English
eBay: Sicherheitslücke im Angebot
Programmierfehler lockt eBay-Betrüger
Schlampige Software im Internetauktionshaus
eBay soll sicherer werden, versprach das Unternehmen im April und führte ein neues Sicherheitssystem ein. Ein Programmierfehler bewirkt nun das Gegenteil: Internetbetrüger haben wegen schlampig produzierter Software bei eBay leichtes Spiel.
eBay soll sicherer werden, versprach das Unternehmen im April und führte ein neues Sicherheitssystem ein. Ein Programmierfehler bewirkt nun das Gegenteil: Internetbetrüger haben wegen schlampig produzierter Software bei eBay leichtes Spiel.
Das Internetauktionshaus eBay steht bei Betrügern hoch im Kurs. Sie locken eBay-Mitglieder auf gefälschte Webseiten, um Zugangsdaten abzufischen. Mit den gestohlenen Daten loggen sie sich anschließend bei eBay ein und bieten unter fremdem Namen Waren an. Bei eBay gilt Vorkasse. Die Betrüger kassieren das Geld und verschwinden auf Nimmerwiedersehen. Die Ware wird natürlich nie geliefert.
Mit Cookies gegen Vorkassenbetrug
Um solche Betrügereien künftig zu verhindern, hat sich eBay ein besonderes System erdacht. Ab Mitte des Jahres gilt: eBay-Kunden, die nicht von ihrem angestammten Computer aus Waren zum Verkauf anbieten, müssen sich gesondert authentifizieren. Sie werden von eBay automatisch auf einer Nummer angerufen, die sie bei eBay hinterlegen müssen. “Mit diesem Anruf stellen wir sicher, dass der Verkauf tatsächlich vom rechtmäßigen Inhaber des eBay-Mitgliedskontos veranlasst wird”, heißt es bei eBay.
Damit die eBay-Software erkennen kann, welcher Computer beim Einstellen von Angeboten benutzt wird, markiert eBay die Rechner seiner Kunden bereits seit Ende April mit einem sogenannten Flash-Cookie. Das ist eine kleine Textdatei mit einer eindeutigen Kennung, die auf dem PC des Nutzers abgespeichert wird. Stellt der eBay-Kunde Waren ein, sucht die eBay-Software auf seinem PC automatisch nach dem Cookie.
Anders als gewöhnliche Cookies unterliegen Flash-Cookies nicht der Cookie-Verwaltung des Browsers. Sie werden über den Flash-Player erzeugt und können auf normalem Wege nicht gelöscht werden. Zudem ist normalerweise sichergestellt, dass diese Cookies nur von der Webdomain ausgelesen werden können, die die kleine Textdatei auf dem Computer abgespeichert hat.
Kluge Idee schlampig umgesetzt
Eine kluge Idee, könnte man meinen. Identitätsdiebe können sich zwar die Zugangsdaten eines Kunden erschleichen, könnten damit aber nichts mehr anfangen. Sie benutzen einen Rechner, dem das Identifizierungs-Cookie fehlt. Bieten sie trotzdem Waren an, setzt sich die eBay-Software mit dem wirklichen Kunden in Verbindung. Der wird gewarnt und kann sein eBay-Konto auf der Stelle sperren lassen.
Die Theorie klingt klug - die eBay-Praxis reichlich schlampig. Das jedenfalls behauptet Falle-Internet, eine private Sicherheitsinitiative, die es sich zum Ziel gesetzt hat, Internetkriminellen das Handwerk zu legen und Surfer über Netzgefahren aufzuklären. Falle-Internet hat nämlich einen Programmierfehler in eben jenem Flash-Objekt namens “krb.swf” entdeckt, das eBay zum Ausliefern und Abfragen seiner Cookies benutzt.
“Eigentlich dürften ausschließlich eBay-eigene Seiten und Skripte Zugriff auf die darin enthaltene Funktion zum Auslesen eines Flash-Cookies haben”, erklärt Falle-Internet. “Eine falsch implementierte Abfrage ermöglicht es aber nahezu jeder Webseite, eBays eigene Software zum ‘Cookieklau’ zu verwenden.” Einzige Bedingung sei: “Die Adresse der Seite muss - ganz ähnlich wie eBays Login-Seite - mit ’signin’ beginnen.”
