Startseite > Sonstiges > Anti-Terror-Datenbank gehackt [Aprilscherz]

Anti-Terror-Datenbank gehackt [Aprilscherz]

HINWEIS: Es handelt sich um einen Aprilscherz!

Das ging aber schnell. Kaum einen Tag draußen, und schon hat es jemand geschafft, ein paar Tausend Datensätze aus der Anti-Terror-Datenbank zu kopieren. Ich will lieber nicht wissen was er damit macht.

Hier sieht man jedenfalls einen Grund, warum solche zentralen Datenbanken nicht besonders toll sind.

UPDATE: Es ist nicht der Welt.de-Aprilscherz. Der findet sich hier.

UPDATE 2: Es ist nicht der Welt.de-Aprilscherz gewesen, sondern meiner. Welt.de hat damit nur zu tun, dass die Website es ermöglicht, über kreativ geformte Links Inhalte unterzuschieben. Den Link habe ich entfernt, um keine Anleitung zum Ausnutzen dieser Lücke zu liefern, da sie auch für weniger harmlose Sachen benutzt werden könnte. Unter dem Link oben gibt es jetzt nur noch einen Screenshot.

Auch wenn es diesmal nur ein Aprilscherz war, und es recht unwahrscheinlich ist, dass jemand einfach mal so diese Datei hackt und kopiert, und auch wenn nur Verweise zu den Daten darin gespeichert sind: Solche zentralen Datensammlungen sind nicht gut. Sie können sehr leicht missbraucht werden, schränken die Freiheiten und Bürgerrechte ein, und sorgen oft dafür, dass Unschuldige drangsaliert werden. Und was hindert den netten Beamten von nebenan mal dran, nachzuschauen, was über seinen Nachbaren in irgendwelchen Datenbanken steht?

UPDATE 3: Welt.de hat die Lücke inzwischen geschlossen. Das Problem lag in der Suchfunktion, die eingegebene Zeichen nicht ausreichend validiert bzw. escaped hat, sodass z.B. der Suchbegriff

„> HALLO WELT <!–

dazu führte, dass im Quelltext der Seite dort, wo das Suchfeld angezeigt werden sollte, nicht stand

<INPUT type=“text“ value=“&quot;> HALLO WELT <!–„>

(so ist es richtig, es wird ein Feld mit dem oben genanten Suchbegriff angezeigt), sondern:

<INPUT type=“text“ value=““> HALLO WELT <!–„>

Im oberen, richtigen Fall ist der gesamte Suchberiff Feldinhalt, im zweiten Fall ist der Feldinhalt leer, das HTML-Tag wird geschlossen und „HALLO WELT“ wird mitten in die Seite geschrieben. Mithilfe von diversen Designtricks konnte man dann, wie auf dem Screenshot zu sehen,  dafür sorgen, dass ein eigener Text im Layout der Seite angezeigt wird. Dieser Fehler ist deswegen unschön, weil man nicht nur einen falschen Artikel im Umfeld der Seite zeigen, sondern auch ein eigenes Login-Feld über das richtige legen kann. Das falsche Login-Feld kann dann auf den Server des Angreifers verweisen. Obwohl der Besucher Welt.de aufruft (und zwar wirklich, nicht nur vorgetäuscht!), landen die Daten am Ende anderswo. Der Bundesrat hatte das Problem auch schon mal, wenn ich mich recht erinnere. Diesen Fehler gab es darüberhinaus schon mehrfach bei Banken, was natürlich für Phishing-Mails mit einer wirklich zur Bankwebsite zeigenden URL sorgte.

Es gibt auch kreativere Angriffsmethoden, so kann man z. B. ein eigenes JavaScript einschleusen (diese Methode gab dem Angriff auch den Namen Cross Site Scripting, kurz „CSS“ oder „XSS“), sodass die verlinkte Adresse nicht ca. 2000 Zeichen lang wird. Generell kann man davon ausgehen, dass ein Link, der viel seltsames Zeug enthält, ungesund sein kann. Wenn die Seite Welt.de bei jemanden in den „vertrauenswürdigen Websites“ steht, könnte so ein Link eventuell auch unsichere aktive Inhalte starten und so die Rechner der Besucher angreifen. Diese harmlos aussehende (und sehr weit verbreitete) Lücke ist also durchaus ernst zu nehmen.

Dagegen hilft es, generell alles, was vom Benutzer kommt, so stark wie möglich zu escapen und möglichst selten Benutzerinhalt wieder auszuspucken. Es hat gedauert, bis ich eine Seite fand, die diesen Aprilscherz mit sich machen ließ.

Kategorien:Sonstiges
  1. 2007-04-01 um 09:18 UTC

    Sollte es wie ich vermute ein Aprilscherz der „Welt“ sein, ist er jedenfalls nicht sehr gelungen.

  2. Kai K.
    2007-04-01 um 09:47 UTC

    Bloeder Aprilscherz der WELT?

  3. Jan
    2007-04-01 um 13:25 UTC

    Wie oben ergänzt, handelt es sich nicht um den Aprilscherz von Welt.de. Wer sich jetzt wundert, möge sich den Link genauer anschauen.

  1. No trackbacks yet.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: