INSPECTION beim Sicherheitspreis Baden-Württemberg ausgezeichnet

Dr. Nicole Hoffmeister-Kraut, Ministerin für Wirtschaft, Arbeit und Tourismus des Landes Baden-Württemberg, und Thomas Strobl, Minister des Inneren, für Digitalisierung und Kommunen des Landes Baden-Württemberg überreichten den Sicherheitspreis Baden-Württemberg im Rahmen des Cybersicherheitsforums in Stuttgart.

Mit dem Projekt INSPECTION wurde ein hochinnovatives Verfahren auf Basis von Künstlicher Intelligenz entwickelt, um illegal manipulierte Webseiten (Hackings) zu finden und die betroffenen Unternehmen proaktiv zu informieren. Dadurch werden diese in die Lage versetzt, etwaige Sicherheitslücken zeitnah zu schließen und daraus resultierenden Missbrauch zu verhindern.

Das Projekt INSPECTION konnte die Jury beeindrucken, da die Hackings den betroffenen Unternehmen häufig Monate oder sogar Jahre verborgen blieben. Grund dafür ist, dass die originalen Webseiten intakt waren, es wurden jedoch im großen Umfang missbräuchliche Inhalte eingeschleust. Neben dem Aspekt, die betriebliche Sicherheit von Unternehmen zu stärken, wird auch Verbrauchern ein sicheres Internet ermöglicht. Die Hackings der Webseiten zielen darauf ab, Verbraucher mit den manipulierten Webseiten auf missbräuchliche Angebote wie Fake-Shops oder Ransomware-Downloads zu leiten.

Besonderer Pluspunkt: Das Projekt INSPECTION schafft ein branchenübergreifendes Bewusstsein für IT-Sicherheit. Dies geschieht unter anderem durch die Präsentation realer Hackerangriffe auf Veranstaltungen, um die Sicherheitsproblematik eindrücklich zu illustrieren. Außerdem entstanden innerhalb des Projekts zwei Erklärvideos, die sowohl konkrete Schritte zur Behebung von Sicherheitsvorfällen als auch präventive Maßnahmen aufzeigen.

„Wir sind sehr stolz auf diese Auszeichnung, die eine Anerkennung für die harte Arbeit unseres Teams und aller Partner ist“, sagt der Geschäftsführer Joachim Feist, der zusammen mit Geschäftsführer Ralf Walther in Stuttgart den Preis entgegennahm. „Wir hoffen, dass dieser Preis uns dabei hilft, weitere Partner und finanzielle Mittel für den Ausbau und Erhalt des Projektes zu finden.“

Das preisgekrönte Projekt INSPECTION (www.web-inspection.de) startete als BMBF Forschungsprojekt und unter Beteiligung der Forschungsgruppe SECUSO des KIT in Karlsruhe und den Forensikexperten der BDO AG Wirtschaftsprüfungsgesellschaft. Es wird nun von der mindUp Web + Intelligence GmbH fortgeführt.

Bild: (c) Steffen Schmid

Interview anlässlich der Internet Security Days 2023

zum Forschungsprojekt INSPECTION zur Identifizierung gehackter Webseiten

Anne Hennig ist wissenschaftliche Mitarbeiterin beim Karlsruher Institut für Technologie (KIT) und betreut das Forschungsprojekt INSPECTION seitens des KIT. Bei den diesjährigen Internet Security Days (ISD) am 21. und 22. September wird sie einen Vortrag über das Projekt halten. Gemeinsam mit ihrem Kollegen Dr. Peter Mayer erklärt sie im eco Interview, was INSEPCTION ist und warum es eine wirkungsvolle Ergänzung zu bereits bestehenden IT-Sicherheitsansätzen sein kann. 

Sie wirken bei dem Forschungsprojekt INSPECTION mit. Können Sie uns erklären, was Sie bei dem Projekt untersuchen und auf welchen Bereich der Cybersicherheit Sie sich konzentrieren?

