Web-Sicherheit

Juni 15, 2011

Einbruch bei Citibank war ein Kinderspiel

Filed under: Allgemein — sebastiankuebeck @ 14:25
Tags: , , , ,

Laut diesem Artikel war der Einbruch bei Citbank, bei dem über 200,000 Kontonummern und E-Mail-Adressen gestohlen wurden, ein Kinderspiel. Die Hacker meldeten sich als legitime Kunden an Citibanks Onlinebanking-Portal an und probierten einfach der Reihe nach Kontonummern in der Adresszeile des Browsers durch, bis sie auf gültige Kontonummern stießen, wodurch sie an die Daten der Kontoinhaber gelangten. Sie automatisierten diesen Vorgang und konnten so an die Daten hunderttausender Kontoinhaber gelangen.

Offenbar hat die Citibank also die Kontonummer oder einen von ihr abgeleiteten Code als Autentifizierungsmerkmal (Schlüssel) benutzt. Da es augenscheinlich sehr einfach ist, durch ausprobieren gültige Kontonummern zu erhalten, eigenen sie sich keinesfalls als Schlüssel. Vielmehr sollte für jede Benutzersitzung – also nach jeder erfolgreichen Anmeldung – ein eigener, sicherer Schlüssel mit begrenzter Gültigkeit erstellt werden (ich habe dem Thema Authentifizierung und Sessionmanagement zwei Kapitel in meinem Buch gewidmet). Die Kontonummer sollte überhaupt nicht in der Adresszeile auftauchen, sondern ausschließlich auf dem Server gespeichert werden. Diese Art von Schwachstellen sind eigentlich schon aus den Neunzigerjahren bekannt und wurden damals schon ausgenutzt.  Es ist wirklich erstaunlich, wie lange es dauert, bis sich die offensichtlichsten Schwachstellen und deren Vermeidung herumgesprochen haben. Und bei den Bonuszahlungen, die die Manager bei Citibank trotz Pleite einstreifen, sollte es nicht zuviel verlangt sein, die Programmierer in sicherer Webentwicklung zu schulen…

Das die Eindringlinge nicht an Kreditkartennummern und Kartenprüfnummern gekommen sind, ist ohnehin klar, da erstere laut den Vorschriften der Kreditkartengesellschaften (genannt PCI DSS) nur unvollständig (es dürfen maximal die ersten sechs und die letzten vier Stellen angezeigt werden) dargestellt werden dürfen und letztere gar nicht bei der Citibank gespeichert, geschweige denn angezeigt werden dürfen (genauer gesagt, darf die Kartenprüfnummer nur unmittelbar vor einer Transaktion gespeichert werden und muss danach gelöscht werden). An diese Daten kommen Hacker also nur heran, wenn sie die Seite, auf der diese Daten eingegeben werden, oder ein nachgeschaltetes System manipulieren.

Das die Angreifer diesen Angriff nur einige zehntausend Mal durchgeführt haben wie im Bericht erwähnt, kann gar nicht stimmen, da sie bei einer Trefferquote von 100% immer noch 200.000 Versuche benötigen, um an diese Anzahl von Daten zu gelangen.

Im Gegensatz zu dem „Sicherheitsexperten“, der in diesem Artikel zitiert wird, glaube ich nicht, dass dieser Angriff tatsächlich so schwierig war. Meiner Meinung nach sind die Hacker eher durch ausprobieren auf diese Lücke gestoßen. Das ein „Superhacker aus Osteuropa“ hinter der Tat vermutet wird, ist meist ein Synonym für „wir haben keine Ahnung, wer das war“. Schließlich würde es langsam auffallen, wenn man immer die Chinesen beschuldigt…

Das einige Banken generell kein gesteigertes Interesse an der Sicherheit ihrer Onlinebanking-Systeme haben, musste vor einiger Zeit ein Schüler erfahren, der versuchte, von ihm entdeckte Sicherheitsprobleme den betroffenen Banken zu melden. Nach Monaten der Untätigkeit dieser Banken wendete er sich schließlich enttäuscht an die Öffentlichkeit.

Update vom 17.06.2011:

Die Citibank musste nun zugeben, dass Daten von nicht nur 200.000 oder 210.000 sondern 360.000 Kunden in die Hände der Eindringlinge gerieten. Das ganze ist offenbar eine Reaktion auf Druck der Staatsanwaltschaft, mehr Informationen zu dem Vorfall bekanntzugeben…

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: