Seit mehreren Jahren versende ich per E-Mail Hinweise zu Sicherheitslücken in Websites, in den vergangenen 12 Monaten fast täglich. Sehr oft ist es einfach nur so, dass ich ein Produkt, eine Dienstleistung oder eine Information suche. Wenn ich dann die entsprechenden Websites besuche, so kann ich einfach nicht mehr an einen Eingabeschlitz vorbei ohne auch nur einmal ein ">xss eingetippt zu haben, um zu schauen was passiert.

Von der Einmannfirma bis zum Großkonzern, von NGOs und Regierungen bis zu Geheimdiensten, habe ich schon alle mit meinen Hinweisen genervt. :O)

Auf meiner Rangliste der am häufigsten angeschriebenen Organisationen stehen ganz eindeutig die Jungs und Mädels, die für den Bund arbeiten. Meine Hinweise landen dann immer beim BSI, die wohl am meisten genervt sind, da sie von allen Bundesbehörden mit meinen E-Mails versorgt werden: “Oh nein, nicht der schon wieder!”

Mittlerweile habe ich schon einen recht guten Überblick über die vielen Seiten die vom Bund zu den verschiedensten Themenbereichen angeboten werden und weiß auch recht gut, wo immer und immer wieder Lücken auftauchen.

<ein_winkewinke_an>
bfr.bund.de, bmfsfj.de, bmj.de, bmvbs.de, bmz.de, bund.de, bundesarchiv.de, bundesbank.de, bundesnetzagentur.de, bundesrat.de, bundesrechnungshof.de, bundestag.de, bverwg.de, deutschland-online.de, etc., etc.
</ein_winkewinke_an>

Eine Antwort vom Bund bzw. deren Mitarbeiter fällt, wenn überhaupt eine kommt, meist sehr kurz aus:

Wir arbeiten derzeit an einem Redesign der Seite und werden den Fehler dann beheben.

Es war/ist natürlich nicht nur ein Fehler in der Website zu finden, was die angeschriebenen wohl meinen, weil ich nur ein Beispiel nenne. Ich schreibe aber immer dazu, dass es nur ein Beispiel ist und dass das ganze System auf Lücken untersucht werden muss. Und wie man schon vermuten kann: Nach dem “Redesign” hat sich an den technischen Lücken nichts geändert. (Es war in diesem Fall nicht bundestag.de.) Wenn man nur eine neue Tapete an die Wand klebt, so ist der Schimmel darunter, natürlich noch immer zu finden.

Manchmal lassen sich die Leute auch zu etwas mehr Text herab:

Wir haben das von Ihnen geschilderte Problem nachvollzogen. Erste Maßnahmen haben leider noch nicht zu dem gewünschten Erfolg geführt und die Behebung wird noch etwas Zeit in Anspruch nehmen.

Nach mehr als 3 Monaten haben die Jungs das Problem nicht in den Griff bekommen. Es besteht eine XSS-Lücke in Verbindung mit einem Session-Cookie, den man per URL vorgeben kann und der auch nach mehr als 360 Minuten Inaktivität noch immer nicht vom Server gelöscht wurde. Wenn man einen Link nur mit dem Session-Cookie in der URL an einem anderen Computer aufruft, so kann man noch immer die injizierten fremden Inhalte nutzen. ;O)


Gestern gab es einen Relaunch von bundestag.de, woraufhin ich dorthin eilte (zum Glück nur ein paar Mausklicks entfernt) und mir das – sorry, aber ich muss es so sagen – ELEND angeschaut habe.

---

Nur ganz kurz etwas zum Design:
Auch wenn die neuen Seiten keinen Designpreis gewinnen würden, so gefallen mir diese doch ganz gut. Über die Usability, Schriftgrößen, Navigation, etc. werde ich mich hier nicht auslassen, das können andere sehr viel besser beschreiben.

---

Bei meinem ersten Besuch gestern fielen mir all meine Hinweise zu Sicherheitslücken ein, die ich in den vergangenen Monaten an die Jungs und Mädels geschrieben habe, die Websites betreuen die irgendwie zu der Domain bundestag.de oder sonst zum Bundestag gehören.

Nach weniger als einer Minute fand ich die ersten Lücken zu Cross-Site Scripting und nur ein paar Minuten später kamen auch Fundstücke zum Thema Session Fixation, Cross-Site Request Forgery und SQL-Injection hinzu.

---

---

---

---

---

Wenn ich mir diese Lücken anschauen und dabei bedenke, wie viele Hinweis-E-Mails ich genau zu diesen Lücken verschickt habe, so fehlt mir jegliches Verständnis dafür, dass man so hartnäckig den Sicherheitsaspekt ignoriert.

Passend zum Thema:
“Microsoft kannte kritische 0-Day-Lücke seit über zwei Jahren” (heise.de)

Wie sich jetzt herausstellt, war die beim vorigen Patchday geschlossene, kritische Sicherheitslücke in der Office-Webkomponente (OWC) Microsoft bereits seit über zwei Jahren bekannt. Erst nachdem sie aktiv ausgenutzt wurde, ging es auf einmal schnell und innerhalb eines Monats stand der Patch bereit.

Vielleicht sollte ich bei bestimmten Organisationen gar nicht so lange fackeln und gleich in die Welt posaunen, wo man, welche Lücken, wie ausnutzen kann. Es gibt viele Firmen, auch wenn sie nicht auf meine Hinweise antworten, die die genannten Lücken recht schnell fixen. Warum Hinweise an Bund und Länder oftmals nicht beachtet werden, liegt wohl daran, dass sich in den Behörden niemand wirklich verantwortlich fühlt.


Wahrscheinlich werde ich nun wieder beobachten, wie ein Dienstleister hektisch meinen ganzen Blog durchpflügt und versuchen wird, in wenigen Tagen alle von mir genannten Lücken zu schließen. Warum immer auf die harte Tour? Warum nicht einfach mal die Hinweise ernst nehmen und abarbeiten, anstatt sie einfach zu ignorieren?