Im Forschungsprojekt INSPECTION arbeiten drei Konsortialpartner daran, eine bestimmte Art des SEO-Spam in Form von Weiterleitungen auf Fake Shops näher zu untersuchen. D.h., im wesentlichen beschäftigt sich das INSPECTION Projekt mit Web-Sicherheit, wobei wir uns hier konkret eine bestimmte Angriffsart auf Websites genauer anschauen. Dabei ist die mindUp Web + Intelligence GmbH für den Bereich des Findens der gehackten Websites zuständig, die BDO Wirtschaftsprüfungsgesellschaft AG beschäftigt sich mit der forensischen Analyse der gehackten Websites. Wir von der Forschungsgruppe Security – Usability – Society (SECUSO) am Karlsruher Institut für Technologie (KIT) befassen uns mit der Benachrichtigung der betroffenen Website-Besitzer:innen.

Wie funktioniert INSPECTION? Und wie unterscheidet sich INSPECTION von anderen Sicherheitssystemen?

INSPECTION per se ist kein „Sicherheitssystem“. Wie oben schon beschrieben, geht es uns in dem Projekt darum, eine bestimmte Form von Angriffen auf Websites genauer zu beschreiben. Das Schwierige hier ist, dass diese Form des Website-Hackings a) noch sehr wenig bekannt ist und daher die wenigsten Website-Besitzer:innen wissen, wie man diesem Angriff begegnet, und b) die Angreifer:innen sich sehr gut im System verstecken und damit das Hacking lange Zeit unentdeckt bleiben kann. Es ist nicht selten, dass Websites über mehrere Jahre gehackt sind.

Unser Ansatz ist daher ganzheitlicher zu verstehen: Zunächst geht es uns darum, gehackte Websites zu identifizieren (Bereich „Finden“). Dieser Mechanismus wurde in den vergangenen drei Jahren von der mindUp Web + Intelligence GmbH immer weiter verfeinert, sodass in den kommenden Monaten ein Tool zur Einzelfallprüfung auf unserer Projektwebsite (web-inspection.de) zur Verfügung stehen wird, mit dem Website-Besitzer:innen selbst testen können, ob sie betroffen sind. Dieses Tool untersucht natürlich nur die von uns untersuchte Art des Website-Hackings und ist keine Garantie, dass die Website an sich frei von Malware ist. Aber das Tool ist eine sehr gute Ergänzung zu bestehenden Malware-Scannern, die wiederum nicht in der Lage sind, die von uns untersuchte Art des Website Hackings zu erkennen.

Weiterhin ist es uns wichtig, diese Art des Website-Hackings genau zu analysieren, Gemeinsamkeiten zwischen den betroffenen Systemen herzustellen und somit konkrete Lösungsvorschläge für Betroffene bereitzustellen (Bereich „Behandeln“). Die BDO Wirtschaftsprüfungsgesellschaft AG ist aktuell noch dabei, diese Analysen durch mehr Daten zu komplementieren. Die Analyse erfolgt über Logfiles kompromittierter Systeme. Hier sind wir stark auf die Zusammenarbeit mit den Betroffenen angewiesen und können Logfiles zum Beispiel nur sinnvoll auswerten, wenn uns diese auch zur Verfügung gestellt werden.

Hier spielt auch die Benachrichtigung von Betroffenen und damit die Entwicklung eines effektiven Benachrichtigungsverfahrens eine große Rolle. Wie bereits erwähnt, bleibt diese Art des Hackings oft lange unentdeckt. Wir von der Forschungsgruppe SECUSO am KIT erforschen, über welche Kommunikationswege und mit welchen Informationen wir am besten an Betroffene herantreten müssen, damit das Problem wahrgenommen und verstanden wird und daraus entsprechende Handlungen abgeleitet werden können. Dies ist nicht ganz so trivial, wie es klingt, da solche Benachrichtigungen oftmals im täglichen Spam untergehen und unsere Informationen die Betroffenen damit gar nicht erreichen.

Diese beiden Bereiche stellen die Basis für den Bereich „Verhindern“. Gerade sind wir noch dabei, Awareness-Materialien zu entwickeln, um Website-Besitzer:innen schon im Vorfeld auf die mögliche Gefahr aufmerksam zu machen. Der Fokus liegt dabei aktuell auf zwei Awareness-Videos, die ebenfalls zum Projektende zur Verfügung gestellt werden, sowie dem Tool zur Einzelfallprüfung.

