Der Standpunkt Sicherheit informiert Sie heute darüber, dass Sicherheitszertifikate für Websites manchmal zwei Seiten haben und der Akamai Download-Manager sich als Hintertür erweist. Dazu gibt es Hinweise auf zwei neue Whitepaper.

Hacker, Safe, Hacker-Safe?

Russ McRee hat in einigen Websites Cross-Site-Scripting-Schwachstellen gefunden und auf einem Video dokumentiert. Das ist weiter nichts besonderes und wäre eigentlich gar nicht weiter erwähnenswert. Berichtenswert wird es, wenn man sich die betroffenen Websites näher ansieht: Die sind von McAfees Hacker Safe als sichere Seiten zertifiziert worden. Hacker Safe und Cross-Site-Scripting, das ist zumindest auf den ersten Blick ein Widerspruch, also lohnt sich eine nähere Betrachtung.

Reine Definitionssache!

Was ist also Hacker Safe, nach McAfees Definition? Eine Seite wird als Hacker Safe ausgezeichnet, wenn sie einige automatisierte Tests besteht, die regelmäßig wiederholt werden: Portscan, Schwachstellentests für Ports und Webanwendung - einschließlich der Suche nach Cross-Site-Scripting- und SQL-Injection-Schwachstellen. Werden die Tests bestanden, gibt es als Belohnung das "Hacker Safe"-Logo. Moment: Das Logo gibt es, wenn die Tests bestanden werden, und die umfassen die Suche nach Cross-Site-Scripting-Schwachstellen. Ein Widerspruch? Eigentlich schon, aber nicht für McAfee: Cross-Site-Scripting ist dabei kein Hindernis, wie eine Sprecherin von McAfee bekannt gegeben hat: "Currently, the presence of an XSS vulnerability does not cause a web site to fail HackerSafe certification. When McAfee identifies XSS, it notifies its customers and educates them about XSS vulnerabilities.".

So oder so?

Jede Medaille hat zwei Seiten, auch diese: Mit an Sicherheit grenzender Wahrscheinlichkeit kann kein Server über Cross-Site-Scripting gehackt werden, also ist der Server vor Hackern sicher, d.h. Hacker-safe. Über die Sicherheit für den Benutzer wird ja keine Aussage gemacht. Dass dessen Zugangsdaten, Kreditkarteninformationen usf. ausgespäht werden können, steht auf einem anderen Blatt. Von Webwürmern oder dem Einschleusen von Schadcode zum Ausnutzen von Browser-Schwachstellen ganz zu schweigen.

Und noch eins drauf...

Jetzt könnte man das Ganze unter "Mehr Schein als sein" abhaken, den Betreiber der betroffenen Websites sind die eigenen Server wichtiger als die Daten ihrer Kunden, das ist ja nichts Neues. Nun ist das aber noch nicht alles: McAfee weist darauf hin, dass die zertifizierten Websites dem Payment Card Industry Data Security Standard (PCI-DSS) genügen: "HACKER SAFE certification is fully accredited to meet the scanning requirements for the Payment Card Industry (PCI) standard." Cross-Site-Scripting-Schwachstellen sind allerdings in Websites, die dem PCI-DSS entsprechen, verboten. Da bereits im Januar reichlich Websites mit Cross-Site-Scripting-Schwachstelle und "Hacker Safe"-Logo gefunden wurden, liegt da wohl einiges im Argen mit der Kontrolle der Zertifizierung. Oder deren Grundlage? Oder beidem?

Und die Moral von der Geschicht?

Trau bunten Zertifikaten nicht, zumindest nicht unbesehen!
Fazit: Nur, weil ein Logo auf einer Website Sicherheit verspricht, muss das Ganze noch lange nicht sicher sein. Und weil ich gerade dabei bin: Wie weit gehen die Prüfungen eigentlich - wird auch das Geschäftsmodell geprüft, oder kann sich auch z.B. ein Betrüger die Sicherheit seines Servers zertifizieren lassen?

Akamai Download-Manager mit Hintertür?

Von iDefense wurden in Akamais Download-Manager zwei undokumentierte Parameter gefunden, über die eine Datei automatisch heruntergeladen und danach ausgeführt werden kann (Eintrag im Bereich "Security aktuell"). Ein Angreifer kann das z.B. über eine präparierte Webseite, E-Mail- oder Instant-Messaging-Nachricht ausnutzen, um beliebige Programme auf dem System des Besuchers der Webseite bzw. Empfängers der Nachricht einzuschleusen und auszuführen. Während des Downloads wird zwar das Download-Fenster angezeigt, aber da nur ein kleines Programm eingeschleust werden muss, das dann weiteren Schadcode nachladen kann, fällt das u.U. gar nicht auf. Betroffen sind sowohl die ActiveX- als auch die Java-Version, die "Schwachstellen" sollen in der aktuellen Version 2.2.3.5 behoben sein.

Ich wüsste gerne, welchem Zweck diese undokumentierten Parameter eigentlich dienen sollten. Der automatischen Installation neuer Versionen des Download-Managers? Dafür sind keine Parameter notwendig, das kann Programmintern gelöst werden. Undokumentierte Parameter sind immer verdächtig, und in diesem Fall erst recht. Ein Schelm, der Böse dabei denkt? Herr Schäuble würde sich über so eine Installationsroutine für seinen Bundestrojaner auf jedem Fall sehr freuen. Und es gibt sicher noch jede Menge andere Interessenten für so eine Funktion.

Paper

David Litchfield hat eine neue Klasse von Schwachstellen in Oracle beschrieben: Lateral SQL Injection (PDF-Datei).
Luke Jennings von MWR InfoSecurity hat ein Whitepapaer über die "Security Implications of Windows Access Tokens" (PDF-Datei) veröffentlicht. Auch ein Tool zur Manipulation von Security-Tokens gibt es: Incognito.

Carsten Eilers