Beitrag
Moderationsgespräch
09.04.15 – Ein Internetexperte aus Sachsen hat auf der Homepage der US-Bundespolizei FBI eine gravierende Sicherheitslücke entdeckt. Dem Hacker gelang es im Beisein unseres Reporters, Fotos und Texte bestehender FBI-Seiten auszutauschen. Damit ist es möglich, unter dem FBI-Logo Schadsoftware zu verbreiten.
Matthias Ungethüm sitzt im Wohnzimmer vor dem Laptop und freut sich. Auf der Internet-Fahndungsliste der US-Bundespolizei FBI sind sein Gesicht und sein Name auf der Liste der Top Ten – der meistgesuchten Verbrecher – zu finden. Nein, dazu gehört wirklich nicht. Er hat die Homepage des FBI zwar manipuliert, doch will er damit auf eine schwere Sicherheitslücke hinweisen.
Also, was ich jetzt gemacht habe, ist ja eigentlich nur eine Spielerei. Schlimm wird es dann aber, wenn man es probiert, das, ich sag jetzt mal, ernsthaft rüberzubringen. Schadcode verteilen ist auf jeden Fall eine der ersten Sachen, die dabei machbar sind, weil das FBI zumindest für die meisten Leute – wenn sie jetzt nicht gerade selbst als Straftäter betroffen sind – eine ziemlich vertrauenswürdige Sache ist.
In der Tat zeigt der Internet-Browser trotz der Manipulation an, dass diese gefälschte Seite zum Internetangebot des FBI gehört. Selbst Fachleute dürften nicht sofort erkennen, dass hier etwas faul ist. Statt der spielerhaft ausgetauschten Fotos und Texte wäre es beispielsweise möglich angebliche Virenschutzprogramme anzubieten. Diese könnten dann in Wahrheit selbst Computer-Viren enthalten.
Jeder Hacker hat seinen Trick, wie er solche Manipulationen durchführt. Matthias Ungethüm nutzt dazu den sogenannten Link, der einen Nutzer auf eine Homepage führt. Er hat ihn verändert und Befehle für den FBI-Server untergebracht – in Fachkreisen nennt sich das Cross-Site-Scripting:
Ich sende eine schon manipulierte Anfrage hin und dadurch kann ich festlegen, was als Antwort kommt.
Die Veränderung auf der FBI-Homepage ist also nur für Nutzer sichtbar, die diesen manipulierten Link erhalten und anklicken. Doch ließe sich so ein Link ohne weiteres mit einer Massen-E-Mail verschicken, die vorgibt, vom FBI zu stammen – ein angeblicher Service der Bundespolizei.
Und auf diese Art ließen sich auch im Namen des FBI Falschinformationen streuen:
Die ganz normalen News zum Terrorismus könnte man schlichtweg ändern und Leuten dann irgendwelchen Quatsch vorgauckeln, der gar nicht ist.
Matthias Ungethüm hat das FBI am 15. März von der Sicherheitslücke informiert. Seine E-Mail liegt MDR INFO vor. Die Lücke ist noch offen und der Hacker wartet noch immer auf eine Antwort.