Ungethüm hackt FBI-Website
Von Michael Voß · 09.04.2015
Ein Netzexperte aus Sachsen hat auf der FBI-Homepage eine gravierende Sicherheitslücke entdeckt. Dem Hacker Matthias Ungethüm gelang es im Beisein eines MD-Reporters, Fotos und Texte bestehender FBI-Seiten auszutauschen.
Matthias Ungethüm aus Geringswalde sitzt im Wohnzimmer vor dem Laptop und freut sich. Auf der Internet-Fahndungsliste der US-Bundespolizei FBI sind sein Gesicht und sein Name auf der Liste der Top Ten - der meistgesuchten Verbrecher - zu finden. Nein, dazu gehört er wirklich nicht. Er hat die Homepage des FBI zwar manipuliert, doch will er damit auf eine schwere Sicherheitslücke hinweisen:
"Also, was ich jetzt gemacht habe, ist ja eigentlich nur eine Spielerei. Schlimm wird es dann aber, wenn man es probiert, das, ich sag jetzt mal, ernsthaft rüberzubringen. Schadcode verteilen ist auf jeden Fall eine der ersten Sachen, die dabei machbar sind, weil das FBI zumindest für die meisten Leute – wenn sie jetzt nicht gerade selbst als Straftäter betroffen sind – eine ziemlich vertrauenswürdige Sache ist."
"Also, was ich jetzt gemacht habe, ist ja eigentlich nur eine Spielerei. Schlimm wird es dann aber, wenn man es probiert, das, ich sag jetzt mal, ernsthaft rüberzubringen. Schadcode verteilen ist auf jeden Fall eine der ersten Sachen, die dabei machbar sind, weil das FBI zumindest für die meisten Leute – wenn sie jetzt nicht gerade selbst als Straftäter betroffen sind – eine ziemlich vertrauenswürdige Sache ist."
In der Tat zeigt der Internet-Browser trotz der Manipulation an, dass diese gefälschte Seite zum Internetangebot des FBI gehört. Selbst Fachleute dürften nicht sofort erkennen, dass hier etwas faul ist. Statt der spielerisch ausgetauschten Fotos und Texte wäre es beispielsweise möglich angebliche Virenschutzprogramme anzubieten. Diese könnten dann in Wahrheit selbst Computer-Viren enthalten.
Jeder Hacker hat seinen Trick, wie er solche Manipulationen durchführt. Matthias Ungethüm nutzt dazu den sogenannten Link, der einen Nutzer auf eine Homepage führt. Er hat ihn verändert und Befehle für den FBI-Server untergebracht – in Fachkreisen nennt sich das Cross-Site-Scripting: "Ich sende eine schon manipulierte Anfrage hin und dadurch kann ich festlegen, was als Antwort kommt", erklärt Matthias Ungethüm.
Sicherheitslücke macht Fehlinformationen und Schadsoftware möglich
Die Veränderung auf der FBI-Homepage ist also nur für Nutzer sichtbar, die diesen manipulierten Link erhalten und anklicken. Doch ließe sich so ein Link ohne weiteres mit einer Massen-E-Mail verschicken, die vorgibt, vom FBI zu stammen – ein angeblicher Service der Bundespolizei.
Und auf diese Art ließen sich auch im Namen des FBI Falschinformationen streuen. Ungethüm erklärt: "Die ganz normalen News zum Terrorismus könnte man schlichtweg ändern und Leuten dann irgendwelchen Quatsch vorgauckeln." Ungethüm hat das FBI am 15. März über die Sicherheitslücke informiert. Seine E-Mail liegt dem MDR vor - doch die Lücke ist noch offen, und der Hacker wartet noch immer auf eine Antwort.
