Wenn ich in einer Website eine Sicherheitslücke sehe, dann bekommt der Betreiber eine E-Mail von mir, in der ich ihm, mit einem Proof of Concept, versuche die Lücke zu demonstrieren. In dieser E-Mail findet er dann auch einen Link zu Wikipedia, damit er weiterführende Links zum Verständnis und zur Lösung des Problems hat. Meine E-Mail endet immer mit der Aufforderung die gesamte Website nach ähnlichen Lücken zu überprüfen. Wird die Lücke nicht geschlossen, so versende ich nach einigen Monaten wieder einen Hinweis, usw. usw.


Ich habe vor ein paar Tagen einen XSS-Link im Internet verbreitet, in der Hoffnung das der Betreiber endlich (erster Hinweis vor 18 Monaten) aufwacht und die Lücke schließt.

Eine Stunde nach meiner Veröffentlichung klingelt bei mir das Telefon. Wie ich die Nummer im Display sehe da ahne ich schon wer es sein könnte. Nachdem ich mich gemeldet habe sagte da jemand “Hier ist xyz von 12345.” Sorry, aber da konnte ich mir das Lachen nicht verkneifen, was wohl bei ihm nicht so gut ankam. Naja, ich bin auch nur ein Mensch und manche Gefühlsäußerungen kann auch ich nicht unterdrücken. Er war etwas aufgeregt und forderte mich auf den Link (reflektives XSS) innerhalb von 2 Minuten zu entfernen. Das erste Gespräch war recht kurz. Den Link habe ich entfernt, da ich ja meine eigentliche Intention erreicht hatte — der Betreiber war aufgewacht, zwar etwas unsanft, aber er war hellwach.

Nach ein paar Minuten rief er dann wieder an, diesmal deutlich ruhiger, da man an der Website daran arbeitete die Lücke zu schließen, womit mein Link nichts interessantes mehr zeigte. Diesmal konnte ich ein paar Worte mit ihm wechseln. Leider weiß ich nicht ob er in der Technikabteilung arbeitet und die technischen Hintergründe der Lücke versteht oder ob er nur das Resultat gesehen hat und einen Hacker mit bösen Absichten vermutete.

Man war wohl in dem Unternehmen gar nicht amüsiert über meinen Link, was ich mit der Aufforderung beantwortete, dass man Hinweise zu Lücken doch bitte ernster nehmen sollte und entsprechend handelt. Seine Erwiderung darauf war:

Es geht Sie überhaupt nichts an, was wir auf unseren Seiten tun oder nicht. (…) Sie haben kein Recht über uns zu richten.

Leider muss ich da widersprechen. Wenn mir Schadsoftware untergeschoben wird, weil jemand unwillens ist Sicherheitslücken zu schließen, von denen er Kenntnis hat, dann geht mich dies sehr wohl etwas an. Wer eine Website betreibt die Millionen von Visits pro Monat hat (laut IVW zweistellig), kann für sich nicht in Anspruch nehmen, eher im privaten Kämmerlein zu wurschteln. Wer eine so große Anzahl von Besuchern hat, also potenzielle Opfer von Cyberkriminellen, der hat auch eine entsprechend große Verantwortung dem Seitenbesucher gegenüber.

Ein wirkliches Gespräch war leider nicht möglich, da er mir auch mit

Können Sie sich das leisten? Da werden Sie 30 Jahre Freude dran haben.

drohte, so nach dem Motto: “Wir verklagen sie bis ans Ende ihrer Tage.” Er war noch etwas aufgeregt und dachte nur daran Stärke zu demonstrieren. Er demonstrierte und ich habe mein Ziel erreicht — die Lücke wurde geschlossen.


Dies ist ein schönes Beispiel dafür, wie Cross-Site Scripting noch immer unterschätzt wird und erst gehandelt wird, wenn die ersten Opfer zu beklagen sind. Der Seitenbetreiber fühlte sich in diesem Fall als Opfer, ist aber, wenn man es genau betrachtet, eher der Handlager von Cyberkriminellen gewesen und ob des Wissens um die Lücken als Mittäter einzustufen.

Wer die Türen zu seinem Waffenschrank, trotz mahnenden Hinweisen, offen lässt, der würde bei einem verübten Verbrechen mit seinen Waffen wohl auch auf der Anklagebank landen.


Ich weiß es nicht mit Bestimmtheit, aber ich nehme an meine Hinweise wurden von der Technikabteilung als ungefährlich eingestuft. Das meine Hinweise angekommen waren hatte der Anrufer bestätigt. Leider denken viele bei XSS nur an Verunstaltungen, bei denen sofort zu erkennen ist, dass die Website eine entsprechende Lücke aufweist. Mein Link zeigte auch ein Fake, allerdings im richtigen Kontext zu der Website. Eher schlicht gestrickte Geister konnten annehmen dass es echt war, wahrscheinlich aber nur aufgrund der Reputation der Website selber — womit wir wieder bei der Verantwortung des Seitenbetreibers sind.

Da die Lücke innerhalb einer halben Stunde geschlossen werden konnte, kann es nicht an den Kosten oder technischen Problemen gelegen haben, dass über Monate nichts unternommen wurde, es war wohl einfach nur grenzenlose Dummheit und verantwortungsloses Desinteresse der IT-Verantwortlichen.


Diesmal habe ich etwas übertrieben, das gebe ich gerne zu, aber wie oft hätte ich denn noch auf die Lücken hinweisen sollen?