Wie können die Forschungsergebnisse von INSPECTION zukünftig weiter genutzt werden? Was erhoffen Sie sich für Erkenntnisse für zukünftige Projekte und Forschungsansätze? 

Wie bereits beschrieben, sollen alle Erkenntnisse aus dem Projekt öffentlich verfügbar sein. Der Schwerpunkt wird dabei auf dem Tool zur Einzelfallprüfung sowie den beiden Awareness-Videos liegen. Alle Informationen sollen auch Dritten zur Verfügung gestellt werden, so sind wir zum Beispiel mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), Deutschland sicher im Netz, einigen IHKs, Handwerkskammern und Fachverbänden, der Verbraucherschutzzentrale NRW, der Allianz für Sicherheit in der Wirtschaft (ASW), der Polizeilichen Kriminalprävention der Länder und des Bundes und natürlich dem ECO Verband in Kontakt.

Neben diesem konkreten Output interessiert uns als Universität natürlich vor allem auch die Übertragbarkeit unserer Ergebnisse auf andere, ggf. ähnlich gelagerte Probleme. Also zum Beispiel die Frage, wie man denn mit sogenannten vulnerability notifications („Benachrichtigungen zu Sicherheitslücken“) nun effektiv aus dem „täglichen Spam“ herausstechen kann. Hier haben wir im Rahmen des INSPECTION Projekts einige wertvolle Hinweise gewinnen können, die wir uns auch über das Projektende hinaus genauer anschauen wollen.

Auch beschäftigt uns die Frage, wie zielgruppenspezifisch denn Awareness-Materialien sein müssen. Da unsere Zielgruppe als „Website-Besitzer:innen und Stakeholder rund um Websites“ sehr, sehr divers, das eigentliche Problem aber teilweise sehr individuell ist, mussten wir sehr genau darauf achten, dass wir in unseren Materialien ausreichend allgemein und gleichzeitig spezifisch genug sind. Ich denke, wir haben hier einen guten Mittelweg gefunden. Aber das generelle Problem ist ja, wie mit solchen knowledge gaps („Wissensklüften“) zwischen verschiedenen Personengruppen umgegangen werden kann – das ist ja auch über den Cybersecurity-Bereich hinaus ein spannender Forschungsbereich.

Der Vortrag von Frau Hennig im Rahmen der Internet Security Days liefert vertiefte Einblicke in das Projekt. Zeit und Ort: Brühl, Phantasia-Land, ISD 2023 am 21.9.2023 um 15:30 Uhr

INSPECTION finds Open Redirect Fraud on Google Pages

The INSPECTION research project aims to find hacked and manipulated web pages by scanning search engines. The manipulated web pages redirect to fake shops, adware, scareware, ransomware downloads and other fraudulent pages.

Today URLs from Google have been found following such a fraudulent pattern. In this case the google webpage has not been hacked but a redirect mechanism has been misused (Open Redirect Vulnerabilty).

The manipulation can be seen in the search engine itself:

A search with site:https://adservice.google.de inurl:ddm/clk/408533097;208818505;l;u=ds

reveals many listings with Heading „Ohne Titel“. The code site: restricts the search to the domain adservice.google.de the code inurl: restricts it to the manipulated entries

The entries cover a range of languages and topics. So these listings will popup on various searches as the target pages have been stuffed with keywords.

The following search reveals an entry a German shopper for light bulbs might come over:

A click on this entry leads via many redirections to a fraudulent target page trying to install adware in the browser.

