Sächsischer Hacker knackt Homepage der NSA

MDR INFO, 02.05.14
–> Beitrag anhören
–> Gespräch im Studio mit Moderator Heiner Martin

„Amerikas Codeknacker“ – so sieht die Seite vor dem Hack aus… (Foto: Voß)

Die NSA dringt ein, wo sie möchte. Sie macht Mails unsicher und ist der Störenfried des Internets – das sind die gängigen Meinungen über den größten Auslandsgeheimdienst der USA. Ein Hacker aus Sachsen dachte sich: Das kann ich auch und zwar bei der NSA. Ihm gelang es und er drang ein. Allerdings hackte er lediglich die Homepage, nicht etwas die streng geheimen Datentresore – denn er wollte nicht gegen die Gesetze verstoßen. Und doch ist es eine tolle Geschichte.

„Amerikanische Codeknacker“ werden selbst überlistet

Auf der Homepage der NSA prangt stolz „American Code Breakers“ – amerikanische Codeknacker. Das Motto des US-Auslandsgeheimdienstes – Matthias Ungethüm aus Geringswalde hat es wörtlich genommen. Mit einem von Fachleuten „cross site scripting bug“ genannte Trick zaubert er an die Stelle des NSA-Mottos den Satz „Durchleuchten Sie ihre Homepage“.

Durch den „cross site scripting bug“ wurde ein neues Logo auf die Seite gesetzt, 
welches allerdings nur für den Nutzer sichtbar ist, der den Link nutzt. (Foto: Voß)

Das ist noch harmlos, denn es gibt viel gefährlichere Möglichkeiten, nämlich genau dann, wenn von dieser als vertraulich angesehenen Seite Links auf Fallen im Internet führen. Matthias Ungethüm:

Zum Beispiel, was jetzt ein Horrorszenario wäre, um es einfach zu sagen, es könnte ein sinnvoller Grund dafür genannt werden, wieso irgendetwas geupdatet werden muss, zum Beispiel der Browser oder sowas. Das heißt, wenn da dasteht, ihr Browser ist veraltet und das steht auf der echten NSA-Seite, dann gibt es bestimmt jemanden, der sich da dieses „Update“ – in Anführungszeichen  – herunterlädt. Das Update ist dann immer ein Trojaner, völlig klar.

Gefahr für Besucher der NSA-Homepage

Der Trojaner wiederum liegt dann auf irgendeinem anderen Server und sorgt dafür, dass sich Schadprogramme auf den Computer des Nutzers einnisten, der den Link besucht hat. Der Nutzer würde davon zunächst nichts merken.

Man sieht‘s weder im Link, noch sonst wo, dass die Seite verändert wurde.

Dadurch hätte das Schadprogramm auf dem Computer alle Zeit der Welt und alle Möglichkeiten: Ausspähen von Passwörtern, Verändern von Home-Banking-Programme – all das wäre möglich. Rein technisch wird bei dieser Sicherheitslücke nicht einmal etwas auf dem Server der NSA verändert, sondern nur auf der Antwortseite, die der Nutzer sieht.

Ganz anders sieht das bei der zweiten Sicherheitslücke auf der NSA-Homepage aus. Matthias Ungethüm kann hier nicht nur Inhalte auf der Seite verändern, sondern direkt auf den Server zugreifen. Im Fachjargon wird diese Technik mit  „SQL inject“ bezeichnet. Der Hacker nutzt es dabei einfach aus, dass der NSA-Server nicht kontrolliert, ob Befehle in die Adressleiste eingegeben werden. So ist es möglich, den Server für eine bestimmte Zeit einfach anzuhalten oder ihn vollständig herunterzufahren. Durch diese Lücke kann man sich auch alle Inhalte der Datenbank ausgeben lassen.

Das heißt, wir könnten vielleicht auf Passwörter zugreifen, die für die Homepage gesetzt sind. Oder wir könnten auf Bereich zugreifen, die von außen nicht einsehbar sind.

Server erledigt Fremdbefehle

Matthias Ungethüm ist aus rechtlichen Gründen nicht in die Tiefen des Servers vorgedrungen, wir wissen also nicht, was dort alles gespeichert ist und welche Zugriffe tatsächlich möglich wären. Allerdings ließ er einige harmlose Befehle vom Server – wie Rechen- und Vergleichsaufgaben – durchführen. Die Sicherheitslücken hat er vor einer Woche der NSA gemeldet. Auch MDR INFO hat über das ARD-Büro in Washington Kontakt zum dem Geheimdienst aufgenommen. Doch bislang gibt es keine Antworten. Dabei sind die Fehler der Homepage relativ simpel.

Das ist jetzt keine Lücke, die wirklich viel Fachwissen beansprucht, sag ich mal.

Für die  „amerikanischen Code-Knacker“ – wie sie sich auf ihrer Seite nennen -, stellt Matthias Ungethüm damit ein Armutszeugnis aus, denn ein so gravierendes  Sicherheitsproblem sollte es auf staatlichen Seiten nicht geben.

NSA beseitigt eine Sicherheitslücke

Am Mittag war der „cross site scripting bug“ geschlossen. Die NSA hat somit auf die erste Fehlermeldung gehört. Mehr dazu erzählte ich am Nachmittag im Gespräch mit Moderator Heiner Martin.

Wie andere darüber berichten

Ausländische Medien

    In der Schweiz bin ich „Redaktor“ (Tagesanzeiger, 02.05.14)
    (c) Michael Voß, www.michael-voss.de

    Schreibe einen Kommentar