Viele Internet-Browser sind unsicher: Viele Internet-Browser sind unsicher: Sachse entdeckt schwere Sicherheitslücke

Halle (Saale) - Der IT-Experte Matthias Ungethüm aus Geringswalde in Sachsen hat eine gravierende Sicherheitslücke in den meisten Internet-Browsern entdeckt. Mit dieser Gefahrenquelle könnte jeder normale Internetnutzer wegen eines Hackerangriffs angezeigt werden, obwohl er nur eine Webseite besucht hat.

Das Vorgehen der Hacker ist relativ simpel: Um Zugriff auf eine fremde Webseite zu bekommen, müssen sie das Passwort im sogenannten FTP-Protokoll knacken. Dazu benutzen sie die IP-Adresse von normalen Internetnutzern und bleiben damit selbst unerkannt. Weit verbreitete Browser wie der Internet Explorer, Safari oder Opera bemerken einen solchen Angriff unter falschem Namen nicht. Nur der Mozilla Firefox erkennt, wenn ein fremder Nutzer die eigene IP-Adresse missbraucht und warnt den Nutzer mit einer Störungsmeldung.

Das File-Transfer-Protokoll (FTP) dient dem Datentransfer zwischen verschiedenen Systemen und der einfachen Dateihandhabung. Das FTP-Protokoll basiert auf dem TCP-Protokoll und kennt sowohl die Übertragung zeichencodierter Informationen als auch von Binärdaten.

Mit Sicherheitslücken ist der 25-jährige Matthias Ungethüm gut vertraut, er testet für die Firma „Unnex“ Internetseiten auf Schwachstellen. Im Interview erklärt der Hacker, wie er das Sicherheitsleck gefunden hat und wie sich Nutzer gegen unerwünschte Angriffe wehren können.

Herr Ungethüm, Sie haben in fast allen gängigen Browsern eine Sicherheitslücke gefunden. Was haben Sie genau entdeckt?

Ungethüm: Mit dieser Sicherheitslücke haben Hacker die Möglichkeit, Passwörter zu einem bestimmten Zugang  in einem FTP-Protokoll durchzuprobieren. Im Hintergrund können Passwörter ausprobiert werden. Das entscheidende dabei ist, dass viele Browser das ignorieren. Wenn wir also eine Webseite besuchen, werden im Hintergrund Passwörter ausprobiert und den Browser interessiert das gar nicht, er gibt uns keine Meldung. Im Unterschied zu den meisten Browsern macht der Mozilla Firefox eine Meldung und sagt dem Nutzer: ‚Hier ist ein falscher Login probiert wurde, mach etwas dagegen.“  Der wichtige Unterschied bei den Browsern ist also, dass beim Firefox der Nutzer darauf hingewiesen wird, dass seine Leitung zum Durchprobieren von Passwörtern missbraucht wird.

Wie sind Sie auf die Sicherheitslücke gestoßen, hatten Sie einen Verdacht?

Ungethüm (lacht): Das ist schwer zu sagen. Das war ein Langeweile-Projekt um Mitternacht. Ich hatte an dem Abend Langeweile, habe ein bisschen herumprobiert, ob man FTP-Links als Embeds nutzen kann. Dann habe ich mit einem FTP-Link ein Bild eingefügt und da ist mir aufgefallen, dass ein Bild auch ganz gewöhnlich als Link eingefügt wird.

Wie Ungethüm auf seine Entdeckung reagiert hat und ob Hacker diese Sicherheitslücke bereits ausgenutzt haben, lesen Sie auf Seite 2.

Was haben Sie gemacht, als sie die Sicherheitslücke entdeckt haben?

Ungethüm: Generell benutzt man zum Bauen einer Webseite eine Sprache, meistens HTML. Man gibt etwas ein, und dann wird es in HTML ausgegeben. Diese Sprache hat die Eigenschaft, dass man mit ihr Bilder anzeigen kann. Wenn auf einer Webseite also oben ein Logo steht, sagt die HTML-Sprache beispielsweise, wo das Bild herkommt. Und um ein Logo überhaupt einzufügen, muss angegeben werden, wo das Bild liegt. Das macht man beispielsweise mit einem Link. Ich habe dann ein anderes Protokoll gewählt. Die meisten kennen wahrscheinlich http und https, mit denen man im Internet surft.