The link looks like this, the fraudulent target url is visible at the end:

adservice.google.de/ddm/clk/466651624;272226156;i;u=ds&sv1=53318795316&sv2=3240612057770812&sv3=7062085925274305193&gclid=EAIaIQobChMImv_IzI218AIVt4BQBh3qwwtKEAAYASAAEgKV3PD_BwE;%3F//pliczamarindice.tk/8ixtdad13adservicegoogledego4

The redirection chain across four countries can be inspected here:

urlscan.io/result/9da68671-b218-4f7c-bc46-684f5edb0e81

Redirects are often used to count outgoing links e.g. to monitor a newsletter. In this case counting is important because the redirect usually is used in the adserver. But this allows attackers to add their own links to the service, so the following example will lead to the page www.test.de:

http://adservice.google.de/ddm/clk/466651624;272226156;i;u=ds&sv1=53318795316&sv2=3240612057770812&sv3=7062085925274305193&gclid=EAIaIQobChMImv_IzI218AIVt4BQBh3qwwtKEAAYASAAEgKV3PD_BwE;%3F//www.test.de

But why are such links being indexed by the search engines? The fraudsters publish the links on arbitrary third party pages (hacked pages, spammed forums and comments etc.). The search engines find these links and include them into the search engine with the contents of the target page.

This target page uses a „cloaking“ technology: It shows the search engine different content than the user. So the search engine got content for light bulbs, the user gets redirected to a fraudulent page.

Also pages in other countries where google is active are being misused e.g. adservice.google.fr / .nl / .dk / .com and so on.

This vulnerability is already being used by many players. A search with site:adservice.google.com buy shows an entry in the search enginge originating from a fake shop selling fake Louis Vuitton bags.

urlscan.io/result/d813c155-3aad-438d-acdf-b92e93395a7e/

Fixing such issues is usually easy – redirects should at least be secured with a hash value showing that this redirect is wanted by the issuer or by not allowing target urls in plain text or by performing a lookup in the database for allowed targets. However for a huge company like Google it might be more difficult to take immediate action if this mechanism is used productively for ads.

A good message at least: Google follows the security.txt standard. Hereby we knew how to inform Google.

google.de/.well-known/security.txt

This example shows that also huge companies can be effected by the mechanisms researched in the INSPECTION project. We advise you to check your web page that it does not contain open redirects and to establish a security.txt file to get informed in a direct way if something goes wrong.

Beratertagung des Landes Baden-Württemberg

Über einhundert Berater aus Handwerks-Kammern und Fachverbänden waren für eine zweitägige Fortbildung nach Konstanz ins Bodenseeforum gekommen. Der baden-württembergische Handwerkstag ist assoziiertes Mitglied im Forschungsprojekt INSPECTION und hat also schon früh die Relevanz des Projekts für Handwerksbetriebe erkannt. Im Vortrag wurden die Gefahren, aber auch die Chancen der Webseitenhackings gerade auch in der Beratung aufgezeigt,

Das Beratungsangebot der Kammern und Fachverbände ist breit gefächert von Digitalisierungsberatung über wirtschaftliche Beratung, Umweltberatung und IT-Sicherheitsberatung.

Die IT-Sicherheitsbotschafter im Handwerk unterstützen Handwerksbetriebe bei allen IT-Sicherheitsmaßnahmen. Sie kennen ihre Branche und deren Anforderung und liefern pragmatische Lösungen für die IT-Sicherheit.

Die Task Force „IT-Sicherheit in der Wirtschaft“ ist eine Initiative des Bundesministeriums für Wirtschaft und Technologie, die vor allem kleine und mittelständische Unternehmen für IT-Sicherheit sensibilisieren und dabei unterstützen will, die Sicherheit der IT-System zu verbessern.

Im Vortrag von Herrn Feist von der mindUp GmbH ging es darum aufzuzeigen, dass gerade für Handwerksbetriebe das Hacking der Webseite eine sehr reale Gefahr darstellt. Mit vielen Beispielen aus unterschiedlichen Branchen wurde plausibel gemacht, dass es jeden treffen kann und trifft, der eine Webseite als einmaliges Projekt begreift und „vergisst“ durch Sicherheitskopien, regelmäßige Updates und der Vermeidung von Sicherheitslücken Gefahren gering zu halten. Der nächstgelegene akute Hackingfall betraf eine Konstanzer Firma, die nur wenige Hundert Meter vom Veranstaltungsort ihren Sitz hat. Die Webseite dieser Firma ist bereits seit 18 Monaten gehackt und verlinkt vermeintliche Angebote eines Pharma-Fake-Shops.

