Tech

Hack oder Leak: Mossack Fonsecas Sicherheitsstandards sind unterirdisch

Ein uraltes, als notorisch unsicher bekanntes WordPress-Plugin im Kundenportal der Kanzlei lässt sich kinderleicht ausnutzen. Und das ist nur der Anfang.
8.4.16
Bild: Screenshot Mossack Fonseca

„Ihre Informationen waren noch nie so sicher wie bei Mossack Fonsecas sicherem Kundenportal". Kein Witz, das steht wirklich auf dem Website-Teil der Anwaltskanzlei, auf dem die Kunden Dokumente hochladen konnten.

Ob die Panama Papers gezielt gestohlen wurden oder durch einen Hack ans Licht kamen, wissen wir noch nicht. Es gibt zumindest einige Indizien, die Letzteres nahelegen (die Kanzlei behauptet auch selbst, gehackt worden zu sein, und hat Anzeige wegen Datendiestahls gegen Unbekannt erstattet). Sicher ist mittlerweile, dass Mossack Fonseca unterirdische Sicherheitstandards für so sensible Kunden und Geschäfte verwendete.

Sollten alle Panama Papers öffentlich sein?

Eine der Sicherheitslücken, die Hackern Tür und Tor öffnen könnten, ist das Word-Press-Plugin Revolution Slider. Ein Slider ist ein Element auf einer Website, das mehrere Bilder in ein und demselben Rahmen durchwechseln kann. Das Plugin Revolution Slider ist jedoch auch notorisch bekannt für seine Sicherheitslücken. Insbesondere in älteren Versionen ist der in vielen Wordpress-Themes vorinstallierte Revolution Slider anfällig für Angriffe. Ein Link verrät, dass Mossack Fonseca entweder eine vorsteinzeitliche (und damit extrem anfällige) Version des WordPress-Sliders benutzt hat, oder vergessen hat, die Logfiles mit upzudaten, was sehr unwahrscheinlich ist.

In einem Artikel im Unternehmensblog des Sicherheitstools WordFence demonstriert der Autor „mark", wie einfach sich das Plugin ausnutzen lässt, um auf den Server einer Website zuzugreifen.

Selbst eine Blogging-Plattform wie Wordpress kann gefährlich werden, wenn man faul ist.

Dafür lud er sich ein Jahre altes Perl-Script von einer Datenbank zur Ausnutzung von Sicherheitslücken namens ExploitsDB herunter. In diesem Skript gibt man an, welche auf WordPress laufende Website man über das Plugin Revolution Slider angreifen will—den Rest erledigt das Skript und lädt den gewünschten Code auf den ungeschützten Rechner, um dem Angreifer Zugriff auf Dateien zu verschaffen.

Jeder unauthorisierte Nutzer kann damit eine Zip-Datei mit einem PHP-Quellcode—die sogenannte Shell—direkt in einen temporäreren Ordner innerhalb des Revolution-Slider-Plugins laden. (Eine Shell ist die Software oder Kommandozeile, die Benutzer und Computer verbindet und mit der man beispielsweise Systemkomponenten bedienen kann.)

Das funktioniert, solange die Versionen 3.0.95 oder älter in Benutzung sind—sie alle sind anfällig für den unauthorisierten Fern-Upload von Dateien. Mossack Fonseca hatte offensichtlich Wichtigeres zu tun, als sich um regelmäßige manuelle Updates zu kümmern und verließ sich auf eine völlig veraltete Version. Wie Wordfence zeigt, ist selbst die neueste Wordpress-Version in Kombination mit dem Revolution Slider-Plugin noch angreifbar.

Forbes fand zudem heraus, dass die Firma eine drei Monate alte Version von WordPress auf der Seite laufen hat. Schlimmer noch ist allerdings das Problem auf dem Kundenportal, das auf der uralten Drupal-Version 7.23, läuft, welche seit über drei Jahren als veraltet gilt. Über 25 Sicherheitslücken sind bereits bekannt. Da ist es schon fast keine Überraschung mehr, dass E-Mails an die Kunden ebenfalls nicht verschlüsselt wurden.

Wordfence hat die Anwaltskanzlei kontaktiert und sie aus Kulanz auf die Sicherheitslücke hingewiesen (wobei es nach dem massiven Leak nicht mehr allzu viele Dokumente geben dürfte, die die Kanzlei noch unter Verschluss halten würde). Mossack Fonseca hat bislang nicht reagiert, scheint aber seine Systeme mittlerweile upgedatet zu haben.

Aber die Frage bleibt: Warum würde eine so geheimniskrämerische Organisation, die potentiell gefährliche Daten für ihre Kunden handhabt, ihre Wordpress-Server nicht von ihren Kundendaten-Servern isolieren? Natürlich würde eine direkte Zugangsmöglichkeit auf Kundendaten ohne Authentifizierung von einem katastrophalen Sicherheitsverständnis zeugen.

Die Information über das alte Plugin als mögliche kritische Schwachstelle, die letztlich zum Leak geführt habe, ist trotz alledem mit Vorsicht zu genießen—Wordfence ist ein kostenpflichtiges Produkt, das vermeintlich die Lösung für dieserlei Wordpress-Sicherheitslücken darstellt.

Weiterhin ist nicht klar, ob die panamaische Anwaltskanzlei den Wordpress-Server und den Server, auf dem die Kundendaten lagen, wirklich nicht voneinander getrennt hat. Ob das der Fall war, beantwortet der Wordfence-Artikel jedenfalls nicht. Er spricht nur von einem IP-Bereich, der eine solche Schlampigkeit nahe legt.

„Wenn irgendwie möglich, würde ich es vermeiden, irgendein System mit den Panama-Daten mit dem Internet zu verbinden."

Was wiederum eine weitere Frage aufwirft, die jeden Benutzer von Wordpress betrifft: Warum updaten sich Wordpress-Plugins eigentlich nicht automatisch? Wie auch immer—es scheint, als sei der Leak die erste zumindest für die Öffentlichkeit relevante Vorteil, der jemals aus einer Wordpress-Sicherheitslücke entstanden ist.

Interessant ist auch, wo die 2,6 Terabyte Daten eigentlich jetzt lagern: Nachdem alle Dokumente, Bilder und Mails zunächst auf mit dem Verschlüsselungsprogramm VeraCrypt ausgestatteten Festplatten (in einem verschlüsselten Container, der sich in einem verschlüsselten Container befand) bewegt wurden, luden sie die Reporter noch einmal in eine Amazon-Cloud hoch—sie liegen also faktisch in den USA. Auf die Cloud kann über eine URL jeder zugreifen, der das entsprechende Passwort hat.

Und was für die geleakten Daten gilt, gilt natürlich auch für die ursprünglich bei der Anwaltskanzlei gespeicherten Dokumente:

„Wenn irgendwie möglich, würde ich es vermeiden, irgendein System mit den Panama-Daten mit dem Internet zu verbinden", sagte der Whitehat-Hacker Steve Lord gegenüber Forbes. „Es gibt eine Menge Leute, die diese Daten haben wollen."

Derweil scheint Mossack Fonseca von all dem Abschöpfen der riesigen Datenmengen von ihren Servern überhaupt nichts mitbekommen zu haben. Am 1. April 2016 teilte die Kanzlei ihren Kunden per E-Mail mit, dass sie einen Hack ihrer E-Mail-Server untersuchten.