Man hat in den letzten Tagen ja schon so Einiges über MEGA gelesen. Das neue Portal von Mr. Dotcom soll der Renner werden und – quasi – als Nachfolger für Megaupload dienen. Kurze Zeit nach der Veröffentlichung wurden bereits XSS-Schwachstellen entdeckt und die Server von MEGA in die Knie gedrückt. Nein, man hat schließlich nicht damit rechnen können, dass sich Unmengen User gleichzeitig in das neue Portal begeben. Egal…
Neben den bereits bekannten Schwachstellen, habe ich heute auch ein nettes Feature in der Registrierung des Portals entdeckt, welches für Spammer und Phisher ein praktisches Werkzeug darstellt. Die Parameter der Registrierung werden nur unzureichend gefiltert und selbst eine “Massenregistrierung” ist problemlos möglich. Es gibt weder eine Captcha-Abfrage, noch eine IP-Sperre oder Ähnliches. Zumindest ist mir auf meinem Streifzug nichts in der Richtung aufgefallen.
Um die Problematik etwas genauer darstellen zu können, habe ich mir kurz ein paar Minuten Zeit genommen und einen Bot programmiert, der die Schwachstelle im System ausnutzen und dadurch massenweise Spam/Phishing-Mails versenden kann. In folgendem Video demonstriere ich, dass dieser Bot sehr einfach arbeitet. Dabei habe ich die Vorgänge etwas verlangsamt, um das Ganze besser sichtbar zu machen. Der MEGA-Bot kann bei Bedarf mit Empfänger-Listen verwendet werden, was für einem Massenversand natürlich praktisch ist. Im Video nutze ich allerdings nur eine einzelne Adresse bei Spambog, um die Funktionalität unter Beweis zu stellen.
Das Video kann man sich auch direkt bei YouTube (zum Video) oder bei Dailymotion (zum Video) ansehen. Wer sich die E-Mails genauer ansehen möchte, kann dies bei Spambog tun: http://www.spambog.com/ Einloggen kann man sich dort mit dem eMail-Alias: “megabot” und der Domain “cust.in“. Ein Passwort wird nicht benötigt. Die E-Mails wurden zwischenzeitlich vom Server entfernt. Im zweiten Video (weiter unten im Beitrag) kann man aber genauer erkennen, welches Potential die Problematik mit sich bringt und wie so eine Nachricht aussehen könnte.
Man sieht bei den empfangenen Nachrichten, dass das Übersenden von eigenem Code möglich wäre (ungefilterte Paramteter) und natürlich auch Links in den Nachrichten problemlos möglich sind. Die Länge der Nachricht ist weder begrenzt, noch wird der Inhalt durch das Formular bei MEGA kontrolliert. Es wäre also problemlos möglich, manipulierte Inhalte mit präparierten Links zu Malware oder infizierten Seiten, sowie zu Formularen zu übersenden. Es lässt sich eine Menge Unsinn damit treiben, darum sollte man bei MEGA vielleicht doch nochmal ein wenig am Portal schrauben.
Hinweis: Nein, den Bot gibt es weder zum Download, noch werde ich genauere Anleitungen hierzu verbreiten. Ich möchte mit dem Beitrag lediglich eine Schwachstelle demonstrieren, die durchaus zu Problemen führen könnte.
Update 22.01.2013:
Da einige Blogger über die Angelegenheit berichten und dabei ein paar Kleinigkeiten unpassend formuliert wurden, möchte ich an der Stelle nochmal ein paar Details klarstellen. Es geht hierbei nicht um eine “Sicherheitslücke” im eigentlichen Sinne, sondern mehr um eine Schwachstelle in der Anwendung. Schwachstelle, weil es eine Funktion im System ist, die eine Schwäche hat – nämlich die Filterung/Abfrage von Eingaben. Das Hauptproblem besteht nicht darin, dass der Massenversand an EINEN Empfänger möglich wird, sondern der Massenversand von Spam- und Phishing-Mails an beliebige Empfänger mit dem Absender “MEGA” möglich ist. Ein Angreifer könnte dieses “Feature” nutzen, um zum Beispiel auch gezieltes Phishing bei Benutzern von “MEGA” zu betreiben. Dabei könnte er als Nachricht eine Aufforderung zur Eingabe von Benutzerdaten übersenden und einen Link einfügen, der zu einem präparierten Formular führt. Da der Absender klar und unverändert als echt erkannt wird, könnten selbst erfahrene User auf das Phishing hereinfallen. Zudem ermöglicht die Schwachstelle natürlich auch eine – quasi – Schnittstelle zum Versand von Spam oder einer Art “Mail-Bombe” auf gezielte Empfänger und dies dann völlig anonym. Wie bereits im Beitrag erwähnt, wäre es auch möglich, direkt Listen mit Empfängern im Bot zu verwenden und die Nachrichten zu personalisieren. Der Ablauf wurde im Bot – für das Video – bewusst verlangsamt, um die Art und Weise der Problematik besser erkennbar zu machen. Es wäre deutlich schneller möglich, eine Masse von Nachrichten über MEGA zu versenden.