Neben den Gefahren wurde aber auch aufgezeigt, dass diese Hackingvorfälle auch eine Chance sein können: Für Handwerksbetriebe ist die Webseite in der Regel getrennt vom inneren IT-System, der Schaden für den Geschäftsbetrieb damit bis auf die Rufschädigung und die Haftungsrisiken durch die Verlinkung von missbräuchlichen Drittseiten zunächst gering. Die Chance besteht darin, durch diesen Hackingfall die Thematik IT-Sicherheit Ernst zu nehmen und für die Zukunft Standards zu schaffen.

Verwiesen wurde dabei auf das IT-Grundschutzprofil für Handwerksbetriebe, das gemeinsam vom ZDH und der BSI entwickelt wurde.

Ein agiles Vorgehen stellt der Sec-O-Mat der TISiM (Transferstelle IT-Sicherheit im Mittelstand) dar. Unter https://sec-o-mat.de werden kurze Fragen zur Ausgangssituation gestellt und dann konkrete, schrittweise Handlungsempfehlungen gegeben.

Der neue Beratungsstandard nach DIN SPEC 27076 ist eine dritte Möglichkeit mit geringen Kosten im Thema IT-Sicherheit voranzukommen.

Neben der Chance für Handwerksbetriebe aufgrund solcher Vorfälle die eigene Sicherheitsstrategie aufzubauen, sprach Herr Feist auch die Kammern an: Hackingfälle werden im Projekt normalerweise durch die fortwährende Analyse von Suchmaschinenergebnissen gewonnen. Möglich ist aber auch, Webseiten der Betriebe eines Fachverbands oder einer Kammer proaktiv zu prüfen. Dies wurde beispielsweise schon für den Fachverband Elektro- und Informationstechnik Baden-Württemberg (assoziierter Partner bei INSPECTION), die Handwerkskammer Frankfurt-Rhein-Main und die Handwerkskammer Cottbus durchgeführt.

Ein wesentlicher Vorteil dieser Form der Prüfung liegt darin, dass die gehackten Betriebe dann auch durch Ihre Kammer informiert werden können, anstatt dass der Vorfall z.B. an die Polizei gemeldet wird. Durch die Beraterstruktur kann dem Betrieb dann auch Unterstützung bei der Behebung und Planung der künftigen Sicherheitsstrategie gegeben werden.

Als Nebeneffekte fallen auch Informationen an, wie es um die Datenqualität der der Webseitenverwaltung der Betriebe bei der Kammer steht und es zeigt sich häufig, dass auch noch einfache Thematiken wie das Umstellen der Webseite von http auf https durch die Betriebe akut sind. Und dies hat dann wiederum Relevanz nicht nur für die Sicherheit der Webseite, sondern auch für die Sichtbarkeit des Unternehmens in der Suchmaschine für Kunden und künftige Mitarbeiter.

Interessierte Kammern und Fachverbände können sich gerne an [email protected] wenden, um gemeinsam eine solche kostenlose proaktive Analyse für die eigenen Betriebe durchzuführen.

Poster zur Nationalen Konferenz IT-Sicherheitsforschung akzeptiert

Das Poster „Ihre Website wurde gehackt – Awareness schaffen für ein unsichtbares Problem“ von Anne Hennig, Peter Mayer, und Melanie Volkamer wurde zur Präsentation auf der diesjährgen Nationalen Konferenz IT-Sicherheitsforschung ausgewählt. Das Bundesministerium für Bildung und Forschung veranstaltet diese vom 13. bis 15. März 2023 in Berlin. Die Konferenz steht unter dem Leitmotiv „Die digital vernetzte Gesellschaft stärken“ und dient als Plattform zum Austausch über die gesamte Bandbreite der Forschung im Bereich IT-Sicherheit. 

