| |
 + Portal-Navigation + |
|
|
|
|
 Regierungswebauftritt gehackt
|
| |
Adeodatus
Benutzerkonto wurde gelöscht
|
05.09.2006 ~ 11:12 Uhr ~ Adeodatus schreibt:
|
|
|
|
|
|
|
|
| Regierungswebauftritt gehackt |
Beitrag Kennung: 22497
|
|
|
|
|
Falschmeldung durch die Hintertür
"Bundeskanzlerin Merkel tritt zurück" - diese Meldung auf der offiziellen Regierungswebseite überraschte am Wochenende viele Internetsurfer. Aber wie konnte das geschehen?
Von Torsten Kleinz und Nicola D. Schmidt
Auf den ersten Blick schien die Rücktrittsmeldung glaubwürdig zu sein. Doch wer genauer hinsah, erkannte, dass hier Spaßvögel ihr Unwesen getrieben hatten: nach der Meldung hatte Edmund Stoiber die „Fuehrungsgewalt“ übernommen und verkündete den „Endsieg über den Terrorismus“. Möglich wurde der Scherz durch eine Sicherheitslücke auf der Webseite, die am Montag geschlossen wurde.
Ein Programmierfehler in der Suchfunktion der Website machte es möglich, auf der offiziellen Regierungsseite Falschmeldungen jeder Art erscheinen zu lassen.
Von der Rücknahme der Mehrwertsteuererhöhung bis zur Ernennung eines neuen Kanzlers – mit ein wenig Computerwissen war dies kein Problem. Man musste nur den gewünschten Text mit einigen weiteren Parametern ins Adressfeld des Browsers eingeben, um den eigenen Text wie eine Regierungserklärung aussehen zu lassen.
Solche „Cross-Site-Scripting“-Attacken sind besonders tückisch, da die Inhalte des Servers selbst nicht verändert werden. Das Prinzip: Erst im Browser des Anwenders werden Informationen aus mehreren verschiedenen Quellen zusammengefügt.
Im Fall der Regierungswebseite stand der komplette Text der Falschmeldung in der Adresszeile des Browsers. Doch nicht immer sind die Manipulationen so einfach zu entdecken – Angreifer können auch Inhalte von anderen Webseiten einbinden und die verfälschten Internetadressen bis zur Unkenntlichkeit tarnen.
Nicht nur Spaßvögel bedienen sich solcher Tricks – auch Datendiebe und Onlinebetrüger benutzen diese Lücke gerne, um ahnungslose Internetsurfer in die Irre zu führen.
Mit geschickten Manipulationen können Kriminelle auf diese Art beliebige Programme im Browser des Nutzers ausführen. Dann könnten beispielsweise Passwörter ausspioniert werden oder gefälschte Seiten angezeigt werden - beispielsweise mit der freundlichen Bitte um Eingabe des Passwortes.
Oft bemerken die Opfer nichts von dem Betrug. Die Browser der nächsten Generation haben deshalb Schutzmechanismen eingebaut, die Surfer vor manipulierten Seiten warnen sollen. Doch auch diese Techniken können nicht jeden Trick entlarven.
Wer auf Nummer Sicher gehen will, sollte daher sicherheitsrelevante Webseiten nur direkt ansurfen und nicht auf Links klicken, die beispielsweise per Mail verbreitet werden.
In der Pflicht sind aber vor allem die Betreiber der Internetseiten selbst. Denn der Trick funktioniert nur auf Websites, die nachlässig programmiert sind.
Immer wieder stoßen Hacker auf Schwachstellen auf Seiten von großen Internetkonzernen. Zu den prominenten Opfern gehören zum Beispiel Yahoo, der Online-Zahldienst Paypal und die Community-Seite MySpace.
Erst Anfang August stellten sich wieder einige Webseiten deutscher Banken als anfällig heraus. Auch verbreitete Redaktionssysteme wie Wordpress oder phpBB offenbaren oft Schwächen, die sich für solche Attacken nutzen lassen.
Die Internetverantwortlichen der Bundesregierung müssen sich besondere Kritik gefallen lassen. Erst vor zwei Wochen hatte ein Hacker aus Nordrhein-Westfalen in seinem Weblog auf eine ähnliche Lücke auf der Webseite aufmerksam gemacht – damals wurde die Lücke wohl nur unvollständig geschlossen.
(sueddeutsche.de) http://www.sueddeutsche.de/,cm2/computer/artikel/352/84268/
|
|
|
|
|
|
|
|
|
|
| |
| |
