 |
| Matthias Ungethuem manipuliert die ESA-Seite (Foto: M.Voß) |
MDR INFO, 04.08.12
Vor einigen Wochen hatte er noch die Seiten von T-Online geknackt und die Telekom darauf aufmerksam gemacht, dass ihr E-Mail-Dienst ein großes Sicherheitsrisiko hat. Nun hat der Hacker aus Mittelsachsen zwei viel größeres Organisationen geprüft und für gefährdet erklärt: die NASA und ihr europäischer Gegenpart ESA. Ich war gestern Abend vor Ort.
Matthias Ungethuem sitzt im Garten vor den Laptop. Vor ihm geöffnet ist die Homepage der Europäischen Weltraumorganisation ESA:
Man kann die ESA-Seite innerhalb des Links so verändern, wie man will.
Das ist eine gewagte Behauptung. Doch für MDR INFO zeigt der Hacker aus dem sächsischen Geringswalde, wie er die Homepage verändert. Dafür schreibt er dort, wo schon der Link im oberen Teil des Browsers, dem Internetzugang, steht, noch einen Befehl hinterher. Der Befehl wird in HTML geschrieben, der relativ simplen Programmiersprache für Homepages.
Wir machen ersteinmal einen ganz großen Text, damit wir sehen, dass wir HTML browserseitig ausführen können. H1, so jetzt müsste es eigentlich extrem groß hier drin werden. Extrem. Ist jetzt übertrieben. – Also, was sieht man jetzt genau? – Das, was man jetzt an der Aktion sieht, ist, dass wir HTML ausführen können innerhalb von einem Parameter, den wir mitsenden.
 |
| Screenshot der manipulierten ESA-Seite |
Auf dem Bildschirm prankt der Schriftzug MDR INFO direkt unter dem ESA-Logo und vor dem eigentlichen Text. Der Link manipulierte tatsächlich die Seite. Diesmal ist es harmlos, aber es ließe sich beispielsweise eine Passwortabfrage einbauen, die die Antworten nicht an die ESA, sondern an Unbekannte weiterleiten könnte.
Eine viel größere Sicherheitslücke entdeckte Matthias Ungethuem aber bei der NASA:
Das Schlimmste dabei ist, dass man direkt in den ihre Server eindringen kann. Man kann quasi direkt in die Webseiten eindringen, kann sich dort drin umgucken, kann auch alles verändern, wenn man das möchte.
Doch es kommt noch viel heftiger, denn nicht nur die Daten der Homepage sind für den Hacker sichtbar.
Ich konnte die Passwort-Dateien auslesen und ein eigenes PHP-Script hochladen, um den Server komplett anzusehen. Alles was drin ist.
 |
| Screenshot der NASA-Seite mit Serverdaten |
Matthias Ungethuem könnte mit diesem Wissen der NASA oder auch der ESA schaden. Aber er will es nicht. Sein Ehrgeiz ist es, auf gravierende Sicherheitslücken hinzuweisen, um Schaden zu vermeiden. Er nennt das „reporten“ und arbeitet dafür mit dem Internetportal Gulli.com zusammen.
Ich habe vor vielen Jahren mal Lücken reportet, auf die nicht geantwortet wurde, und ich habe mir gesagt, ich guck mal nach, ob die Dinger noch existieren. Und da ist es doch tatsächlich so, dass sie noch existieren.
Die Europäer bei der ESA haben inzwischen geantwortet und wollen die Lücken schließen. Die NASA lässt noch auf sich warten. Deshalb ist Matthias Ungethuem jetzt an die Öffentlichkeit gegangen.
(c) Michael Voß, www.michael-voss.de
Die ESA hat den Bug inzwischen beseitigt.