Download Poster – Ihre Webseite wurde gehackt – Awareness schaffen für ein unsichtbares Problem

Website Redirects im Umfeld von Fake-Webshops und SEO Fraud

Hacking von Webseiten

Grundsätzlich werden sogenannte „Redirects“ dafür verwendet, den Besucher sowie Suchmaschinen-Crawler von einer URL auf eine andere umzuleiten. Redirects sind damit für Websites zunächst ein nützliches Werkzeug, um Aufrufe von Website Besuchern und Crawlern das Auffinden von Inhalten auf der eigenen Webpage zu erleichtern.

Für Redirects gibt es verschiedene Anwendungen, die dem Webmaster ermöglichen, die Aufrufe der Website zu steuern. So werden Redirects in diesem Zusammenhang häufig eingesetzt, wenn sich etwa der Domain-Name geändert hat und Aufrufe für die ursprüngliche Domain auf die neue umgeleitet werden, der Inhalt einiger Seiten aktualisiert wurde und nur noch die aktuelle Seite oder eine bestimmte Seite angezeigt werden soll oder wenn zwei Webpages zusammengeführt werden zu einer neuen.

Die Redirects erhöhen dabei den Komfort für den Benutzer, da Redirects so eingestellt werden können, dass diese ohne Interaktion mit dem Website-Besucher ablaufen und verringern die Wahrscheinlichkeit, dass gewünschter Traffic etwa durch geänderte Domain-Namen verloren geht. Dies gilt natürlich auch für Links, die im Internet auch weiterhin auf die alte Domain zeigen. Hier bewirken Redirects zudem, dass der sogenannte „SEO Link Juice“ auf die neue URL abfärbt und damit die Suchmaschinensichtbarkeit auf die neue Domain übertragen wird. Generell übernehmen die Suchmaschinen mit der Zeit bei permanenten Redirects die SEO Authority für die neue URL.

Was/Welche Formen des Redirects gibt es?

Neben der Möglichkeit einen Redirect über den Registrar oder Website Host einzustellen, können Redirects auch auf Server-Ebene platziert werden. Für den weit verbreiteten Apache Webserver übernimmt dies beispielsweise das Config-File htaccess:

Apache Server

RewriteEngine on
RewriteBase /
RewriteCond %{HTTP_HOST} ^example.com [NC]
RewriteRule ^(.*)$ http://www.example.com/$1 [r=301,L]

Eine dynamische Steuerung der Redirects kann auch über Skriptsprachen wie bspw. php oder Javascript erreicht werden:

PHP

<?php header("Location: http://www.example.com/new-url "); exit();?>

Javascript

<script>window.location.href = "http://www.example.com/new-url/"</script>

Auch hier wird ohne Mitwirkung des Surfers der Aufruf einer Website auf eine andere weitergeleitet.

Wo ist das Problem?

Da die Aufrufe des Redirects ohne die Mitwirkung des Users ablaufen, wird diese Technik auch von Angreifern erfolgreich dazu verwendet, bei gehackten Websites den Website Besucher oder Search Engine Crawler auf eine manipulierte Website weiterzuleiten. Damit gelingt es bspw. Betreibern von Fake Webshops vom SEO Ranking der gekaperten Website zu profitieren und so Netzwerk-Traffic auf manipulierte Websites umzuleiten.

Dabei hat der Internetbenutzer das Risiko bei Einkäufen in Fake Webshops einem Betrug zum Opfer zu fallen oder sich über die manipulierte Webseite Schadsoftware einzufangen. Aber auch der Website Betreiber, dessen gekaperte Seite auf den Fake Webshop verlinkt, läuft Gefahr auf einer Blacklist der Search Engine Betreiber zu landen und damit im Internet für Suchen unsichtbar zu werden. Dies kann gerade bei Geschäftstätigkeiten im E-Commerce Bereich einen gravierenden Schaden für den Webseitenbetreiber darstellen.

Wie werden Redirects festgestellt?

Im Rahmen des INSPECTION Projekts konnten wir verschiedene Redirects feststellen, die von Angreifern platziert wurden, um auf Fake-Shops zu verweisen.

