Tech

Hacker packt Sachsens Innenminister und Pac-Man auf die Interpol-Fahndungsliste

Die Idee, eine Sicherheitslücke auf der Website der größten Ermittlungsbehörde der Welt auszunutzen, kam ihm “in der Badewanne”.
07 Juli 2016, 5:00am
Bild: Screenshot/Matthias Ungethüm

Der Hacker Matthias Ungethüm hat den sächsischen Innenminister Markus Ulbig auf die Fahndungsliste von Interpol gesetzt. Fast eine Woche prangte Ulbigs Konterfei auf der Interpol-Liste für international gesuchte Verbrecher, neben Terroristen, Menschenhändler und Sexualstraftätern. „Gesucht von den deutschen Strafverfolgungsbehörden", stand in Großbuchstaben über Ulbigs Täterprofil, seine vermeintliche Tat: „Versuchte Massenüberwachung von 55 000 Mobiltelefonen und Sammeln von mehr als einer Million Verbindungsdaten."

Bereits am 30. Mai informierte der IT-Experte und Hacker, der sich unter anderem auf Penetrationstests großer Webseiten spezialisiert hat, laut eigener Auskunft das Interpol-Hauptquartier in Paris über die Attacke. Doch erst nach Medienberichten von heute Vormittag reagierte die IT-Abteilung der Polizeibehörde und schloss die Sicherheitslücke. Tatsächlich prangte das Politiker-Konterfei erstaunlich lange auf der Interpol-Website, ohne dass es überhaupt jemanden interessierte.

Besonders schwer fiel Ungethüm der Angriff nicht, es habe maximal „einen halben Tag gedauert, um den betroffenen Angriffspunkt nutzbar zu machen", erklärt er gegenüber Motherboard. Der MoPo24 sagte er, die Idee dazu sei ihm „in der Badewanne gekommen."

Matthias Ungethüm ist ein Hacker aus dem sächsischen Geringswalde, der bereits mit spektakulären Hacks auf sich aufmerksam machte: Unter anderem hatten schon die Server des FBI, der NSA, von T-Online und Facebook virtuellen Besuch des Geringswalder Computerexperten. 2015 hackte er einen Hackerwettbewerb des britischen Geheimdienstes GCHQ, der mit komplizierten Tech-Spielen die Spione von Morgen rekrutieren wollte. Er fände „die Spiele langweilig, die Sicherheitslücken des GCHQ deutlich spannender", kommentierte er damals seine Aktion.

Bild: Screenshot/Matthias Ungethüm

Der Angriff auf den Interpol-Server funktionierte über so genanntes Cross Site Scripting: Dabei wird nicht die Originalseite gehackt, sondern lediglich ein Zusatz in der Adresszeile des Browsers hinzugeskriptet. Die verlängerte Adresse kann als Link über Social Media verbreitet oder via E-Mail verschickt werden, was den zusätzlichen Vorteil hat, dass der Adresszusatz in Hyperlink-Form nicht auffällt. Das Ergebnis des Hacks können nur diejenigen User sehen, die über die Linkverlängerung auf die Website gelangen, nicht aber die surfende Laufkundschaft, die etwa über die Suchmaschine auf die Seite zugreift.

Ungethüm zufolge sei der Hack überhaupt nur möglich, weil der Interpol-Server die ihm zugesandten Links nicht hinreichend kontrolliere. Warum die internationale Polizeiorganisation ihre Fahndungsliste Hackern so leichtsinnig auf dem Silbertablett serviert, verwundert auch Ungethüm. Gegenüber Motherboard sagte der Whitehat-Hacker, dass die Lücke ohne die mediale Aufmerksamkeit wohl nie geschlossen worden wäre. Den Interpolisten sind die Nutzer und deren Sicherheit „offenbar leider egal, wie bei vielen größeren Einrichtungen", so Ungethüm.

Bild: Screenshot/Matthias Ungethüm

Neben dem sächsischen Innenminister schmuggelte Ungethüm auch ein Profil von sich selbst sowie das Bild des international gefürchteten Pillenfressers Pac-Man (Vorname: Pac, Nachname: Man, Geschlecht: Unbekannt) auf die Fahndungsliste. Pac-Man wurde knapp sieben Tage von den US-amerikanischen Behörden gesucht aufgrund „illegalem Vernachlässigen der 8-Bit-Umgebung in Level 256." Level 256 gilt in der Gaming-Szene als unschaffbar, da die 8-Bit-Grafik versagt.

Ob sein durchaus nett gemeinte Interpol-Angriff dazu führen wird, die Server der Weltpolizisten künftig sicherer zumachen, glaubt er indes nicht. „Aus Erfahrung kann ich sagen, dass es auch in Zukunft neue Schwachstellen auf der Interpol-Seite geben wird. Es wird nur ein bisschen dauern, vielleicht ein paar Wochen oder Monate oder ein Jahr."

Anzeige