Channel Security

"George Bush ernennt 9-jährigen zum Chef des Information Security Departments" lauten frei übersetzt die Überschriften zweier Nachrichten von CBS News und BBC. Wenn zwei so renommierte Quellen das veröffentlichen muss es ja wohl stimmen. Oder doch nicht? Vielleicht handelt es sich ja um einen Übermittlungs- oder Tippfehler und da fehlt einfach eine 4, 5 oder 6 vor der 9? Allerdings wird in beiden Berichten die Website der neu ernannten 'chairperson' genannt: 'http://michael.antipov.name'. Dort ist das Geburtsdatum als 10. Juni 1997 angegeben. Also tatsächlich ein Kind als Chef? Sieht ganz so aus, oder? Betrachtet man die Seiten von CBS News und BBC etwas genauer, fallen Ungereimtheiten auf: Bei CBS News steht der Artikel auf der Seite für das lokale Wetter, und unter dem Text steht eine Fehlermeldung: 'PARAMETER ERROR: INVALID ZIPCODE.'. Bei der BBC befindet man sich auf der Seite von BBC One und über dem Artikel steht die Fehlermeldung '[ Illegal characters in file path: /home/system/www/bbcone/listings/nav_today">'. Des Rätsels Lösung lautet 'Cross-Site-Scripting', wie sicher schon mancher vermutet haben wird. Ursprung der beiden Demonstrationen ist das russische Portal SecurityLab.

CBS News

Was in der Zeitung steht
Da stellt sich doch die Frage, ob über Cross-Site-Scripting eine falsche Meldung so 'unters Volk gebracht' werden kann, dass sie eine bestimmte Wirkung erzielt, z.B. einen Börsenkurs manipuliert, indem ein Unternehmen als besonders attraktiv oder unattraktiv dargestellt wird?

Dass ein 9-jähriger Chef des Information Security Departments geworden sein soll, ist so offensichtlich Unsinn, dass niemand ernsthaft daran glauben wird. Aber wie wäre es z.B. bei der Nachricht, dass George W. Bush als Präsident der USA zurückgetreten ist und Arnold Schwarzenegger den Posten übernommen hat? Oder dass Apple Disney übernehmen wird? Das ist zwar beides auch unwahrscheinlich, aber eben nicht unmöglich.

Das meistgenutzte Beispiel für Cross-Site-Scripting ist eine sich öffnende Alertbox, die meistgenannte Gefahr der Diebstahl von Cookies. Dass Spammer und Phisher sich ungenügend geprüfter Umleitungs-Seiten und Cross-Site-Scripting-Schwachstellen bedienen, hat sich inzwischen (hoffentlich) herumgesprochen. Im Juni wurde z.B. Paypal Opfer eines Phishing-Angriffs, der eine Cross-Site-Scripting-Schwachstelle auf der Paypal-Website ausnutzte. Diese Angriffe sind immer gegen einzelne Benutzer gerichtet. Auch wenn Spammer oder Phisher ihre Mails an Millionen potenzieller Opfer schicken, die manipulierten Seiten sehen nur die Empfänger, die den entsprechenden Link in der Spam- oder Phishing-Mail anklicken.

Genauso ist es mit den obigen Links zu CBS News und BBC: Nur wer diese Links anklickt, sieht die gefälscht Nachricht. Von der Start- oder einer beliebigen anderen Seite der Websites von CBS News und BBC aus sind diese Nachrichten nicht zu erreichen, da sie dort ja gar nicht existieren.

Aber was ist darüber hinaus möglich? Könnte eine Falschmeldung so in eine Nachrichtenseite eingeschleust werden, dass sie allgemein zugänglich ist? Ich lasse jetzt einfach einmal meiner Fantasie freien Lauf...: Angenommen, es gibt mehrere Nachrichtenseiten mit Cross-Site-Scripting-Schwachstellen. Der Angreifer könnte dann in seinen eingeschleusten Texten von der einen Nachrichtenseite auf die anderen verweisen, um seine Behauptungen zu untermauern. Wer über einen präparierten Link auf irgendeiner derartigen Seite landet und den präparierten Links darauf folgt, landet quasi in einer 'Parallelwelt', in der er sich von präparierter Seite zu präparierter Seite klicken kann und immer wieder die gefälschten Informationen sieht. Schickt jemand den Link zu einer dieser Seiten an eine andere Person, landet diese ebenfalls im Netz des Angreifers. Von außen, d.h. ohne einen entsprechend präparierten Link zu klicken, sind die gefälschten Nachrichten jedoch nicht zu erreichen.

Betrachten wir das Beispiel von SecurityLab: Von der Meldung auf SecurityLab kommt man sowohl zu CBS News als auch BBC. Danach ist Schluss. Theoretisch hätte aber der unter CBS News eingeschleuste Text den präparierten Link zur BBC enthalten können und umgekehrt. Das Vortäuschen falscher Tatsachen ist also nicht das Problem, nur deren Verbreitung. Wer es schafft, mindestens einen präparierten Link als 'Einstieg' zu dem gefälschten Nachrichtennetz an prominenter Stelle zu verbreiten, hat schon fast gewonnen. Für einen erfolgreichen Angriff fehlt also eigentlich 'nur' eine Schwachstelle auf einer stark frequentierten Nachrichtenseite, die permanentes Cross-Site-Scripting auf der Startseite erlaubt – und das so, das es dem Betreiber der Seite nicht auffällt.

Und wer sagt denn, dass sowas nicht zu einem Selbstläufer wird? Es wäre nicht das erste Mal, dass eine Zeitung oder Website bei einer anderen abschreibt und sich eine Ente so immer weiter verbreitet: "Wenn [beliebige renommierte Quelle einsetzen] das schreibt, muss es wahr sein und wir müssen auch darüber berichten". Dazu den Link kopiert, und die 'Parallelwelt' hat eine Station mehr. Dann wird u.U. gar keine manipulierte Startseite mehr benötigt, eine über Cross-Site-Scripting verfälschte Seite einer renommierten Website und ein paar Hundert Mails mit einem 'heißen Tipp' an Redaktionen und Nachrichtenagenturen reichen vielleicht als Initialzündung für eine gigantische 'Entenzucht', wenn die Fälschung nur glaubwürdig genug ist.

So, genug fantasiert. Und wer glaubt denn schon, was auf einer Website steht...

Carsten Eilers