Update 23.01.2013:
Hier noch ein Video, welches den Bot im Umgang mit Empfängerlisten und personalisierten Nachrichten demonstriert. Zur Demonstration wurden 4 unterschiedliche Empfänger mit Namen angesprochen. Durch weitere Inhalte wird der eigentliche Text von MEGA komplett aus dem Sichtfeld genommen, so dass der User möglichst keinen Verdacht schöpft, dass es sich hierbei um Phishing handelt. Natürlich könnte man für den mitgeschickten Link auch eine Domain registrieren, die der von MEGA sehr ähnlich ist. Für die Demonstration reicht aber ein einfacher Shortlink über “goo.gl”.
Sollte ich bei MEGA entsprechende Änderungen feststellen, die das Problem beseitigen, werde ich natürlich ein weiteres Update zur Angelegenheit schreiben. Die Betreiber wurden bereits informiert. Ich gehe davon aus, dass man sich die Sache bei Gelegenheit genauer ansehen wird.
10 Kommentare
Genervt
21.01.2013 - 21:39 Uhr
Guter Fund.
Aber das Video ist leider MEGA nervig.
Bitte, bitte, achte bein nächsten Video auf ein paar grundlegende Sachen:
a) den ganzen Bildschirm verwenden, nicht nur ein Minifenster
b) Wenn Text wichtig ist (wie am Anfang des Videos) reinzoomen, damit er lesbar wird.
c) den Mauszeiger ruhig halten oder aus dem Bild entfernen, wenn er nicht wichtig ist. Kein wildes herumtanzen, das nervt und lenkt ab.
Und für Fortgeschrittene:
d) Wartezeiten herausschneiden
e) Erklärung statt Lärm
Heiko Frenzel
21.01.2013 - 23:42 Uhr
Danke für die Kritik. Das Video ist nur ein Mittel zum Zweck und kein Meisterwerk. Hier geht es schließlich nicht um Entertainment, sondern um die Sicherheitsproblematik an sich. Aufgenommen wurde der Bot in der Größe, weil er nicht größer ist. Wenn man sich das Video in HD und Vollbild ansieht, sollte der Text aber klar lesbar sein. Wartezeiten werden bewusst nicht geschnitten und die Musik gehört hier zum Inventar. ;o)
ijon
22.01.2013 - 16:32 Uhr
Wurde der Quellcodes des Bots an MEGA vor der Veröffentlichung übermittelt und die Sicherheitslücke mitgeteilt?
Heiko Frenzel
22.01.2013 - 23:26 Uhr
Wieso bitte, sollte man den Quellcode des Bots an MEGA übermitteln?
ijon
23.01.2013 - 12:26 Uhr
Weil es bei dem Finden einer Sicherheitslücke nicht darum geht, dass man denjenigen, der die Lücke zu verantworten hat, in den Dreck zieht, sondern es geht viel mehr darum dafür zu sorgen, dass die Sicherheitslücke schnell gefixt wird.
Deswegen gibt es den Term “Responsible Disclosure”, das heisst im Prinzip, dass man dem Verantwortlichen die Gelegenheit gibt, den Bug zu fixen, bevor man damit an die Öffentlichkeit geht und größeren Schaden anrichtet.
http://en.wikipedia.org/wiki/Responsible_disclosure
Hier findet du mehr Informationen.