Leichtere Arbeit für Betrüger
Heute.de hat den “Cookieklau” ausprobiert - mit verblüffendem Ergebnis. Über eine zu Demonstrationszwecken eingerichtete Webseite mit Namensähnlichkeit zur eBay-Einloggseite konnten Flashcookies problemlos ausgelesen werden, obwohl das theoretisch eigentlich nicht möglich ist. Damit nicht genug.
Die Sicherheitsmaßnahme, die in der schönen eBay-Theorie das unbefugte Anbieten von Waren eigentlich unmöglich machen sollte, erleichtert Internetbetrügern die Arbeit ganz erheblich. In einem Abwasch können sie sich über eine entsprechend manipulierte Webseite von eBay-Mitgliedern nicht nur die Zugangsdaten erschleichen, sondern auch gleich deren Identifizierungs-Cookies auslesen und zur eigenen “Authentifizierung” einsetzen.
Der Aufwand, diese eklatante Sicherheitslücke zu schließen, sei für eBay minimal, sagt Falle-Internet. Sie dürfte deshalb auch tatsächlich bald geschlossen sein. Dennoch weise ihre Existenz auf ein grundsätzliches Problem bei der Verwendung softwarebasierter Sicherheitsmaßnahmen hin. “Mit steigender Komplexität erhöht sich die Fehlerwahrscheinlichkeit im Zusammenspiel der Komponenten”, so Falle-Internet.
Wirkliche Sicherheit gegen Aufpreis
Darüber hinaus stellt sich die Frage, warum eBay solche und andere Lücken nicht selbst entdeckt, sondern immer wieder erst von Außenstehenden darauf gestoßen werden muss. Sollte man nicht meinen, dass gerade ein in Sicherheitsfragen gebranntes “Kind” wie eBay jede neue Maßnahme vor ihrem Einsatz besonders gründlich auf Herz und Nieren überprüft?
Seit Mitte Februar 2007 bietet eBay seinen Kunden an, das Mitgliedskonto mit einem Sicherheitsschüssel zu schützen, der das von Banken bekannte eTan-Verfahren verwendet. Alle dreißig Sekunden generiert das Gerät einen individuellen Sicherheitscode, der zusätzlich zu den Kundendaten eingeben werden muss. Die Nutzung ist freiwillig.
“Der Sicherheitsschlüssel könnte aber leicht für alle Nutzer verpflichtend eingeführt werden”, sagt Falle-Internet. Den geringen Kosten von 4,95 Euro pro Schlüssel stünde ein echter Mehrgewinn an Sicherheit gegenüber.
Quelle: Heute.de
Weitere aktuelle Nachrichten
Hollywood heavyweights Robert De Niro and Al Pacino reunited on the red carpet in New York Wednesday night for the premiere of their new crime thriller “Righteous Kill” — their first film together since making 1995’s “Heat.”
The movie also stars
The Pakistani Army has been given orders to retaliate against any unilateral strike by the Afghanistan-based US troops inside the country.
Army Spokesman Maj Gen Athar Abbas confirmed the orders in a brief interview with Geo News on late Thursday night.
The
Russian President Dmitry Medvedev says he will not accept military action or new sanctions against Iran over its nuclear activities.
“We should not take any unilateral steps. It is not acceptable to opt for a military scenario. It would be dangerous,”
As the world marks the seventh anniversary of 9/11, some European experts say security improvements in the US have been undercut by fairly basic mistakes. Among the remedies is more trust in America’s laws and allies.
Seven years after the attacks
David Miliband has allegedly come in for a rather undiplomatic tongue-lashing from his Russian counterpart.
The Foreign Secretary was apparently given a furious dressing down by Sergei Lavrov over the telephone.
Mr Miliband’s criticism of Russia’s recent incursion into Georgia is believed
PIETERMARITZBURG, South Africa - A South African judge ruled Friday that prosecutors were wrong to charge ANC President Jacob Zuma with corruption, effectively clearing way for the 66-year-old former freedom fighter to become the country’s next president.
Judge Chris Nicholson’s ruling
Thailand’s political turmoil deepened Friday when the ruling coalition failed to turn up to parliament to reelect leader Samak Sundaravej as prime minister.
Lawmakers from the six-party coalition did not attend an emergency session of parliament called to choose a prime minister, three days after a court stripped Samak of power for accepting payments for hosting
Feeds