Web-Sicherheit

Januar 31, 2011

Bankenseiten weiterhin unsicher

Filed under: Allgemein — sebastiankuebeck @ 16:32
Tags: , , , , , ,

Gefunden auf heise Security:

Im September berichtete das Computermagazin c’t über ungenügende Sicherheit bei Banken-Websites. Der 16-jährigen Schüler Armin Razmdjou hatte auf den Web-Seiten von 17 Banken Cross Site Scripting Lücken entdeckt. Als er drei Monate später die Web-Auftritte der Banken nochmals testete, fand er in jedem Web-Auftritt erneut ernst zu nehmende Sicherheitslücken.

Weiter heißt es:

Bei der DKB-Bank und Cortal Consors ging es sogar ans Eingemachte. Über geschickt gewählte URLs konnte man Zugriff unter anderem auf Systemdateien des Servers erlangen [Anm: siehe das Kapitel Fehlerhafte Autorisierung in meinem Buch]. Über derartige Lücken lassen sich oft wichtige Daten auf den betroffenen Systemen ausspionieren. Die anderen Lücken ermöglichten vor allem wieder so genanntes Cross Site Scripting, das sich etwa für raffinierte Phishing-Attacken ausnutzen ließe. Häufige Ursache waren Zusatzangebote wie Börsenkurse (Hypo Vereinsbank, DAB), Finanzberatung (Postbank) oder ein Stellenmarkt (Allianz). Aber bei der WestLB, der HSH Nordbank und der Bank of Scotland waren sogar die Login-Seiten nicht ausreichend gesichert.


Hier wurde ein iFrame in die Seiten der Allianz eingeschmuggelt. Weitere Beispiele befinden sich hier. Frame-Spoofing ist übrigens ein Spezialfall einer unsicheren Weiterleitung, welche ich in meimem Buch im gleichnamigen Abschnitt ausführlich behandle.

Ich bin mir ziemlich sicher, dass das nur die Spitze des Eisbergs ist. Wenn Unternehmen bereits Probleme haben, diese relativ einfach zu erkennenenden Schwachstellen zu vermeiden, lauern da sicher noch zahlreiche schlimmere. Ich Tippe einmal blind auf Session-Fixation und CSRF.

Noch schlimmer wiegt, dass es bei den betroffenen Banken offenbar überhaupt kein Problembewusstsein gibt…

Nachdem heise Security die Banken über die Probleme unterrichtete, wurden diese innerhalb weniger Tage behoben. Das gilt im Übrigen auch für ein Sicherheitsproblem auf den Seiten der Credit Europe Bank, auf das der Sicherheitsberater Dirk Wetter die Bank zuvor bereits neun Monate auf verschiedenen Wegen aufmerksam macht.

Diese Banken reagieren offenbar wirklich nur dann, wenn etwas passiert oder wenn jemand mit schlechter Presse droht. Es ist also leider wieder die gesetzliche Keule nötig, damit sich Bankmanager kurzzeitig von ihren Bonuszahlungen abwenden um sich zumindest Kurzfristig der Sicherheit ihrer Kunden zu widmen…

2 Kommentare »

  1. Ich kann dazu nur ahhhhhhh sagen, da will man das Fillialnetz reduzieren und mehr Onlineaktivitäten erzeugen und dann kommen immer wieder solche Pannen hervor. Da möchte ich doch bitte nicht wirklich meine sensiblen Geldgeschäfte in diesen Bereich verlagern. Ich sehe die Banken hier deutlich im Zugzwang

    Kommentar von Muench — Februar 2, 2011 @ 07:58 | Antwort

  2. […] Sicherheit ihrer Onlinebanking-Systeme haben, musste vor einiger Zeit ein Schüler erfahren, der versuchte, von ihm entdeckte Sicherheitsprobleme den betroffenen Banken zu melden. Nach Monaten der […]

    Pingback von Einbruch bei Citibank war ein Kinderspiel « Web-Sicherheit — Juni 15, 2011 @ 14:25 | Antwort


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: