24.11.14 (MDR INFO) – Es ist eine harmlose Seite im Internet. Hier sucht unter anderem der britische Geheimdienst Nachwuchs für die Jagd auf Cyberkriminellen. Dabei nutzt er ein Spiel, bei dem die besten Hacker siegen, die dann vielleicht irgendwann einmal zu Cyber-Spionen werden. Doch ein Hacker kam weiter und schaute hinter die Kulissen. Und kommt nun sogar an die persönlichen Daten der Bewerber. Und alles beginnt mit einem bedrohlichen Werbevideo fein auf die Zielgruppe abgestimmt.
You are not save online just because you can respond to a simulated cyber attack
Sie sind online nicht sicher, nur weil sie auf einen simulierten Online-Angriff reagieren können.
We will show you what a real attack feels like
Wir werden ihnen zeigen, wie sich ein wirklicher Angriff anfühlt.
Mit dieser Drohung beginnt das Werbevideo für den Hacker-Wettbewerb Cyber Security Challenge. Mit dem Angebot im Internet versucht unter anderem der britische Geheimdienst GCHQ junge Computerexperten aus der Hackergemeinde in seine Dienste zu bekommen. Jeder kann sich dabei ausprobieren: In einem bestimmten Teil des Internetangebotes – in Fachkreisen „HackIT“ genannt – gilt es die Seite so zu hacken, dass der fiktive Angriff gestoppt wird. Verteidigung durch Angriff ist das Motto.
Der Hacker Matthias Ungethüm aus dem sächsischen Geringswalde hat den Aufruf ernst genommen. Doch mit einem wichtigen Unterschied: Er beschränkt sich nicht nur den dafür vorgesehenen Teil des Internetangebots, auf das „HackIT“.
Nun ist jetzt hier das Problem, dass ich diesen Link bekommen hab. Es wurde gesagt: „Hey, macht doch mal mit, bei dem HackIT!“. Ich habe mir gedacht, die Website selbst sei das HackIT. Also habe ich die Webseite gehackt. Das war’s aber nicht….
Und so hat er um die Wettbewerbs-Seite drumherum gehackt, was dazu führt, dass er sich die persönlichen Daten der rund 20.000 Teilnehmer einzeln anschauen kann. Mit anderen Worten: Die möglichen zukünftigen Geheimdienstmitarbeitet sind ihm bereits bekannt. Wer hinter der Ziffer 007 steckt, ist somit kein Geheimnis mehr.
Der Trick: Jede Fehlermeldung auf der Wettbewerbsseite dokumentiert ausführlich den Aufbau der Datenbank und ihrer Inhalte. Also hat Matthias Ungethüm möglichst viele Fehlermeldungen provoziert. Und dadurch bekam die ID – einer durchlaufende Nummer, die jedem Teilnehmer zugewiesen wird – ein besondere Bedeutung
Dadurch, dass ich diese Fehlermeldung hatte, konnte ich dann eben auch tatsächlich sowas wie das Verändern der ID ermöglichen, weil ich eben durch die Fehlermeldung wusste, wie das Parameter heißen soll.
Und mit der geänderten ID konnten Matthias Ungethüm die Daten übernehmen.
Der Hacker hat diese und weitere Lücken am 14. Oktober an den Betreiber der Seite weitergemeldet. Doch:
Bis jetzt: Keine Antwort. Und: Die Lücken sind alle offen, wie es bis jetzt aussieht.
Die Details seines Hacks liegen MDR INFO vor, werden aber nicht veröffentlicht, damit niemand Schaden anrichten kann.
You can try to fight back.
You will fail.
Du kannst versuchen, zurückzuschlagen.
Doch du wirst verlieren