Ausgerechnet die Website der europäischen Cyber-Eingreiftruppe CERT-EU ist nach unseren Informationen durch zwei Cross-Site-Scripting-Fehler aufgefallen. Deutlicher wird die Brisanz dieser Entdeckung, wenn man sich vor Augen führt, womit sich diese Organisation beschäftigt.
Die Abkürzung CERT steht für Computer Emergency Response Team. Dabei handelt es sich also um eine Gruppe von IT-Fachleuten, die die Bürgerinnen und Bürger nebst den Unternehmen im EU-Raum zum Thema Computersicherheit beraten und sie über technische Risiken aufklären sollen. Erst vor kurzem war das bis dato einjährige Test-Projekt in eine dauerhafte Institution umgewandelt worden. Diese ist nun unter anderem für die Absicherung der technischen Infrastruktur des Europäischen Gerichtshofes, der Zentralbank und anderer Einrichtungen zuständig. Die Mitarbeiter bekämpften dabei reguläre Cyberkriminelle, die mit ihren Aktionen lediglich so viel Geld wie möglich abgreifen wollen. CERT-EU geht aber auch gegen politisch motivierte Hacktivisten und die Cyber-Armeen ganzer Nationen vor.
Allerdings ging die Umstellung vom Pilotprojekt zur Dauerpräsenz offenbar mit viel Aufwand und nicht weniger Chaos einher. Anders ist es nicht zu erklären, warum unsere erste Anfrage von Anfang Oktober 2012 nicht beantwortet wurde. Nahezu ein Fünftel aller für Presseangelegenheiten eingerichteten E-Mail-Konten waren in der Übergangsphase ungültig, das ging ja schon mal gut los.
XSS – was ist das?
Aber worin genau lag nun das Problem? Dazu mal ein kleiner Exkurs: XSS ist die Abkürzung für Cross-Site-Scripting. Alle Nase lang werden neue XSS-Lücken in online-basierten Anwendungen entdeckt, die man ausnützen könnte. Über Kreuz (cross) gehen dabei aber nicht die Opfer, sondern die Angriffe. Diese werden zwischen zwei Seitenaufrufen durchgeführt. XSS Bugs kann man also ausnutzen, sofern es auf einer Webseite Eingabefelder gibt, die man mit einem eigenen Text ausfüllen kann. Der Angreifer fügt dann in das Eingabefeld statt eines Wortes oder Satzes einen eigenen Script-Code ein, der im Normalfall nicht ausgeführt werden dürfte. Ruft der nächste User das gleiche Feld auf, und die Webapplikation ist fehlerhaft, wird das bösartige Script des Hackers auf den Browser des Lesers übertragen. Nicht die Übertragung aber zumindest die Ausführung des bösartigen Programms müsste der Browser unterbinden, das klappt aber leider nicht immer.
Angenommen die Webseite unterbindet nicht die Ausführung des Scripts, so könnte der Cyberkriminelle beispielsweise das Cookie des nächsten Besuchers klauen, seine Daten auslesen, um sich selbst als dieser Besucher auszugeben. Warum das funktioniert? Ganz einfach: Im Cookie werden oftmals die Informationen hinterlegt, die man braucht, um sich für einen Dritten auszugeben. Wer der englischen Sprache mächtig ist und es noch ein wenig anschaulicher braucht, dieses Video erklärt den technischen Vorgang des Identitätsdiebstahls sehr gut.
Viele Datenschützer werden jetzt sagen: Moment mal, so schlimm ist das alles nicht. Das stimmt auch zum Teil, denn reine XSS-Fehler erlauben keinen Hack im eigentlichen Sinn. Das heißt, mit ihnen ist es nicht möglich, direkt auf die Webserver zu gelangen, um sich dort einzunisten, Inhalte zu verändern, Daten abzugreifen etc. Das ist auch der Grund, warum XSS-Fehler in einschlägigen Kreisen als eher unbedeutend gelten. Dennoch kann man via Cross-Site-Scripting viel Unsinn anstellen, so auch die Verbreitung von Schadsoftware über die betroffene Webseite. Zudem kann man via XSS eigene Inhalte anzeigen lassen, die unbemerkt von den Servern der Cyberkriminellen nachgeladen werden. So wäre es bei einem für XSS anfälligen Online-Shop mitunter möglich, Phishing zu betreiben.
Die schwarzen Schafe unter den Hackern sind dabei stets bemüht, Lücken in solchen Internet-Portalen zu finden, die einerseits gut besucht sind und die andererseits sehr seriös wirken. Zwar bekommt die Webpräsenz der IT Security der EU nicht so viel Besuch wie andere Webseiten, wie etwa amazon.com, ebay.com etc. Trotzdem wäre es durchaus ein lohnendes Ziel.
Die beiden Cross-Site-Scripting Bugs entdeckte übrigens der IT-Berater Matthias Ungethüm aus Geringswalde. Er hält die Sicherheitslücken auf cert.europa.eu auch deswegen für relevant, weil sie selbst von modernen Browsern wie Google Chrome nicht unterdrückt werden.
Brüssel, wir haben ein Problem!
Weil auf unseren Hinweis überhaupt keine Antwort kam, verschickten wir am 21.11. eine Erinnerung per E-Mail und teilten allen Pressesprechern von CERT-EU mit, nach Ablauf unserer Frist von 14 Tagen würden wir mit den Lücken notfalls ohne ihr Einverständnis an die Öffentlichkeit gehen. CERT-EU Team Leader Freddy D. antwortete prompt und entschuldigte sich dafür, dass möglicherweise etwas verloren gegangen sei. Auf Nachfrage schrieb er uns dann zwei Tage später, man habe die XSS-Bugs in einer sicheren Testumgebung geprüft und könne sie bestätigen. Am 4.12. erreichte uns schließlich die Mitteilung, das Update des Webportals sei nun nach weiteren Tests online, die Fehler waren somit behoben.
Na also, es geht doch! Warum muss man in solchen Fällen so etwas Lächerliches wie ein Ultimatum androhen, weil man sonst selbst als Journalist keine Antwort erhält? Das ist schon unzählige Male passiert und ist leider nicht von der Größe des Unternehmens oder der Behörde abhängig.
Schlecht nachvollziehbar bleibt auch, warum man das CERT-EU Team kürzlich um zwei Personen reduziert hat. Wie sollen die IT-relevanten Probleme der gesamten Europäischen Union von nur acht Mitarbeitern gelöst werden? Das ist schlichtweg unmöglich. EU-Kommissarin Neelie Kroes hatte noch im September PR-trächtig hervorgehoben, der Cyber-Sicherheit müsse in Europa eine hohe Priorität eingeräumt werden, um unser aller Konkurrenzfähigkeit zu sichern. Das stimmt ja soweit auch. Leider hat sie nicht ausgeführt, wie das bei diesem lächerlichen Personalschlüssel geschehen soll!
Ganz ehrlich, den Angestellten von CERT-EU kann man keinen Vorwurf machen, den verantwortlichen Politikern hingegen schon. Hätten sie die Zeichen der Zeit erkannt, würden sie mindestens 80 IT-Experten beschäftigen – und nicht nur 8. Aber vielleicht sind solche Ereignisse ja ein unüberhörbarer Warnschuss. Zumindest bleibt das zu hoffen.
Grafiken: CERT-EU, Fireblog, thx!
(Lars Sobiraj)