Es gibt noch andere Protokolle, eines davon ist das FTP-Protokoll. Das setzt aber einen Nutzernamen und ein Passwort voraus. Wenn ich jetzt diese Zugangsdaten in einen Link verpacke und diesen Link in das Protokoll einfüge, gibt es zwei Möglichkeiten. Entweder der Link funktioniert und das Passwort ist richtig, oder der Link funktioniert nicht und das Passwort ist somit falsch. Wenn ich an den Link noch das Bild anhänge, wird das Bild entweder geladen oder nicht geladen. Je nachdem, ob das Passwort richtig oder falsch war. Das ist schon die ganze Schwachstelle: Als Betreiber der Webseite kann ich feststellen, ob das Bild geladen wurde oder nicht: man schaut, ob das Bild auf der Webseite zu sehen ist. Ich habe also den Link und damit das Passwort geändert und probiert, ob das Bild geladen wurde oder nicht. Diese Befehlskette packt man in einen Code, schleust es in eine Webseite ein und lässt das Programm im Hintergrund selbstständig arbeiten.

Es ist also gar nicht so schwer, diese Sicherheitslücke auszunutzen?

Ungethüm: Nein, schwer ist das nicht, interessanterweise.

Sind Ihnen Fälle bekannt, in denen andere Hacker diese Lücke genutzt haben?

Ungethüm: Nein, spezielle Fälle sind mir nicht bekannt. Bis jetzt fanden andere Hacker diese Lücke  nur sehr interessant.

Welchen Schaden könnte diese Sicherheitslücke anrichten?

Ungethüm: Für den Hacker ist das sehr bequem. Er kann zum Ausprobieren der Passwörter die IP-Adressen der Nutzer der Webseiten nutzen und muss nicht seine eigene IP-Adresse herausgeben. Der zweite Vorteil ist die Flexibilität: Der Hacker muss keine fremden Computer mit Trojanern infizieren, es reicht, das FTP-Protokoll zu manipulieren.

Welchen Schaden könnten Hacker damit anrichten?

Ungethüm: Wenn das Passwort im FTP-Protokoll einmal geknackt ist, war’s das komplett. Dann ist alles vorbei. Der FTP-Zugang ist der Zugang zu allen Dateien, die sich auf einer Webseite befinden. Es ist das Kernstück einer Webseite. Man kann die Inhalte der Webseite ändern, löschen, die SQL-Datenbank angreifen. Es gibt fast keine Webseiten, die dieses Protokoll nicht nutzen. Man kann also jede Webseite mit dieser Lücke angreifen.

Welche rechtlichen Konsequenzen hätte es für Nutzer, deren IP-Adresse durch diese Sicherheitslücke genutzt wird?

Ungethüm: Prinzipiell ist so etwas ein Hacker-Angriff. Und wenn das Passwort mit der eigenen IP-Adresse geknackt wurde, wirft das bei einer Anzeige ein ganz schlechtes Licht auf den Nutzer. Wenn man nicht vorbestraft ist, kriegt man dann meist Sozialstunden. Die Frage ist eher, was man mit dem geklauten Passwort anstellt.

Was macht man als Nutzer, wenn man bei Mozilla Firefox eine Störungsmeldung bekommt, weil jemand anders das Passwort mit der eigenen IP-Adresse knacken will?

Ungethüm: Als erstes sollte man die Webseite sofort schließen und nicht mehr weiter nutzen. Dann sollte man dem Serverbetreiber die Schwachstelle mitteilen. Man kann auch bei der Polizei eine Anzeige machen, aber die haben erfahrungsgemäß keine Ahnung davon.

Hilft es, ein spezielles Virenschutzprogramm zu installieren?

Ungethüm: Ich habe verschiedene Virenscanner und Ad-Block-Programme ausprobiert, das hilft alles nicht. Auf Dauer hilft es nur, Firefox als Browser zu verwenden. (mz)