Millionen von Besuchern auf einer Website bedeuten nicht nur attraktive Zahlen für Werbekunden, sie bedeuten auch attraktive Zahlen für Cyberkriminelle. Stark frequentierte Seiten ziehen vermehrt Cyberkriminellen an und dem muss jedes Unternehmen Rechnung tragen. Die Behebung von Sicherheitslücken wird bisher oft nur als Kostenfaktor gesehen, wobei Reputationsverlust, der wirtschaftliche Schaden für sich selber und andere gerne ausser Acht gelassen werden, und nicht zu vergessen der Schaden der dem Besucher selber droht — ich erwähne nur den Passwort-Manager des Firefox.

Vor ein paar Tagen veröffentlichte Robert “RSnake” Hansen ein kleines Demo:
“XSS demo for stealing passwords from the Firefox password manager” (ha.ckers.org)

Auf den ersten Blick sieht das Demo wenig spektakulär aus. Ein Eingabeformular in welches man Zugangsdaten eingibt, diese werden im Passwort-Manager des Firefox gespeichert und der Firefox erinnert sich an das Gespeicherte, naja, dies soll der Passwort-Manager doch auch machen?! Es öffnet sich ein Alert per JavaScript in dem das Passwort angezeigt wird – kennt man auch irgendwie. In dem Add-On Web Developer (addons.mozilla.org) gibt es ja auch einen Menüpunkt, über den man Passworte anzeigen lassen kann, die in ein Formular automatisch vom Passwort-Manager eingefügt wurden – also auch nicht neu!?

Weit gefehlt!

Das was Robert Hansen da ausgegraben hat ist so gefährlich, dass man jedem nur dringend (!) raten kann den Passwort-Manager sofort zu deaktivieren. Nach der Deaktivierung ist es mir zwar nicht gelungen die noch gespeicherten Zugangsdaten auszulesen, aber 100% ausschließen mag ich die Möglichkeit auch nicht, weshalb ich auch dazu raten möchte die Zugangsdaten aus dem Passwort-Manager zu löschen. Ich habe bisher nur einen funktionierenden PoC für den Firefox, aber grundsätzlich besteht wohl in jedem Browser mit einem Passwort-Manager solch eine Lücke.

Ich weiß nicht ob Robert Hansen die Tragweite seines Fundes klar ist oder ob er es bewusst nicht an die große Glocke gehängt hat. Auf seinen Seiten gibt es keinen weiteren Hinweis oder Link zu der Demo. Über welche Website ich darauf gestoßen wurde, weiß ich jetzt nicht mehr, aber auch dort war es eher eine Randbemerkung.


In dem kleinen Screencast unten sieht man zwei Fenster, oben den Firefox (zwei Tabs) und unten einen Texteditor in dem die geöffnete Datei mit den abgefangenen Zugangsdaten angezeigt wird.

Erst werden in dem Formular die Zugangsdaten eingegeben und dann im Passwort-Manager gespeichert. Wird das Formular erneut aufgerufen, so füllt der Firefox die Felder automatisch aus. Im zweiten Tab ist nur eine langweilige Seite zu sehen. Das beim Aufruf der Seite die Zugangsdaten aus dem Passwort-Manager ausgelesen und gespeichert werden, bemerkt man nur in der Datei im Texteditor.


Leider füllt der Firefox die Felder mit den Zugangsdaten immer automatisch aus, dies kann man ihm nur abgewöhnen wenn man mehr als einen Account pro Website verwaltet – was bei den meisten Surfern wohl eher selten vorkommt.

Dem Passwort-Manager ist es egal ob ein Loginformular nun auf
http://domain.tld/
http://domain.tld/user/
http://domain.tld/secure/login/
oder
http://domain.tld/altes/vergessenes/zeug/
zu finden ist. Wird in der Adresszeile ein domain.tld gefunden so füllt er das Formular aus.

Dieser Automatismus beim Ausfüllen und die Beliebigkeit der URL kommt den Cyberkriminellen zu Hilfe.

Der Firefox müsste zum einen die URLs unterscheiden, über die ein legitimer Login erfolgt und er sollte das Ausfüllen der Felder nur nach einer Bestätigung des Benutzers ausführen.


In sehr vielen Websites gibt es XSS-Lücken. Wenn diese nicht auf der Seite mit dem Login zu finden ist, so meinen die Websitebetreiber vielfach, die Lücke wäre nicht gefährlich. Hansens Fund zeigt aber, jegliche XSS-Lücke, egal auf welcher Unterseite, lässt sich ausnutzen um an die Zugangsdaten der registrierten User zu gelangen.

Der Cyberkriminelle braucht nicht viel für seinen erfolgreichen Angriff:

• Eine für XSS anfällige Website – egal welche Unterseite.
• Registrierte User die die Zugangsdaten im Browser speichern.

Ein Opfer wird es noch nicht einmal bemerken, wenn die Zugangsdaten dem Kriminellen in den Schoß gefallen sind, da die Übermittlung unbemerkt im Hintergrund abläuft. Es reicht aus eine präparierte Website zu besuchen.


Das Hauptproblem sind die Websites in denen es Lücken zu XSS gibt, ohne Frage, aber der Passwort-Manager geht dem Cyberkriminellen hilfreich zur Hand. Angeblich stecken in 60% bis 80% (ich würde eher sagen, gefühlte 98%) der Websites Lücken zu Cross-Site Scripting, d.h. jeder Surfer der mit dem Firefox surft und darin die Zugangsdaten speichern lässt, kann Opfer von Cyberkriminellen werden.


Update: 21:50 Uhr

Jetzt weiß ich warum Robert Hansen es nicht an die große Glocke gehängt hat. :O)

“Löchriger Firefox Passwort Manager” (heise.de)

News-Meldung vom 20.07.2007 00:07