McAfees HackerSafe-Zertifizierung fragwürdig
McAfees HackerSafe zertifiziert Webseiten, dass sie Kundendaten schützen und vor Einbrüchen gefeit sind. Allerdings sind viele der zertifizierten Seiten für Cross-Site-Scripting anfällig und gefährden damit die Daten der Nutzer.
McAfees HackerSafe ist ein Dienst, der Webseiten mit automatisierten Werkzeugen auf Schwachstellen überprüft und ihnen bei bestandener Prüfung erlaubt, das Logo von HackerSafe zu tragen. Bei Kunden soll das Vertrauen in die Seite wecken, dass die Daten dort gut geschützt sind und keine Gefahren bei Transaktionen wie Bezahlvorgängen lauern.
Um die HackerSafe-Prüfung zu bestehen, müssen Webseiten beispielsweise bekannte Sicherheitslücken in den eingesetzten Webanwendungen schließen. Laut der Beschreibung von HackerSafe untersucht das Unternehmen die Serversicherheit etwa mittels Portscans, prüft die Webanwendungen auf SQL-Injection-Lücken oder auf Schwachstellen, die Cross-Site-Scripting ermöglichen. Die Prüfung der Webseiten findet täglich statt. Auf der HackerSafe-Webseite wirbt das Unternehmen zudem auch mit PCI-Compliance, sodass die zertifizierten Webseiten dem Payment Card Industry Data Security Standard (PCI-DSS) genügen müssten – allerdings ist auch der nicht unumstritten.
Offenbar ist jedoch die Sicherheit vor Cross-Site-Scripting (XSS) keine Bedingung zum Erhalt des HackerSafe-Logos. Russ McRee hat vor kurzem in fünf HackerSafe-zertifizierten Webseiten Cross-Site-Scripting-Lücken entdeckt, durch die Angreifer etwa an die Zugangsdaten der Kunden gelangen oder Umleitungen auf andere, bösartige Webseiten vornehmen können. In einem Video demonstriert McRee, wie er HackerSafe-zertifizierten Seiten fremden JavaScript-Code unterschiebt, Cookies des Benutzers ausliest oder fremde Seiteninhalte innerhalb eines iframes anzeigt.
Um PCI-Compliant zu sein, dürfen Webseiten jedoch keine Cross-Site-Scripting-Lücken enthalten. Die Seiten in McRees Video nehmen jedoch Kreditkartendaten zum Bezahlen von Bestellungen an. McRee weist darauf hin, dass die Webseiten schon seit Monaten für die XSS-Lücken anfällig sein könnten und die Webseiten-Betreiber mehrmals Hinweise auf die Schwachstellen von McRee erhalten hätten.
Gegenüber britischen Medien sagte eine McAfee-Sprecherin, dass das Unternehmen Cross-Site-Scripting-Lücken weniger kritisch einstufe als SQL-Injection- oder andere Schwachstellen. "Derzeit sorgt die Existenz einer XSS-Lücke nicht für das Fehlschlagen einer HackerSafe-Zertifizierung", meinte sie. "Wenn McAfee XSS findet, benachrichtigt das Unternehmen die Kunden und klärt sie über XSS-Lücken auf." Über die XSS-Lücken sei kein Einbruch in die Unternehmens-Server möglich.
Das HackerSafe-Zertifikat besagt derzeit schlussendlich nur, dass die Server des Unternehmens gegen bekannte Angriffe gefeit sind. Allerdings können Kunden dieser Seiten Gefahr laufen, ihre Daten und – gerade beim Einsatz von Kreditkarten für Bezahlvorgänge – ihr Geld dennoch an kriminelle Individuen im Netz zu verlieren.
Siehe dazu auch:
- Still not Hacker safe, roll the video, Blog-Eintrag von Russ McRee
(dmk)
