Neue Sicherheitslücke bei Ebay

MDR INFO, 26.05.14
–> Beitrag anhören

Bei Ebay gibt es eine neue Sicherheitslücke. Damit ist es möglich, dass Angreifer Kundendaten ausspähen und auf Kosten der Kunden einkaufen können. Ebay selbst hat bislang nicht reagiert und bestreitet die Schwere der Lücke. Ich habe mir die Sicherheitslücke von ihrem Entdecker zeigen lassen.
Eigentlich müsste Ebay-Verkaufsseite  schon geschlossen sein, denn sie enthält eine  Sicherheitslücke. Entdeckt hat diese Michael Eissele aus Nordrhein-Westfalen – im Privatleben ein Hacker und auch beruflich zuständig für Sicherheit im Internet.

Bei der Lücke handelt es sich um ein sogenanntes Cross-Side-Scripting. Dadurch kann ein Angreifer auf Ebay-Seiten Schadcode einbetten, der dann ausgeführt wird, wenn ein Nutzer eine präparierte Auktionsseite aufruft.

Screenshot der präparierten Ebay-Seite: Zur Probe ist das Script, welches den Fehler
erzeugt, sichtbar und öffnet ein Fenster mit einer „1“ in einem Kasten.

Im aktuellen Fall ist die Seite zwar präpariert, aber es passiert nichts Gefährliches. Michael Eissele will lediglich die Sicherheitslücke bei Ebay demonstrieren und verändert Kleinigkeiten auf der Seite. Möglich ist das, weil er über das Verkaufsformular nicht nur den Artikelnamen eingibt, sondern auch Programmierbefehle – ein sogenannten Code.

Nachdem man den Artikelnamen eingegeben hat, danach kommt dann ein JavaScript-Code und der kann entweder unsichtbar ausgeführt werden, man kann aber auch die ganze Seite optisch verändern. Also, im Prinzip kann man alles mit der Seite machen, was man möchte. Es sind eigentlich auch keine Limits gesetzt.

Keine Limits heißt beispielsweise, dass ein Schadcode die Anmeldeinformationen des Käufers ausliest und diese an eine beliebige Adresse im Internet schickt. So kann dann die vollständige Identität des Käufers übernommen und später in seinem Namen eingekauft werden. Der Käufer würde davon beim Besuch auf der Seite nichts merken – erst wenn das Konto ungeplante Abbuchungen vermerkt, dürfte das Problem auffallen.

Ebay wurde über die Sicherheitslücke vor zwei Monaten durch Michael Eissele  informiert. Seitdem passierte nichts. Ebay stufte das Sicheitsproblem als hinnehmbar ein. Auch auf Nachfrage von MDR INFO hieß es schriftlich:

Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken.

Und weiter heißt es, dass Technologien eingesetzt werden, die – so wörtlich  – …

… die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.

Nur genau das hat Michael Eissele mit seiner Versuchsseite vorgeführt: Er konnte einen Schadcode genau an dieser Stelle einfügen. Deshalb ist für ihn klar:

Da ist zwar ein mehrstufiges Sicherheitssystem vorhanden, seitens Ebay wurde das zumindest so gesagt, aber das ist scheinbar nicht mehr auf dem neusten Stand. Man kann diese Filter von Ebay ziemlich leicht umgehen.

Erst vor wenigen Tagen war bekannt geworden, dass bei Ebay 145 Millionen Datensätze der Kunden gestohlen wurden. Auch in dem Fall hatte es mehrere Monate gedauert, bis Ebay mit der Information an die Öffentlichkeit ging.

Aktualisierung, 26.05.14, 19:15

Ebay teilte am Abend mit, man wolle die bei MDR INFO dargestellte Sicherheitslücke auf der Homepage beheben. Eine Sprecherin sagte: „Dies ist komplex und deswegen ein Prozess, der zumindest ein wenig Zeit dauert.“

(c) Michael Voß, www.michael-voss.de

O2 rät Kunden zu Änderung der WLAN-Schlüssel

MDR INFO, 19.03.14
–> Beitrag anhören

Der Telefon- und Internetanbieter O2 warnt vor Sicherheitslücken in seinen WLAN-Routern. Alle Kunden sollten dringend die Passwörter ändern.