Als Hacker hat man Macht. Große Macht bedeutet große Verantwortung. Mit der Tatsache, dass du lieber erstmal öffentlich den Betreiber niedermachst, anstatt ihn zu informieren und vll sogar zu assistieren beim beheben der Sicherheitslücke hast du andere Blackhats motiviert die Lücke auszunutzen und damit das weltweite SPAM-Aufkommen weiter zu erhöhen.
Die Lücke zu publizieren und den Verursache in den Dreck zu ziehen ist die letzte Möglichkeit, wenn der Verursacher auf Hinweise zu der Sicherheitslücke nicht reagiert. Im übrigen bezahlen manche “Verursacher” diejenigen, die sich bei ihnen melden und sicherheitslücken mitteilen, ohne sie zu veröffentlichen. Manchmal fliessen da auch mehrere 10.000€ als Belohnung.
Dies Geld wird dir Kim wohl jetzt nicht mehr geben.
Heiko Frenzel
23.01.2013 - 12:50 Uhr
Du solltest wissen, dass etwa 90% der aufgedeckten Schwachstellen bzw. Informationen hierzu, nie öffentlich dargestellt werden. In den letzten Jahren wurden unzählige Sicherheitslücken gemeldet und teilweise gemeinsam mit den Betreibern geschlossen – in der Regel ohne jegliche Gegenleistung. Dabei wurden hunderte Millionen Benutzer- und Kundendaten geschützt.
Angenommen die Schwachstelle bei MEGA hätte den Umfang einer SQL Injection, LFI oder ein ähnlich hohes Risiko (direkter Zugriff auf sensible Daten oder höhere Ebenen), so wäre dies sicherlich nicht in einem Beitrag erschienen. Meist wird bei höchst kritischen Sicherheitslücken über viele Monate gewartet, bis überhaupt eine Berichterstattung erfolgt. Ob über Schwachstellen berichtet wird, ist ohnehin immer eine Entscheidung im Einzelfall. Es gäbe durchaus Fälle, die für Öffentlichkeit sicherlich ein großes Interesse bedeuten würden, die Gefahr eines Angriffs jedoch zu groß wäre, um über das Versagen der Betreiber zu berichten.
Bei der beschrieben Problematik in Sachen “MEGA”, handelt es sich nicht um eine direkte Sicherheitslücke, die unmittelbar zum “digitalen Einbruch” beim Betreiber führen kann. Von daher sehe ich die Berichterstattung als nicht hochgradig gefährlich. Anders empfinde ich es bei aktuellen Diskussionen über das Knacken der Verschlüsselung oder von Passwörtern der User. Das wäre zum Beispiel eine Sache, die ich nicht direkt an die Öffentlichkeit dringen lassen würde.
Abgesehen davon kann ich dir versichern, dass nur in den seltensten Fällen Prämien für aufgedeckte Schwachstellen bezahlt werden. Das ist auch nicht vorrangiger Sinn der Sache. Verantwortliche neigen eher zum Versuch, einen Hinweisgeber mit Drohungen einzuschüchtern, als auch nur ein “Dankeschön” auszusprechen. Ich kann dir da pauschal mehrere Hundert Fälle nennen. Das “Schweigegeld” würde mich ohnehin nicht interessieren.
Nörgel
22.01.2013 - 19:00 Uhr
Macro Recorder oder was?
Was meinste eigentlich warum da neben MEGA das Wort BETA steht?
Haste deine Entdeckung wenigstens mal gemeldet…
Vielen Dank für die Info
Es wird nachgebessert.
Heiko Frenzel
22.01.2013 - 23:28 Uhr
Was tut das “BETA” denn zur Sache? Weil es eine Anwendung mit BETA-Status ist, darf man nicht über mögliche Sicherheitsprobleme und Fehler berichten? Ja, die Entdeckung wurde an den Support versendet.
Artozeyk
23.01.2013 - 00:22 Uhr
Maximal zulässige Stellen beim Usernamen begrenzen und schon ist die Sache Geschichte?
Trotzdem ziemlich dämlich, dass komplette Absätze im Username überhaupt erst zugelassen wurden.
semiogeny
23.01.2013 - 12:11 Uhr
Gutes Video, hoffentlich fixt Kimble das bald ..
Eine Frage hätte ich: mit welcher Sprache hast du diesen Bot realisiert?
Ich will keine Anleitung oder ähnliches, sondern einfach nur wissen mit welcher Sprache ;)