Ein Beispiel einer festgestellten manipulierten .htaccess Website für einen statischen Redirect sieht dabei folgendermaßen aus:

RewriteEngine on
AddHandler x-httpd-php55 .php5
RewriteRule ^pillen/(.*)$ lib/mail/.cache/cache.php5?q=$1 [L]

Hier wurde die reguläre .htaccess Datei um einen Eintrag erweitert, der alle Aufrufe mit dem Begriff „Pillen“ im URL String auf ein php Skript mit dem Namen „cache.php5“ weiterleitet. Das Skript wiederum baut eine Internetseite mit Verlinkungen zu Fake-Shops auf.

Eine deutlich schwieriger festzustellende Form des Redirects stellen dynamische Redirects dar. Hier wird die Ziel URL auf die weitergeleitet werden soll zur Laufzeit aus einzelnen Parametern aufgebaut.

Im folgenden Code-Snippet wird die Funktion „IIPPVOAEg34tsji2n9“ bei (1) über einen dynamische Parameter „$IzgF9rOtJZ0wOe1“ aufgerufen und erstellt den php Code für den Redirect. Der Rückgabewert „$IGe4PXeA42DaRD0“ wird in einer weiteren Funktion (2) dazu verwendet den PHP Redirect anzupassen und über eval bei (3) auszuführen:

(1) $IGe4PXeA42DaRD0 = (IIPPVOAEg34tsji2n9($IzgF9rOtJZ0wOe1, "redirect", "yes")); 
(2) if (stripos("qqq" . $IGe4PXeA42DaRD0, "THIS" . "ISPH" . "PRED" .  "IRECT")) {	$IGe4PXeA42DaRD0 = str_ireplace("THI" . "SIS" . "PHP" . "REDI" . "RECT", "", $IGe4PXeA42DaRD0);
$IGe4PXeA42DaRD0 = str_ireplace("<?php", "", $IGe4PXeA42DaRD0);
$IGe4PXeA42DaRD0 = str_ireplace("?>", "", $IGe4PXeA42DaRD0);
$IGe4PXeA42DaRD0 = str_ireplace("[DEFISKEY]", str_ireplace("-", "+", urldecode($IGe4PXeA42DaRD1)), $IGe4PXeA42DaRD0); 

(3) eval($IGe4PXeA42DaRD0);

Die dynamisch zur Laufzeit erstellte URL wird vom Angreifer gesteuert und leitete bei unserer Untersuchung den Webseitenbenutzer unter (3) auf eine manipulierte Website weiter.

Diese Form des Hackings ist bei manipulierten Webseiten auch deswegen schwer zu analysieren, da der Angreifer für die verwendeten Variablen keine sprechenden Namen verwendet, sondern mit Funktionsnamen wie “ IIPPVOAEg34tsji2n9″ den Code möglichst unleserlich gestaltet.

Was kann ich tun?

Eine Voraussetzung dafür, dass eine Website manipuliert werden kann, um bspw. die Datei .htaccess so zu konfigurieren, dass der Website Besucher auf die manipulierte Seite des Angreifers weitergeleitet wird, ist der Zugriff des Angreifers auf den Webspace. Dafür gibt es verschiedene Möglichkeiten, die über sogenannte Angriffs-Vektoren Schwachstellen eines Systems ausnutzen und einen administrativen Zugriff auf die Website ermöglichen. Hier ist der Betreiber der Website gefordert genau diese Schwachstellen möglichst früh zu erkennen und zu beheben, um einen Angriff über genau diese Angriffsvektoren zu verhindern. Als Beispiel sind schwache Admin Passwörter, die für CMS Systeme verwendet werden, im Verhältnis einfach zu beheben. Schwieriger dagegen ist es, fehlerhafte Software zu erkennen und hier über entsprechende Software-Patches die Sicherheitslücken zu schließen. Software ist nie fehlerfrei, daher ist es die Herausforderung an den Website Betreiber das verwendete System aktuell zu halten, um die bekannten Schwachstellen über vorhandene Patches zu schließen und damit den Angriffsvektor über die zugehörige Schwachstelle zu schließen. Wichtig ist hier alle Softwaremodule die vom Website Betreiber administriert werden, wie CMS, Datenbank, Plugins, Webserver, FTP Server, im Blick und aktuell zu halten.

Nach einem erfolgreichen Angriff müssen die Angriffsspuren festgestellt und beseitigt werden. Eine sog. post-mortem Analyse hilft die „lessons learnt“ zu verarbeiten. Bei der post-mortem Analyse sollte auch betrachtet werden, wie zum einen die Angriffsfläche verringert werden kann, um zukünftige Angriffe zu erschweren. Hier steigert die Resilienz eines Webauftritts gegen Angriffe sicherlich das bereits beschriebene regelmäßige Update von Software. Auf der Seite der Intrusion Detection helfen Security Plugins, die zum einen in der Lage sind die Aktualität von Softwaremodulen festzustellen als auch verdächtige Vorgänge zu detektieren. Damit wird die Widerstandsfähigkeit des Systems gegen Angriffe genauso erhöht wie die Sichtbarkeit des Website Betreibers auf eventuelle verdächtige Vorgänge. Dies verkürzt die Zeit bis Security Incidents festgestellt und behandelt werden können und erhöht damit wesentlich die Sicherheit Ihrer Website und deren Besucher.

BDO AG

Are you hacked ? Please let us contact!

Wie können Webseitenbetreiber erreicht werden, wenn festgestellt wird, dass sie gehackt wurden?

Genau diese Frage fällt unter einen der drei Hauptbestandteile des Forschungsprojekts INSPECTION: Finden, Behandeln, Verhindern.

Bei der Ansprache ergibt sich häufig das Problem der Glaubhaftigkeit, denn über die üblich angebotenen Kontaktmöglichkeiten, wie Kontaktformulare oder info@-Adressen, werden nicht direkt Spezialisten für Security angesprochen, sondern die Botschaft muss erst einmal erfolgreich den Firmenprozess durchwandern und sich gegen alle möglichen Spam-Nachrichten behaupten.

Der .well-known/security.txt Standard

Ein Vorschlag vom IETF unter den sogenannten .well-known Uri´s beschäftigt sich ebenso mit der Frage nach einer besseren Kontaktaufnahme in Sicherheitsfällen.

Das dazu veröffentlichte Dokument RFC 9116 beschreibt den Aufbau, die Lokalisation und weitere wichtige Eigenschaften, welches eine „security.txt“-Datei erfüllen soll und beinhalten kann.

In seiner einfachsten Form enthält das „security.txt“ eine Zeile, welche der bestmöglichen Kontaktaufnahme dient, und eine Zeile, welche das Ablaufdatum der Information enthält.

Contact: security@meine-domaene.de

Expires: 2027-07-07T14:28:42z

Ein Beispiel einer security.txt Datei

Wie häufig wird diese sinnvolle Möglichkeit schon genutzt? Ist sie bei Webmastern schon so bekannt wie die robots.txt oder die sitemap.xml ?

In einer aktuell durchgeführten Suche nach diesen hilfreichen Dateien konnten wir bei 4.145 Domänen, welche wir als gehackt bzw. ehemalig gehackt klassifiziert haben, leider keine Webseite finden, welche eine „security.txt“ besitzt.  D.h. für die Ansprache im Forschungsprojekt INSPECTION gab es keinen Fall bei dem die security.txt bisher hilfreich gewesen wäre.

Etwas besser sieht es bei breiteren Suche von Domänen aus: Bei einer Analyse von 36.000 Domänen vornehmlich aus Deutschland, Österreich und der Schweiz, die im Rahmen des Forschungsprojekts analysiert wurden, war gerade einmal bei 64 eine „security.txt“ abgelegt. Dies entspricht weniger als 0,18% – als Tortendiagramm kaum darstellbar.

Anteil von Webpräsenzen mit security.txt

Für den Erfolg einer schnellen und zielführenden Ansprache ist es wichtig solche Standards zu unterstützen.

Sprechen Sie am besten noch heute Ihren Webmaster an. Den Dateiordner .well-known gibt es bereits auf den meisten Webpräsenzen, da er auch für die Schlüsselverwaltung genutzt wird. Dort lediglich die kleine security.txt Datei anlegen und schon ist man bereit im Falle eines Falles für eine zielführende Information.