Abo
  • Services:
Anzeige
"Digital. Einfach. Sicher" heißt es nach wie vor auf der BeA-Webseite. Dass dem nicht so ist, darüber besteht inzwischen Einigkeit.
"Digital. Einfach. Sicher" heißt es nach wie vor auf der BeA-Webseite. Dass dem nicht so ist, darüber besteht inzwischen Einigkeit. (Bild: Brak)

XSS: Wie kann man so eine triviale Lücke übersehen?

Nur kurz ging Markus Drenger vom CCC auf die von ihm gefundene Cross-Site-Scripting-Lücke (XSS) ein. In der BeA-Webanwendung gab es einen einzigen URL-Parameter, und über diesen war es möglich, Javascript auszuführen. Die Zeichenzahl war dabei auf zehn Zeichen begrenzt. Damit wäre es relativ schwierig, diese Lücke praktisch auszunutzen.

Anzeige

Bemerkenswert an dieser Lücke ist vor allem, wie einfach sie zu finden war. Für das BeA wurden in der Vergangenheit nach Angaben der Brak zwei Sicherheitsgutachten durchgeführt, eines von der Firma SEC Consult, ein weiteres von Atos selber. Beide Prüfberichte werden bisher geheim gehalten. Der Autor dieses Texts versucht zurzeit, mittels Informationsfreiheitsgesetz Einblick in diese Gutachten zu erhalten.

Die Suche nach solch trivialen XSS-Lücken gehört in aller Regel zu den ersten Punkten, die bei einer Webanwendung geprüft werden. Es ist kaum nachvollziehbar, wie das Sicherheitsaudit dieses Problem übersehen konnte.

Jeder kann als Amtsgericht Berlin Mitte Nachrichten verschicken

Ein weiteres Problem beschrieb Drenger in der Anbindung von BeA an das Elektronische Gerichts- und Verwaltungspostfach (EGVP). Dort kann sich jeder einen Account anlegen und Nachrichten an BeA-Nutzer schicken.

Laut Drenger ist es auf der Oberfläche insbesondere für unbedarfte Anwender nur schwer erkennbar, ob es sich bei Nachrichten um solche aus dem BeA-System oder um Nachrichten von EGVP handelt.

Somit könnte jemand im EGVP einen Account anlegen und einen beliebigen Namen wählen, um einem Anwalt vorzugaukeln, er wäre jemand anderes. Anders ausgedrückt: Jeder könnte eine Nachricht mit einem Absender wie "Amtsgericht Berlin Mitte" verschicken - und einen Anwalt damit dazu bewegen, geheime Daten an unberechtigte Personen zu schicken.

Drenger empfahl, die Unterschiede deutlicher sichtbar zu machen und beispielsweise farblich hervorzuheben, ob es sich um einen verifizierten Absender aus dem BeA-System handelt.

EGVP: Accounts löschen ohne Rückfrage

Zum EGVP hatte Drenger noch eine weitere Information. Demnach ist es dort möglich, die Löschung eines verwaisten Accounts zu beantragen. In einem Versuch mit Zustimmung des Kontoinhabers gelang es Drenger hierbei, ein Nutzerkonto zu löschen, ohne dass irgendeine Rückfrage beim Inhaber erfolgte.

Weitere Probleme sah Drenger darin, dass über das BeA beliebige Dateiformate verschickt werden können. Da Anwälte verpflichtet sind, die über BeA zugeschickten Dokumente zu öffnen, stellt sich die Frage, was passiert, wenn sie eine EXE-Datei oder ein anderes Format erhalten, das ausführbaren Code enthalten kann. Denkbar wäre, Dateianhänge auf bestimmte eingeschränkte Formate - beispielsweise PDF/A - zu beschränken.

Meldung von Lücken in OCSI führten zu juristischen Drohungen

Das BeA-System baut auf dem Standard OSCI auf. Auch damit gibt es offenbar weitere Probleme. Eine Person hat demnach vor über einem Jahr eine Sicherheitslücke in OSCI gemeldet. Statt eines Danks wurde ihr daraufhin von einer verantwortlichen Stelle mit Klage gedroht - woraufhin der Hinweisgeber darauf verzichtete, weitere Sicherheitslücken zu melden.

Details zu diesem Vorgang blieben im Unklaren, aber offenbar ist der Hinweisgeber inzwischen im Kontakt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und es wird versucht, die Lücke zu schließen.

 Exploit mittels Java-DeserialisierungDie Key Custodians können BeA-Nachrichten knacken 

eye home zur Startseite
derdiedas 05. Feb 2018

Was erwartest Du denn? ATOS kann keine anständigen Gehälter zahlen (ansonsten würde das...

Themenstart

mimimi123 30. Jan 2018

Nein??

Themenstart

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

Themenstart

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

Themenstart

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. Dirk Rossmann GmbH, Burgwedel
  3. Continental AG, Regensburg
  4. TenneT TSO GmbH, Dachau


Anzeige
Blu-ray-Angebote
  1. (u. a. Hacksaw Ridge, Deadpool, Blade Runner, Kingsman, Arrival)
  2. 12,99€

Folgen Sie uns
       


  1. Sounddesign

    Wie vertont man ein geräuschloses Auto?

  2. IBM

    Watson versteht Sprache und erstellt Dialoge in Unity-Games

  3. Mobilfunk

    Telefónica Deutschland gewinnt 737.000 neue Vertragskunden

  4. Burnout Paradise Remastered

    Hochaufgelöste Wettrennen in Paradise City

  5. Spectre

    Intel verteilt Microcode für Client- und Server-CPUs

  6. Aldi Talk

    Nachbuchung des ungedrosselten Datenvolumens wird teurer

  7. Stiftung Warentest

    Zu wenig Datenschutz in Dating-Apps

  8. Mobilfunk

    Vodafone und Telefónica nutzen Glasfaser gemeinsam

  9. Indiegames-Rundschau

    Tiefseemonster, Cyberpunks und ein Kelte

  10. Android P

    Hintergrund-Apps wird Zugriff auf Kamera und Mikro verwehrt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  2. Fake News Murdoch fordert von Facebook Sendegebühr für Medien
  3. EU-Urheberrechtsreform Abmahnungen treffen "nur die Dummen"

Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

  1. Re: Alternative bei Vodafone - CallYa Flex

    Fozzybär | 12:02

  2. 1Mbit/s nur mit Vertrag

    xxsblack | 12:01

  3. Re: Wahnsinn... ich brauch sofort Android One...

    quark2017 | 12:01

  4. Re: Fallschirme beim Testflug

    DAUVersteher | 12:01

  5. Re: Telefónica hat womöglich das schlechteste...

    neonmag | 12:01


  1. 12:02

  2. 11:56

  3. 11:32

  4. 10:48

  5. 10:33

  6. 10:16

  7. 09:40

  8. 09:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel