BPjM-Index jugendgefährdender Webseiten geleakt
Unbekannte haben aus der verhashten URL-Liste indizierter Websites, die die Bundesprüfsttelle für jugendgefährdende Medien führt, Klartext gemacht und das Ergebnis online gestellt.
Unter dem Namen "BPjM-Leak" haben Unbekannte angeblich den berühmten Webseiten-"Index" gehackt und bei einem Kostenlos-Hoster anonym online gestellt. Dabei handelt es sich offenbar um jene zwei URL-Listen der Bundesprüfstelle für jugendgefährdende Medien (BPjM), deren Inhalt nicht an die Öffentlichkeit gelangen soll. Auf diesen Listen sollen beispielsweise pornografische, gewaltverherrlichende oder rassistische Inhalte landen, die Jugendlichen qua Gesetz nicht zugänglich sein dürfen.
(Bild: dpa)
Die BPjM schützt den Zugriff auf diese Liste, indem sie die Datei verschlüsselt oder sämtliche URL-Zeilen vor der Weitergabe hasht. Die verschlüsselte Variante wird etwa Google als sogenanntes "BPjM-Modul" zur Verfügung gestellt, das URLs mit der Liste vergleicht und BPJM-indizierte Suchtreffer in Deutschland unterdrückt. Router-Hersteller wie AVM nutzen die gehashte Version, um URLs mit den Hashes zu vergleichen und gegebenenfalls zu unterdrücken, wenn der Nutzer dies explizit eingeschaltet hat. Auch Jugendschutzfilter-Programme wie das der Telekom oder JusProg arbeiten analog.
Die Beschreibung des Listen-Hacks klingt nachvollziehbar und simpel, sodass man von der Echtheit der Daten ausgehen kann. Die aktuellen Hashwert-Listen selbst stammen aus Fritzboxen. Da man jedoch aus Hashwerten nicht auf die Originaldaten zurückrechnen kann, haben die Hacker aus vielen Quellen – beispielsweise öffentlichen zugänglichen Blacklists – eine Liste potentiell betroffener Domains erstellt. Für diese Adressen haben sie dann mit dem Passwort-Knackprogramm Hashcat die Hashes errechnet und mit denen der Liste verglichen. Derzeit habe man mit dieser Methode den Klartext zu 3280 MD5-Hashes sowie zu 2889 SHA1-Hashes ermittelt.
Viele Domains offline
Eine erste Analyse der URLs habe ergeben, dass sich die meisten URLs in die Kategorien Pornografie, Tierpornografie, Kinderpornografie, Gewalt, Selbstmord, Nazi oder Anorexie einsortieren lassen. Den Hackern zufolge sind nur 50 bis 60 Prozent der Domains online, 10 Prozent seien nicht einmal mehr registriert. Unter den URLs befinden sich lediglich 37 de-Domains.
Mögliche Vorwürfe, die Liste sei nicht ausreichend gesichert, ergeben wenig Sinn. Denn das Problem ist prinzipbedingt und lässt sich nicht gänzlich lösen. Schließlich muss es einem Filter möglich sein, zu testen, ob eine Domain in der Liste enthalten ist. Analog können das Hacker aber natürlich auch. Wäre die Liste mit einem aufwändigeren Verfahren wie PBKDF2 gesichert, hätte dieser Vorgang zwar deutlich länger gedauert, hätte aber letztlich zu einem ähnlichen Ergebnis geführt.
[Update 09.07.2014 15:36]:
Die Redaktion von heise online hat nach langer Diskussion beschlossen, den ursprünglich in diesem Beitrag enthaltenen Link auf die Seite #BPjMleak zu entfernen. Zwar sind wir nach wie vor der Ansicht, dass es ein großes öffentliches Interesse an der Bereitstellung der auf der Seite enthaltenen Hintergrund-Informationen zum Ablauf des Hacks besteht. Auf der anderen Seite besteht für unsere Mitarbeiter persönlich aufgrund der Veröffentlichung des Beitrags wegen der ebenfalls auf der Seite veröffentlichten Link-Liste ein Risiko strafrechtlicher Ermittlungen wegen der Verbreitung von Kinderpornografie und anderer Delikte. Wir haben uns im Interesse der Kollegen entschieden, dieses Risiko nicht einzugehen. (hob)