Router, das sind die kleinen Kästen, die zwischen Telefonbuchse auf der einen sowie Computer und Telefon auf der anderen Seite stehen. Sie wandeln die DSL-Signale so um, dass sie als Internetverbindung und zum Telefonieren genutzt werden können. WLAN-Router sind die Geräte, die diese Informationen drahtlos weitergeben. Und genau diese Funkverbindung ist das Problem. Sie kann jeder nutzen, der in der Nähe des WLAN-Routers ist, zum Beispiel der Nachbar. Er kann dann so surfen, als sei er in seinem eigenen Netz unterwegs, kann sich illegal Dateien herunterladen und kann auch auf andere Computer in dem Netzwerk zugreifen. Das Problem bei O2: Das voreingestellte Passwort – der sogenannte WLAN-Schlüssel – ist nicht sicher, kann also durch andere geknackt werden. Katja Hauss vom spanischen Mutterkonzern Telefonica:

Wir weisen unsere Kunden darauf hin, dass sie den voreingestellten W-LAN-Schlüssel ihres Routers ändern sollen. Und wir empfehlen ihm, sich ein eigenes und persönliches Passwort zu vergebe, um damit ihr Netzwerk wieder zu sichern.

Ein WLAN-Schlüssel sollte aus mindestens zwanzig Zeichen bestehen. Dabei können  und sollten Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern genutzt werden, allerdings keine deutschen Umlaute. Wichtig ist: Keine Wörter nutzen, die auch im Duden zu finden sind, vor allem keine Namen und Geburtsdaten.

Betroffen sind von O2 ausgelieferte Router, aber auch, die vom Anbieter Alice vor der Übernahme durch O2 bereitgestellten Geräte. Konkret sind es die Router mit den Nummern 6431, 4421 und 1421.

O2 ist nicht der einzige Anbieter mit Problemen bei den Routern. Vor einigen Wochen waren die weit verbreiteten FritzBoxen von Sicherheitsproblemen betroffen gewesen.

(c) Michael Voß, www.michael-voss.de

Virenscanner sollen Handynutzer ausspähen

MDR INFO, 24.02.14
–> Beitrag anhören

Wer passt eigentlich auf die auf, die aufpassen? Wie ist das zum Beispiel beim Virenscan? Die Computerzeitschrift c’t hat da ganz erstaunliche Ergebnisse herausgefunden. So geben beispielsweise einige Virenscanner auf dem Handy mehr Informationen an die Hersteller weiter, als eigentlich notwendig wäre.

Die Schlagzeile klingt gefährlich: „Android-Virenscanner schnüffelt Surf-Verhalten aus“ lässt es sich heute in der Computerzeitzschrift „c’t“ nachlesen. Für Ronald Eickenberg, dem Autoren des Artikels, ist klar: Auf den Smartphones gibt es ein heftiges Sicherheitsproblem, sobald Virenscanner aktiv werden und Daten auf den Server des Herstellers übertragen werden

Zunächst einmal wird die vollständige Seite übertragen, die man ansurft, und darüber hinaus noch sogenannte Parameter. Darin können bei einigen Seiten wichtige Informationen stecken. Vertrauliche Informationen, wie Passwörter, Zugangsdaten oder Sitzungs-ID, mit denen man in fremde Online-Banking-Sitzungen oder Shopping-Sitzungen zum Beispiel einsteigen kann.

Und genau diese vertraulichen Informationen braucht der Virenscanner eigentlich nicht. Für das Programm ist ausschließlich die Adresse der besuchten Seite wichtig, denn damit kann via Internet in einer Datenbank nachgeschaut, ob die Seite gefährlich ist oder nicht. Sollte die Seite bereits als gefährlich aufgefallen sein, würde der Nutzer dann gewarnt werden. Alle anderen Daten, die übertragen werden, sind eigentlich vollständig nutzlos für diesn Scan. Betroffen sind laut  „c’t“ insbesondere zwei Virenscanner.

Also am schlechtesten abgeschnitten haben AVAST und AVG. Die sind beide in der Grundversion kostenlos und sind dementsprechend auch beliebt. Also, alleine AVAST ist, soweit ich weiß, über einhundert  Millionen Mal installiert worden.

