Egger hackt Webseiten der Kapo Zürich und Bern

Update (5. Januar 2008 – 22:50 Uhr): Die Sicherheitslücke bei der Kapo Zürich wurde mittlerweile geschlossen. Die Kapo Bern braucht wohl noch einen Moment. Wahrscheinlich feiern deren Informatiker, wie meine Wiener, Arbeitskollegen morgen die heligen drei Könige und haben darum eine Brücke gemacht 😉

Auf das neue Jahr hin sind die Eggers unter die Hacker gegangen. Nachdem der «Hack» auf die Kapo Zürich und Kapo Bern einen solchen medialen Wirbel verursacht hat, haben wir uns gedacht die Methode ebenfalls einzusetzen um Werbung für unsere Seite zu machen.

Hier also Screenshots der von uns gehackten Webseiten der Kantonspolizei Zürich und Bern.

Eggers Beweisbild des Kapo ZH Hacks
Eggers Beweisbild des Kapo ZH Hacks

Eggers Beweisbild des Kapo BE Hacks
Eggers Beweisbild des Kapo BE Hacks

Und zum Beweis, dass es sich um keine Fotomontage handelt, finden sich hier direkt die Links zu den gehackten Webseiten:

Link zur gehackten Webseite der Kantonspolizei Zürich
Link zur gehackten Webseite der Kantonspolizei Bern

Ich hoffe die tagelangen Recherchen, stundenlangen Diskussionen mit angetrunkenen Hackern und das bezahlen einiger tausender hat sich gelohnt und unsere Webseite schnellt nun medial in andere Hemisphären.

Wie immer wird auch hier das Gericht nicht so heiss serviert wie es gekocht wurde. Sprich, ich wollte mit dieser Aktion nur darauf hinweisen, wie «blindlings» sich die Medien auf solche Meldungen stürzen und einfach irgendwas abdrucken.

Meine Kritik richtet sich hier speziell an Manuel Bühlmann von 20min, da verschiedene andere Verlage auf seinen Artikel verweisen. So schreibt er in seinem Artikel auf 20 Minuten:

Zurzeit machen die Kapo Bern und Kapo Zürich unfreiwillig Werbung für die IT-Cracks vom Chaos Computer Club. [..] sie sind auch auf die Websites der Kantonspolizei Zürich, bzw. Bern eingedrungen. Beide Seiten haben sie klammheimlich mit ihrem Logo des Chaos Communication Congress (25C3) markiert.

Lieber Herr Bühlmann. Von einem «eindringen» kann doch gar keine Rede sein. Die Hacker haben weder irgend einen der beiden Polizei-Server gehackt noch wurde auch nur ein Bit irgend einer Datei – welche für die Darstellung der Webseite zuständig ist – auf irgend eine Art und Weise manipuliert.

Vielmehr ist es so, dass die beiden Webseiten schlicht und ergreifend nicht genügend gegen Cross Site Scripting (XSS) geschützt wurden. Dies bedeutet, dass das Logo nur derjenige sieht, welcher auch genau den Link mit dem untergejubelten Bild verwendet. Genau so verhält es sich auch mit meinem untergejubelten Bild. Besucht man die Webseite «regulär» wird man von dem Logo nichts sehen.

Genau so reisserisch, lieber Gerr Bühlmann, ist dann auch Ihre Aussage, dass die Kapo Zürich nichts von der Attacke gemerkt hat.

Bei der Kapo Zürich hatte man die Attacke erst gar nicht bemerkt, wie die Anfrage von 20 Minuten Online ergab. Die Manipulation bleibt zwar in diesem Fall ohne grosse Auswirkungen, zeigt jedoch, dass selbst die Polizei nicht vor ungebetenen Gästen gefeit ist.

Wie ich bereits erwähnt habe, hat die Kapo Zürich deswegen nichts bemerkt, weil es schlicht und ergreifend nichts zu bemerken gab. Das Logo bekommt nur derjenige zu Gesicht, der auch genau den einen Link aufruft. Wer die Suchfunktion der Webseite ganz normal verwendet, der wird das Logo nie sehen.

Und dass «selbst die Polizei nicht vor ungebetenen Gästen gefeit ist» liegt doch wohl auf der Hand. Schliesslich wird die Webseite nicht von «Polizisten» gehostet sondern von irgendwelchen IT Admins in irgend einem Datencenter. Ob da nun die Webseite der Polizei darauf zu finden ist oder die Webseite von Fritzli Müller ist absolut irrelevant. Mit einer derartigen Aussage versuchen Sie jedoch dem Leser ein Bild zu suggerieren, dass die Polizei als leicht trottelige Dorfpolizisten darstellt und die Hacker als spitzbübische, dreiste Technikfreaks.

Aber wie Marcel Strebel, Chef Informationsabteilung der Kantonspolizei Zürich richtig sagt:

Es handelt sich im vorliegenden Fall nach ersten Einschätzungen um eine harmlose Manipulation.

Natürlich will ich die Lücke nicht verharmlosen. Denn durch eine XSS Lücke ist es nicht nur möglich ein Bild einzufügen, sondern man kann auch – mit einiger Geduld und dem nötigen HTML, JavaScript wissen vorausgesetzt – HTML und JavaScript Inhalte in die Webseite einpflanzen, welche dann den Anschein erwecken, es handle sich um regulären Inhalt der Kapo Webseite.

Doch auch hier ist die Gefahr gering, dass damit «grober Unfug» angestellt werden kann. Schliesslich wird wohl niemand auf der Webseite der Polizei irgend eines seiner Passwörter eintippen (wozu auch?) noch die Webseite als Startpunkt für seine Internet-Reisen verwenden. Denn nur das anbringen von manipulierten Links (die z.B. auf Webseiten von echten gehackten Webservern verweisen) wäre noch das das einzige interessante Feature, welches XSS bietet.




FLV Embed – Multimedia Button Erweiterung

Wordpress Multimedia Button

Zum darstellen von Videos (wie etwa im Jack Keane Artikel) ist das WordPress Plugin FLV Embed ideal geeignet. Schade daran ist nur, dass dieses Plugin die Multimedia Schaltfläche nicht aktiv unterstützt. Will heissen, wenn man via Multimedia Button einen Flash Film einbinden will, dann kann man den Film zwar aus der Galerie auswählen, die nötigen Tags wie [flv :<Dateiname> breite hoehe] muss man jedoch immer noch selber darum herum schreiben.

Das was mir persönlich etwas lästig. Aus diesem Grund habe ich das Plugin so erweitert, dass bei einem Flash Film ein Button erscheint, welcher zum einen automatisch ein [flv : etc. darum herum packt, und zum anderen einfach einen Standard Wert von 320×240 Pixeln wählt.

Nachfolgend die Beschreibung, was man selber verändern muss.

  1. Im Adminbereich klickt man auf Plugins / Plugins bearbeiten.
  2. Unter Plugin-Dateien wählt man FLV Embed an.
  3. Im nun erscheinenden Source Code Fenster sucht man die Zeile //////////////////// parse content functions, und fügt darunter folgenden Code ein (alternativ ab WP 2.7.1 FLV_EMBED 1.2.1 folgenden Code und ab WP 2.9.x FLV_EMBED 1.2.1 folgenden Code) ein.
  4. Wählt man nun ein Flash Video aus, wird ein Button Namens FLV Player dargestellt. Klickt man darauf, wird das flv darum gebaut und bei Einfügen in den Artiekl sogleich der gesamte String in den Artikel übertragen. Je nach Gusto kann man dann noch die default Grösse verändern.

So einfach kann das sein 😉