TÜV SÜD Prüfsiegel & die bösen Sicherheitslücken
oder: Sicherheitslücken in Audible.de, Borromedien.de, ReifenDirekt.de, weg.de und safer-shopping.de
Anmerkung: Diese Story ist nicht als Eigenwerbung gedacht, und es würde mir sehr leid tun, wenn es so rüberkommt. Die ganze Sache hat mich rein privat verfolgt und ich beschloss mal einen Blick drauf zu werfen!
Als ich heute Mittag auf Fefe’s Blog über den Libri-Datenskandal im Bezug auf das Homepage-Sicherheitssigel des TÜV SÜD gelesen habe, war für mich eines sofort klar:
Mein Softwareprojekt wird an diesem Freitagmittag keine großen Sprünge mehr machen, und ich werde diesem ominösen, aber auch sehr seriös anmutenden Sicherheitssiegel auf den Zahn fühlen!
Gesagt, getan. Die Homepage des TÜV SÜD zu diesem lukrativen Geschäftsfeld zeigt ein mit McAfee SECURE – vormals HackerSafe – vergleichbares Geschäftskonzept auf: Man zahle für eine Sicherheitsüberprüfung der Homepage, dann darf man sich mit einem kleinen Bild schmücken das Sicherheit suggeriert.
Schon bei HackerSafe gab es harsche Kritik wegen der allzu bereitwilligen Vergabe des Prädikats “Dies ist eine sichere Webseite, gib uns all deine Daten”, und die wird es nach Lektüre dieses Beitrags verdientermaßen auch beim TÜV SÜD geben.
.. also nahm ich kurzfristig einige Stichproben aus den Referenzkunden unter die Lupe; ein kurzer Test auf XSS und SQL-Injection, das übliche eben.
Auf der Hälfte der von mir “überprüften” Seiten existieren Sicherheitslücken.
- Audible.de
- Borromedien.de
- ReifenDirekt.de
- weg.de
- .. und sogar auf safer-shopping.de, der TÜV-eigenen Seite !!!
Welche Art von Sicherheitslücken?
Die Sicherheitslücken wurden durch Screenshots dokumentiert, um die angesprochenen Webseiten nicht in Verlegenheit zu bringen. Sie sind aber allesamt auch von einem 16jährigen mit etwas Fleiß auffindbar. Und auch wenn es sich nur um Cross-Site Scripting (XSS) handelt, kann man damit von Session-Hijacking über Phishing bis zu einem XSS-Wurm viele lustige Sachen machen. Vor allem mit einem vertrauenserweckenden
https://in der Adresse!
Audible.de Sicherheitslücke
Audible.de Sicherheitslücke: Die Banane tanzt.
Auf Audible.de ist das TÜV SÜD Sicherheitssiegel ziemlich versteckt am Rand der Homepage unten links angebracht. Die Seite erscheint auch sehr solide, jedenfalls bis man sich etwas tiefer in die Archive eingräbt, und sie funktioniert auch mit einem https:// am Anfang der URL. Feine Sache!
Borromedien.de Sicherheitslücke
Borromedien XSS Sicherheitslücke
Ein weiter Bücherversand, von dem ich vorher noch nie gehört habe. Das TÜV-Siegel ist eindrucksvoll unter dem Login-Feld angebracht, und in dessen direktem Umfeld tritt ironischerweise eine Cross-Site Scripting Lücke auf. Ich hätte gerne ein schöneres Fundstück auf Borromedien präsentiert, aber der Programmierer hat scheinbar einen Sinn für Humor!
ReifenDirekt.de / delti.com Sicherheitslücke
ReifenDirekt.de Sicherheitslücke mit SSL-Unterstützung. Auf die Sache mit der Banane bin ich immernoch stolz!
Reifendirekt.de ist ein sehr guter und auch preiswerter Reifenversand, ich habe dort letzt erst Sommerreifen gekauft. Leider läuft die ganze Seite über https://, und da macht sich eine XSS-Lücke leider nicht gut. Das TÜV-Siegel haben sie zum Glück aber schon mal in Richtung Seitenende verschoben. Die Lücke gibts umsonst 
weg.de Sicherheitslücke
weg.de Sicherheitslücke, wenn auch nur auf optionaler Domain. Banana's still dancing!
Weg.de hat es schon ein bisschen schwerer gemacht. Aber es ist natürlich logisch dass Benutzerinput gut gefiltert wird, wenn die Software den ganzen Tag Suchanfragen nach nettem Urlaub parsen muss.
Das ist nun nicht ganz weg.de sondern cardelmar.de, aber afaik benutzen die nur eine eigene Domain für eine bestimmte Urlaubskategorie. Auf ein paar anderen zur Seite gehörenden Domains bröckelt es auch ein bisschen..
TÜV SÜD (safer-shopping.de) Sicherheitslücke
Safer-Shopping.de Sicherheitslücke (TÜV SÜD). Jetzt hat sich die Banane eingebrannt, nicht wahr?
.. last but not least gibt es auf der Sicherheits-Homepage des TÜV SÜD eine nette Sicherheitslücke. Mit SSL.
Damit verliert die ganze Sache mit dem Sicherheitssiegel leider enorm an Glaubwürdigkeit, wenn der einzige Punkt im Programm, an dem ein String als Parameter akzeptiert wird die Filterung nicht richtig hinbekommt.
Dies sind die Momente, die das Leben wieder lebenswert machen
Fazit
Bis auf große Versicherungsgesellschaften wie AXA, HanseMerkur und Karstadt-Quelle Versicherungen, sind die vom TÜV SÜD für besondere Homepagesicherheit zertifizierten Webshops kein Deut sicherer als andere Seiten.