Bei AVG ist man sich des Problems durchaus bewusst. Deutsche Stimme für die tschechische Firma ist Dirk Knop von Jakobsoftware. Er gesteht offen den Fehler ein.

AVG hat verstanden: Das ist ein Problem. Haben sie bis jetzt einfach nicht daran gedacht.

Doch ginge es keinesfalls darum, die Kunden bei ihren Surfverhalten zu beobachten.

AVG verwendet derartige Daten ausschließlich zur Überprüfung der Zieladresse, ob die als bösartig eingestuft werden muss. Die Daten werden nicht weiterverwendet und auch nicht an Drittanbieter übergeben.

AVG werde dieses Problem jetzt schnellstmöglich beseitigen. Bis dahin solle man keine offenen Netzwerke, wie beispielsweise in Cafés oder Hotels, nutzen.  Eine andere Alternative ist – so empfiehlt es „c’t“ – ist es, die Überwachung – den sogenannten Live-Scan – solange abzuschalten, bis das Problem gelöst hat. Wichtig ist es aber, den Virenscan nicht vollständig abzuschalten. Dann nämlich könnte Schadsoftware unerkannt auf das Handy einwirken.

(c) Michael Voß, www.michael-voss.de

Spieleplattform „Steam“ hat ein Sicherheitsproblem

MDR INFO, 14.10.13
–> Beitrag anhören

Steam ist DIE Internetplattform für Spiele und Spieler im Internet. Gerade Jugendliche tummeln sich hier. Weltweit gibt es nach Angaben der Plattformbetreiber 50 Millionen aktive Nutzerkonten. Ein Hacker aus Mittelsachsen hat jetzt eine gefährliche Sicherheitslücke entdeckt, warnt davor – und wird von den Betreibern nicht ernst genommen. ich hab mir zeigen lassen, wie man Steam für illegale Zwecke nutzen kann.

Matthias Ungethuem sitzt im Wohnzimmer seiner Eltern am Laptop und grinst dabei ein wenig. Dass er einen der größten Spieleanbieter einfach gehackt hat, ist für ihn schon fast normal.

Technisch gesehen ist es tatsächlich extrem banal.  Da ist das Witzige dabei: Man muss nicht mal groß etwas dafür können. Solang man die Lücke hat, kann man damit richtig etwas anfangen. Das ist halt diese große Gefahr. Viele könnten  damit richtig großen Mist bauen…

In der Tat ist bei der entdeckten Sicherheitslücke vieles drin. Bis hin zu Kreditkartendaten kann alles vom Nutzer, den man reinlegt, abgefragt werden, ohne dass dieser stutzig wird. Matthias Ungethuem hat sich dafür auf den Chatbereich, die sogenannte Community, konzentriert. Das ist ein internes Fenster, in dem man sich mit anderen angemeldeten Nutzern von Steam unterhalten kann. Weiterleitungen, die Links, sind nur zu internen Seiten möglich – eigentlich, denn genau hier ist die Lücke. Der Hacker aus dem sächsischen Geringswalde hat einen präparierten Link verschickt. Mit einem Test-Account spielt Matthias Ungethuem jetzt nach, was einem normalen Nutzer passieren würde.

Und jetzt soll ich mich einloggen, weil ich angeblich ausgloggt bin in der Steam-Community. Hier, wenn man sich das anguckt, hier ist überhaupt nichts Verdächtiges. Das ist alles die ganz normale Webseite.

Doch genau das ist es nicht. Es ist eine Seite, die durch einen Code erzeugt wurde, der in dem Link enthalten ist. Durch die Lücke bei Steam wird dem Nutzer aber vorgegauckelt, dass die Plattform jetzt nochmals das Passwort haben möchte.

Denken Sie sich eines aus. Sonst sieht es so aus, wie, als hätte ich das vorgearbeitet. – Dann nennen wir das mal Bisambau. – Bisambau. Ok, jetzt bin ich wieder auf der normalen Seite. Der Nutzer an sich würde also wahrscheinlich – Was heißt wahrscheinlich? Es  ist so! – Man würde ja unmöglich erkennen können, dass das gerade ein Angriff war. So, ich mach das mal alles klein und gehe dann mal auf meinen Webserver. Da müsste nämlich jetzt schon der Nutzername und das Passwort sein.
Ok, alles klar. Da ist es.

