Auf der Internetseite von Interpol – www.interpol.int – ist ein bekanntes Gesicht zu sehen: Markus Ulbig, der sächsische Innenminister. Nach ihm werde gefahndet, heißt es unterhalb des offiziellen Interpol-Logos. Der sächsische Hacker Matthias Ungethüm klärt auf. Für Unternehmen versucht er deren Internetseiten und Server anzugreifen, um zu testen, ob sie wirklich geschützt sind. Ab und zu testet er auch ungefragt – so auch bei Interpol, dem weltweiten Zusammenschluss der Polizeiorganisationen. Hier hat er eine Sicherheitslücke entdeckt. Dadurch können Falschmeldungen verbreitet werden. Matthias Ungethüm:
Wir müssen noch nicht einmal eine Seite fälschen. Wir können alles direkt über die Website von Interpol verbreiten.
Das klingt so einfach. Und eigentlich ist es das auch. Es wird tatsächliche keine Seite gefälscht. Es wird auch keine Seite neu angelegt. Der Original-Link, der auf die Homepage führt, wird nur verlängert. Diese zusätzlichen Informationen sorgen dafür, dass die Seite beim Anzeigen umgebaut wird. Dieser Link lässt sich dann beispielsweise in einen Facebook-Artikel oder in eine E-Mail setzen, um ihn zu verbreiten.
Man öffnet die E-Mail, hat einen Text drin stehen, klickt auf den Text und kommt direkt zur Interpolseite.
Die E-Mail hat den Vorteil, dass die Länge des Links nicht auffällt, weil sie durch den Text verborgen wird. Diese Lücke ist nur möglich, weil der Interpol-Server die ihm zugeschickten Links nicht ausreichend kontrolliert, sagt Matthias Ungethüm:
Es wäre jetzt nicht so schwer, zumindest bestimmte Zeichen herauszufiltern. Es würde sogar, speziell bei dieser Stelle, reichen, wenn man ein einziges Zeichen herausfiltert. Das machen die aber nicht von Interpol.
Welches Zeichen es ist, verrät Matthias Ungethüm nicht, damit es niemand ausprobiert. Denn durch diesen Trick kann jeder beliebige Inhalt auf die Seite gesetzt werden – auch ein virenverseuchter Trojaner zum Herunterladen. Das vermutet niemand auf der Interpol-Seite und wird kaum misstrauisch werden, wenn er sich dort beispielsweise ein Video anschauen will.
Wenn sich jetzt jemand für Interpol interessiert und will sich das Video auf der Webseite ansehen, dann kann ich natürlich sagen, ich schick denen jetzt den Link, und bei mir sieht es aber ganz anders aus. Bei mir kommt anstatt des Videos einfach ein Hinweis „Um das Video abzuspielen müssen Sie ein Update von ihrem Videoplayer machen.“ Und dann wird einfach ein Trojaner untergeschoben.
Matthias Ungethüm hat Interpol bereits am 30. Mai über das Sicherheitsproblem informiert. Doch die Lücke ist noch immer offen.
Aktualisierung 06.07.16, 10:55
Die Lücke wurde – offenbar aufgrund der Berichterstattung bei MDR Akutell – am Vormittag durch Interpol geschlossen.
