#1 18. Mai 2007 Die Web-Seiten für das Online-Banking vieler Sparkassen enthalten mehrere heftige technische Fehler, über die sich nahezu perfekte Phishing-Seiten erstellen lassen. Die dazu erforderlichen Angriffstechniken namens Cross Site Scripting (XSS) und Frame Spoofing sind bereits seit Jahren bekannt und sorgten in der Vergangenheit immer wieder für Schlagzeilen. Dass ausgerechnet die Login-Seiten eines ganzen Online-Banking-Portals dagegen anfällig sind, lässt eigentlich nur die Schlussfolgerung zu, dass sich die Verantwortlichen in den vergangenen Jahren nicht ausreichend um deren Sicherheit gekümmert haben. Der erste Fehler wurde von Ulrich Keil entdeckt und auf einer Sicherheits-Mailingliste veröffentlicht. Ein Angriff darüber erfordert es, dass der Anwender auf eine speziell präparierte URL klickt, die allerdings direkt auf die Sparkassenseiten verweist. Einzige Auffälligkeit ist ein seltsamer Parameter mit einer weiteren URL. Die Web-Applikation der Sparkassen überprüft nämlich den Parameter KONTO nicht, sodass es möglich ist, in diesen speziellen HTML-Code einzubetten. Eine von Keil veröffentlichte Liste führt allein sechs anfällige Sparkassen-Filialen auf; nach Stichproben von heise Security ist sie jedoch längst nicht vollständig. Keil demonstriert dieses Problem mit einem täuschend echten IFrame, der die ursprüngliche Anmeldemaske überdeckt. Alle Eingaben auf der Seite, die man über die Demo-URL erreicht, würden damit auf seinem Server landen. Allerdings verwendet er dabei keine SSL-gesicherte Seite, was in den meisten Browsern zu Warnungen führt. Diese Demo-URL zeigt, dass sich dies ebenfalls leicht umgehen ließe, wenn der Angreifer beispielsweise einen Server mit einem gültigen SSL-Zertifikat unter seine Kontrolle bringt. Cross Site Scripting ist ein auf vielen Seiten anzutreffendes Problem. Die Erkenntnis, dass man es insbesondere auf sicherheitsrelevanten Seiten wie denen zum Online Banking nicht auf die leichte Schulter nehmen sollte, setzt sich jedoch durch – bei den Sparkassen ist sie offenbar noch nicht angekommen. Beim Verifizieren von Keils Behauptungen entdeckte heise Security ein weiteres, grundsätzliches Sicherheitsproblem auf den Sparkassenseiten: Sie sind aus einzelnen Frames aufgebaut. Da es der Internet Explorer bis zu Version 6 in seiner Standardeinstellung beliebigen Web-Seiten gestattet, einzelne dieser Frames auszutauschen, können Angreifer damit ebenfalls nahezu perfekte Phishing-Seiten erstellen. Der c't-Browsercheck demonstriert dies manuell, das Verfahren ließe sich jedoch auch leicht automatisieren. Die Frame-Spoofing-Problematik ist seit fast neun Jahren bekannt, der c't-Browsercheck demonstriert es als Phishing mit Frames seit fast drei Jahren. Unter anderem deshalb haben die meisten Banken Frames aus ihren Web-Auftritten verbannt. Andere überprüfen provisorisch mit Skripten die Integrität des Framesets, um Manipulationen zu erkennen und die Kunden auf eine Fehlerseite umzuleiten. An den Sparkassen beziehungsweise deren Dienstleistern ist diese jahrelange Diskussion jedoch anscheinend spurlos vorbeigegangen. Die Fehler sind derart trivial, dass sie eigentlich bei jeder Sicherheitsüberprüfung der Seiten aufgefallen sein müssten. Dass erst andere die Sparkassen darauf aufmerksam machen müssen, lässt schlimmes ahnen. Keil hat nach eigenen Angaben die Sparkassen-Finanzgruppe parallel zu seiner Veröffentlichung am Donnerstagmorgen benachrichtigt. Antworten auf Anfragen von heise Security stehen noch aus. Quelle:http://www.heise.de/newsticker/meldung/89885 + Multi-Zitat Zitieren