Und tatsächlich, da steht es: Bisambau. Mit diesem Passwort eines fremden Nutzers könnte sich der Hacker jetzt in dessen Account einschleusen und unter falscher Identität beispielsweise Spiele kaufen. Aber statt des Passwortes hätte Matthias Ungethuem auch die Kreditkartendaten abfragen können. Der User hätte nichts gemerkt.

Die Sicherheitslücke hat der Hacker bereits am 23. September an die Spieleplattform Steam gemeldet. Doch bislang passierte nichts, erzählt Matthias Ungethuem. Andere Hacker könnten die Lücke jederzeit ausnutzen, um damit illegal Geld zu machen.

(c) Michael Voß, www.michael-voss.de

UN warnen: Handy-SIM-Karten sind weltweit unsicher

MDR INFO, 22.07.13
–> Beitrag anhören

Veraltete Verschlüsselungstechnik aus dem vorherigen Jahrhundert wird weltweit in Handys eingesetzt. Davor warnen jetzt sogar die Vereinten Nationen. Weltweit sollen jetzt in 200 Ländern die Handy-Netzbetreiber angeschrieben werden. Durch die Lücke seien die Mobiltelefone offen für alle Hackerangriffe. Entdeckt hat das Sicherheitsproblem ein Deutscher.

Karsten Nohl ist ein sogenannter guter Hacker. Jemand, der nicht in Computersysteme eindringt, um Schaden anzurichten. Im Gegenteil: Er deckt Lücken auf, damit sie geschlossen werden. Nohl hat seinen Doktortitel in Computertechnik gemacht und ist Kryptograph – jemand, der sich beruflich um Entschlüsselungen kümmert. Und genau das hat er viele Jahre in der bei der Mobilfunktechnik ausprobiert. Sein größter Vorwurf an die Netzbetreiber:

Mir ist es häufig schleierhaft, wie man es schafft, neue Technik zu kaufen, und gute Sicherheitsfeatures abzuschalten. Das nämlich ist der Fall bei SIM-Karten. Es gibt heute keine Karte mehr, die herausgegeben wird, die nicht viel besser abgesichert werden könnte.

So sei die Verschlüsselungstechnik zum Teil bis zu 40 Jahre alt, obwohl die Karten einen viel besseren Standard anbieten könnten. Die Folge ist dramatisch und kann für den Handykunden sogar finanzielle Verluste bringen.

Der Hacker kann Kontrolle über die SIM-Karte erlangen. Und die SIM-Karte ist eine Sicherheitsschaltstelle im Telefon, aus der alle wichtigen Verschlüsselungenschlüssel für die Kommunikation mit dem Netzwerk generiert werden. Das heißt, wenn jetzt jemand meine Karten kontrollieren eventuell sogar kopieren kann, kann er Kosten auf meine Rechnung generieren. Er kann Anrufe umleiten.

Kurz: Alles ist möglich. Das Gute: In Deutschland haben sich offenbar die meisten Telefonanbieter inzwischen für eine bessere und sichere Verschlüsselungsmöglichkeit entschieden, sagt Karsten Nohl. Das bestätigt auch Telekom-Pressesprecherin Alexia Sailer:

Kunden der Deutschen Telekom in Deutschland sind nicht betroffen. Wir nutzen selbst bei den älteren SIM-Karten eine stärkere Verschlüsselung, als die, die jetzt betroffen ist.

Für Karsten Nohl ist es wichtig, dass die Telekommunikationsfirmen weltweit ihre Kunden informieren, welchen Standard sie einsetzen.

An vielen Stellen kann der Nutzer leider gar nicht erkennen, was verwendet wird. Das sind Entscheidungen und teilweise sogar geheime Entscheidungen der Netzbetreiber. Diese kleineren Karten sind natürlich schon neuer und tendenziell sicherer.

Kleinere SIM-Karten werden häufig für die sogenannten Smartphones, die Handys der neuen Generation, eingesetzt.

Karsten Nohl ergänzt, genaue Informationen könne der Handykunde nur über seinen Anbieter erfragen.

(c) Michael Voß, www.michael-voss.de

Sicherheitslücke: E-Mailadressen bei T-Online lassen sich kapern

MDR INFO, 09.07.13
–> Beitrag anhören

Das Skript im Vordergrund löscht die bisherige E-Mailadresse (Foto: Voß)

MDR INFO hat zusammen mit einem Hacker aus Sachsen eine gravierende Sicherheitslücke beim E-Mail-Dienst T-Online der Telekom entdeckt. Dadurch kann sich ein Angreifer unter falscher Identität sogar Passwörter anderer Dienste zuschicken lassen. Theoretisch sind sogar Einkäufe auf Kosten des Opfers möglich.

Die E-Mail-Adressen bei der Telekom können innerhalb von Sekunden von Unbekannten  übernommen werden. Identitätsklau heißt das Stichwort. Und der Nutzer merkt davon zunächst nichts. Schuld daran ist eine Sicherheitslücke, die Matthias Ungethuem aus dem sächsischen Geringswalde entdeckt hat. Sein Programm, sein sogenanntes Script, lässt sich auf Internetseiten verstecken und diese dann zur Falle werden.

Wenn ich mein Script jetzt angreifen lassen, dann tut das im Hintergrund – ohne, dass das der Nutzer merkt – die E-Mailadresse des Nutzers ändern. Die alte E-Mailadresse wird damit verfallen. Das heißt, die alte E-Mailadresse ist zur Registration für alle Nutzer der ganzen Welt wieder frei. Und genau in dem Moment kann sich der Angreifer zum zweiten Mal einklinken und den Namen der E-Mailadresse übernehmen.

Matthias Ungethuem hat die Sicherheitslück entdeckt (Foto: Voß)

MDR INFO hat es nachgeprüft: Konkret geht es um alle E-Mail-Adressen mit „t-online.de“ hinter dem @-Zeichen. Der Angreifer muss nichts anderes machen, als sein Opfer auf eine Internetseite zu locken. Zum Beispiel mit Werbebotschaften in einer E-Mail für günstige Fotobücher oder andere verlockene Angebote. Dieser Link führt dann auf eine vorbereitete Seite. Die Seite kann beliebig gestaltet sein, also auch eine Kopie einer bekannten Seite sein. Das unsichtbar eingebaute Script storniert nun den vorhandenen Namen vor dem @-Zeichen und ersetzt ihn durch einen anderen Namen. Das Opfer merkt zunächst nichts davon.

Von einem zweiten Computer aus beantragt der Reporter dann ganz legal auf der Telekom-Seite genau die Adresse, die wir gerade illegal gelöscht haben. Und tatsächlich ist sie frei und jetzt im Besitz des Reporters. Und der könnte damit einiges anfangen, erzählt Matthias Ungethuem.

Man könnte Geschäftskunden anschreiben und sich als jemand anderes ausgeben, weil man eben diese Adresse hat.

Und: Der Angreifer bekommt von nun auch alle E-Mails zugeschickt, die an die bisherige Adresse seines Opfers gerichtet sind. Das lässt sich ausnutzen, zum Beispiel beim Bestellen bei verschiedenen Online-Kaufhäusern.

Seit dem 30. Mai 2013 ist die Telekom
informiert (Foto: Voß).

Viele Internet-Händler haben einen Link, den man anklicken kann, wenn man sein Passwort vergessen hat. Dafür braucht man dann nur die eigene E-Mail-Adresse angeben, die  als sicher gilt. In unserem Fall nutzt nun der Angreifer die gekaperte Adresse, bekommt ein neues Passwort, kann damit über eine fingierte Lieferadresse im Namen des Opfers einkaufen.

Diese Sicherheitslücke entstanden, weil die Telekom selbst den Wechsel des E-Mail-Namens für ihre Nutzer ermöglicht. Dabei wird weder das Passwort abgefragt noch ein eingebautes Passwort – ein sogenannter Token – genutzt, wie es normalerweise üblich ist.