Selbst ohne Benutzerkonto präsentieren sie bösartigen Personen genügend Angriffsfläche für allerlei Sachen die am Ende die Kunden ausbaden müssen. Unter einer Sicherheitszertifizierung hätte ich mir zumindest einen groben Penetrationtest vorgestellt, der bei den aufgezeigten Homepages mit großer Wahrscheinlichkeit nicht durchgeführt wurde, da selbst ein Wald-und-Wiesen-Hacker wie ich Erfolg hatte.
Zum Nachdenken: Für diesen Report habe ich inkl. Artikelschreiben ca. 3 Stunden benötigt, für ein kommerzielles Siegel kann man doch wohl einen Studenten kurz drüberschauen lassen, oder?
Anmerkungen
Falls Sie mit einer der angesprochenen Webseiten etwas am Hut haben, so schreiben sie mich an und ich zeige ihnen gerne den genauen Ort der Sicherheitslücken, damit die Sache möglichst schnell aus der Welt geschafft ist. Kontaktmöglichkeiten siehe Impressum.
EDIT: Da ich jetzt schon darauf angesprochen wurde: Ja, die Sicherheitslücken wurden den jeweiligen Homepages natürlich sofort auf verschiedenen Wegen mitgeteilt. Mit dem Aufruf zur Kontaktaufnahme in diesem Blogpost wollte ich nur die Sysadmins erreichen, die man eher auf Heise als im Kundensupport findet. Wenn ein Unternehmen erstmal die Alexa-5000 “Schallmauer” durchbrochen hat, dann dauert es manchmal länger, bis das Supportticket den richtigen Bearbeiter findet, als wenn der IT-ler eines Unternehmens die Sache sowieso in den News liest und sich nicht an mich herantraut.
Falls jemandem von den Quadratwurzeln meine 2 Cents gefallen hat so möge er sich doch bitte bei mir melden. Schon erledigt, dankeschön!
Alle Rechtschreibfehler dürfen behalten werden, ich genieße ab sofort meinen Freitag Abend!
Did you enjoy this post? Why not leave a comment below and continue the conversation, or subscribe to my feed and get articles like this delivered automatically to your feed reader.
Comments
ich lese oben “Dies sind die Momente, die das Leben wieder lebenswert machen”…..betonung auf “wieder”. Na wenigstens ein highlight in deinem leben
Sehr schön, aber Du kratzt nur an der Oberfläche. Genauso leicht wie sich XSS finden läßt, läßt es sich auch vermeiden.
Die eigentliche Frage ist aber, warum überhaupt Lücken entstehen können. Da setzt das TÜV-Siegel mit einer “extremely-light”, sozusagen “Security-ZERO”-Anforderung aus der ISO27001 (etc) an – es soll ein Sicherheitskonzept geben. Super.
Aus meiner bescheidenen Erfahrung weiß ich nun zu berichten, daß dort das eigentliche Problem ist. Wenn Sicherheit “vom Management” als “Problem” wahrgenommen wird (weil der Dienst dann komplizierter wird), dann – hat man bald Probleme.
wenn du schon die Lücke unkenntlich machst, dann mach es doch richtig. Man kommt viel zu einfach drauf, wie es geht. Trotzdem gut geforscht.
schönen Gruß
Nico
Dankeschön für die netten Kommentare!
@Nico: Ja, aber irgendwo muss man ja anfangen mit dem unkenntlichmachen. Wenn jemand “vom Fach” weiß, dass sich die Suche nach einer Lücke lohnt dann wird er sie wohl auch finden
@Alex: Ein weiteres Problem ist die starke Veränderung einer Homepage in der Zeit zwischen den jährlichen TÜV-Prüfungen. Darauf kann natürlich unmöglich jedesmal jemand von den IT-Sicherheitsleuten des TÜV einen Blick drauf werfen, wenn beim Kunden neuer Code deployed wird.
@Lonesome Walker: Haha, vielen Dank ich werde ein Auge drauf werfen!
@kiddie2: .. frei nach dem Motto IMMD, abgewandelt von YMMD. 
)
Habe auch bereits die Erfahrung gemacht, das sehr viele (auch große) Seiten anfällig für XSS sind.
Je nach dem wie sauber gearbeitet wurde ist es aber sehr aufwänidg alle Lücken zu finden und zu schließen.
Eine sehr brauchbare, praxisnahe, und unkomplizierte Lösung kann da PHPIDS bieten (http://php-ids.org/). Vor allem ist es auch recht einfach in bereits existierende Systeme einzubinden.
*sehrbreitgrins*
Daß das TÜV-Siegel und auch die vielen anderen Zertifizierungen was für die Management-Abteilungen sind, ist doch spätestens ab dem Zeitpunkt klar, ab dem gewisse TÜV-Stellen sogar damit werben, sich selbst zu verkaufen.
Beweise?
service-tested.de/tuev-pruefsiegel/
Somit konnte sich auch ein namhaftes Inkasso-Unternehmen so ein Ding zwecks “geprüftem Inkasso” auf die Seite kleben, und nebenher dennoch fleißig für Abzockseiten wie downcenter.de und Co. das Geld eintreiben…
Und Sicherheitslücken auf schlecht umgesetzten, weil von unterbezahlten Programmierern erschaffenen Portalen zu finden, da solltest Du auch mal beim Korinthenkacker vorbeigucken (guck ma in meine Blogroll, der hat da eine eigene Rubrik dafür; war auch schon die Telekom zu Gast ^^ )…