalten.
- Ändern Sie den Sitzungsschlüssel nach der Authentifizierung
Die beste Schutzmaßnahme besteht darin, den Sitzungsschlüssel unmittelbar nach Abschluss des Anmeldevorgangs zu ändern. Auf diese Weise hat der Angreifer selbst bei Kenntnis des ursprünglichen Schlüssels keine Ahnung, welchen Schlüssel der Benutzer für die Testsitzung verwenden wird.
- Intrusion Detection Systems (IDS) und Intrusion Protection Systems (IPS)
Diese Systeme vergleichen den Website-Traffic mit einer Datenbank bekannter Angriffssignaturen. Wird eine Übereinstimmung gefunden, wird der Traffic blockiert und der Website-Betreiber benachrichtigt. Diese Verfahren sind zwar kostspielig, aber effektiv.
- Verwenden Sie HTTPS
Dies soll sichergestellt werden SSL oder TLS Arten von Verschlüsselung Dies betrifft den gesamten Sitzungsverkehr. Dieser Schritt verhindert, dass ein Angreifer die Sitzungs-ID abfängt, selbst nachdem er seinen Netzwerkverkehr überwacht hat. Noch besser ist die Verwendung von HSTS (HTTP Strict Transport Security).
- Einführung von Cybersicherheitstools
Ein solches Cybersicherheitstool ist die DDoS-Schutzsoftware und die Täuschungstechnologie zum sorgfältigen Ein- und Ausloggen bei jeder Sitzung.
Fazit
Es besteht immer die Möglichkeit, Opfer von Session-Hijacking zu werden. Die oben genannten Schritte und das Achten auf die Symptome können jedoch helfen. Es wird intensiv an der Behebung dieser Sicherheitslücke geforscht, aber die beste Prävention ist derzeit, dass sich Nutzer der Gefahr eines Session-ID-Diebstahls bewusst sind.