Was T- Online machen müsste, wäre, einen solchen Token einführen, das heißt: Vor dem Absenden wird der Token generiert, dann wird er übermittelt und wenn er nicht hinhaut, wenn er nicht übereinstimmt, dann kann man einfach nicht davon ausgehen, dass der Nutzer das war.

Auf dieses Problem hat Matthias Ungethuem die Telekom bereits vor sechs Wochen hingewiesen. Das Fax liegt MDR INFO vor. Es geschah nichts. Auf Nachfragen war die Telekom nicht bereit vor dem Mikrofon Stellung zu nehmen. In einer E-Mail hieß es lediglich, man nehme den Hinweis sehr ernst und prüfe den Vorgang.

Aktualisierung, 10.07.13

Nach Angaben der Telekom ist die Sicherheitslücke im Mailverkehr von T-Online geschlossen worden. Man habe eine zusätzliche Passwortabfrage eingebaut. MDR INFO hatte gestern darüber berichtet, dass es aufgrund fehlender Sicherheitsvorkehrungen möglich sei, E-Mail-Adressen der T-Online-Kunden zu kapern. Die Angreifer hätten dadurch die digitale Identität ihrer Opfer übernehmen können. Der Telekom ist nach eigenen Angaben kein derartiger Fall bekannt.

Andere Medien berichten zu dem Thema

(c) Michael Voß, www.michael-voss.de

Lösung für Sicherheitsprobleme beim Microsoft Internet Explorer

–> Gespräch zur Sicherheitslücke anhören, MDR INFO, 02.01.2013

Ein unsicherer Web-Browser kann zum Einfallstor von Schadprogrammen für den eigenen Rechner werden. Genau so eine Sicherheitslücke ist jetzt beim Microsoft Explorer der Versionen 6, 7 und 8 entdeckt worden. Die Sicherheitslücke ermöglicht Angreifern den Rechner von außen fernzusteuern und vollständig zu übernehmen. Dadurch können beispielsweise Dateien auf dem Computer ausgespäht werden.

Wie kommt das Schadprogramm auf den Rechner?

Voraussetzung ist, dass eine Internetseite, die besucht wird, vorher manipuliert wurde. Der User selbst merkt beim Besuch der Seite zunächst nichts. So war zum Beispiel die Homepage des Council on Foreign Relations (CFR) von Unbekannten entsprechend verändert worden. Das CFR ist ein Club von Politik- und Wirtschaftsexperten.

Es lässt sich nicht ausschließen, dass auch andere Internetseiten manipuliert wurden. Das Schadprogramm verbreitet sich über eine in die Seite eingebaute Adobe Flash-Funktion.

Wie kann man sich schützen?

Der einfachste Schutz ist es, die neuen Versionen 9 oder 10 des Windows Explorer zu installieren und die alte Version zu löschen. Die Versionen 9 und 10 sind von dem Sicherheitsproblem nicht betroffen
Außerdem bietet Microsoft für die alten Explorer-Versionen auf seiner Homepage ein sogenanntes Fix-it an. Das lässt sich durch Anklicken herunterladen und repariert den Explorer provisorisch. Allerdings läuft das Programm dann langsamer als normal.

Wie verbreitet ist der Windows Explorer in den Versionen 6, 7 und 8?

Die betroffenen Explorer-Versionen laufen weltweit auf fast jedem dritten Rechner. Allerdings muss offenbar als Systemsprache Englisch, Japanisch, Chinesisch, Koreanisch oder Russisch eingestellt sein.

(c) Michael Voß, www.michael-voss.de

Lücke im Microsoft Explorer soll bis Freitagabend geschlossen sein

Die Sicherheitslücke im Microsoft Explorer soll bis Freitagabend, 19:00 Uhr, geschlossen sein. Das teilte der Konzern mit. Entsprechende Updates ständen bis dahin zur Verfügung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte am Montag Internetnutzer auf eine bisher unbekannte, kritische Schwachstelle im Browser Microsoft Internet Explorer hingewiesen. Die Schwachstelle werden bereits in gezielten Angriffen ausgenutzt. Zudem sei der Angriffscode auch frei im Internet verfügbar, sodass mit einer breitflächigen Ausnutzung rasch zu rechnen sei.

(c) Michael Voß, www.michael-voss.de