„Sicherheit“ bei der Bank of Scotland

Ich hatte in letzter Zeit das Vergnügen, zu beobachten, was bei der Kontoführung bei der deutschen Filiale der Bank of Scotland so für Dinge passieren.

Kurz: die Bank legt ein Verhalten an den Tag, über das sich ein außenstehender Betrachter eigentlich nur noch königlich amüsieren kann. (Dabei ist es ja gar nicht die königliche, sondern die normale Bank of Scotland…)

Die Absonderlichkeiten betreffen insbesondere Sicherheit, aber auch Service und unglaubliche Reaktionsfaulheit.

1. Sicherheitslücke bank-of-scotland.de

Ich beginne mal mit der offensichtlichen und extrem gefährlichen Sicherheitslücke. Die Bank of Scotland betreibt zwar die domain bankofscotland.de, aber es gibt ja auch die Version mit Bindestrichen, die Domain bank-of-scotland.de. Die gehört laut DENIC jemand anderem, nicht der Bank of Scotland. Es befand sich dort allerdings bisher — zumindest soweit es aussah — eine Weiterleitung auf die normale Domain.

Soweit ist das nur komisches Gemauschel zwischen Firmen. Nun wurde die Domain mit Bindestrichen aber mindestens zweimal gehacked. Zur Zeit befindet sich dort ein hübscher JavaScript, der vorgibt, ein Windows-Virenscanner zu sein, falls man die Seite mit Internet Explorer öffnet. Die Webseite versucht dann, dem Benutzer einen Trojaner unterzuschieben. Firefox bekommt allerdings (zumindest scheinbar) eine normale Weiterleitung.

Da fragt man sich doch: könnte der Hacker nicht mehr tun, als nur zu versuchen, die Benutzer zu infizieren? Insbesondere könnte er die Logindaten all derer einsammeln, die die falsche Domain eintippen und nicht den Herausgeber des SSL-Zertifikats prüfen. Ohne Änderung der Navigationsleiste ist das ohnehin trivial, aber ein paar Rewrite-Tricks sollten sogar die Bindestriche entfernen können. So oder so ist der Benutzer auf einer falschen Domain. Der Hacker kann dem Benutzer dann zusehen, von der Passworteingabe bis zu jeder Änderung, die der Benutzer im Konto ausführt, und all dies an die echte Bank of Scotland weiterleiten — oder auch nicht.

Klar, es fehlt noch das TAN-System, um das Referezkonto zu ändern und alles leerzuräumen, aber das funktioniert per SMS — nicht gerade die Definition von Datensicherheit. Außerdem kann man TANs ja durch ein Wenig Interface-Simulation vom Benutzer abfangen oder abfragen. Das könnte folgendermaßen funktionieren: solange ein Hacker Kontrolle über die Domain hat, die der Benutzer für korrekt hält, kann er diesem falsche Daten anzeigen — und dem Benutzer Geld anzeigen, das er längst vom Konto geräumt hat. Oder er könnte Aktionen bestätigen, die TANs benötigt haben, aber tatsächlich nicht an die echte Bank of Scotland weitergeleitet wurden. Jedes Mal, wenn der Benutzer im gefälschten Interface eine TAN verwendet, kann der Hacker eine Operation auf dem echten Konto durchführen.

Ich finde diese Situation höchst beunruhigend. Ich bin „SilentAssault“ — dem ersten Hacker oder seiner Software — ausgesprochen dankbar für seine Warnung. Der tat das einzig richtige und überschrieb die Webseite mit einer Seite, die dem Benutzer klar machte, dass die Webseite nicht sicher ist und deshalb übernommen wurde. Ohne ihn würde dieser Artikel so nicht existieren, da ich gar nicht bemerkt hätte, was es mit den Domains auf sich hat.

2. Das Kontaktformular made in Mumbai

Die Person, bei der ich die Kontoführung bei der Bank of Scotland beobachten konnte, hatte eine Frage an die Bank. Es ging um sehr fragwürdiges Verhalten der Bank zu einem anderen Thema, aber darauf möchte ich hier nicht weiter eingehen. Jedenfalls stellte sich heraus, dass der normale Weg, die Bank zu kontaktieren, ein Kontaktformular im Kundenbereich ist. Dieses hat interessante Eigenschaften, zum beispiel folgende: Nachrichten haben eine begrenzte Lebensdauer, nach der sie automatisch gelöscht werden. Die Nachrichten kann man auch nicht mit normalem Copy&Paste herauskopieren.

Der Grund, warum solche Details überhaupt aufgefallen sind? Die Bank beantwortete eine Anfrage nicht, und nach ein paar Monaten wird auch die unbeantwortete Nachricht automatisch gelöscht. Immerhin steht ein Warnhinweis dazu im Kontaktformular, sehr viel besser wird dieser nfug dadurch allerdings auch nicht. Jedenfalls wollte der Kunde den Inhalt des Formulars herauskopieren, was clientseitig blockiert war. Natürlich ist diese Blockade wirkungslos, wenn man sich den Seitenquelltext ansieht und von diesem kopiert, was ich also tat.

Und an dieser Stelle kommt eine rhetorische Pause, denn der Quelltext war ziemlich unglaublich. Natürlich warf ich auch einen Blick auf andere Dinge als die zu kopierende Nachricht, darunter ein JavaScript. Er beginnt mit einer Copyright-Notice von „i-flex Solutions Limited, Mumbai, India“ aus dem Jahr 2004. Ich hoffe mal, dass die Bank of Scotland schriftliche Erlaubnis hat, sich nicht daran zu halten, aber das ist jetzt nicht so wichtig. Der Witz ist nämlich der Quellcode selbst, den ich hier leider wegen den Copyright Notices nicht veröffentlichen darf. Um er kurz zu fassen: das ist der fürchterlichste Programmcode, den ich je entdeckt habe.

Ich weiß gar nicht, welche Richtlinie von Programmierstil die Programmierer nicht gebrochen haben. Ich hole jetzt einmal kurz Luft für die Programmierer unter unseren Lesern, und versuche, nur den Anblick zu beschreiben, ohne auf den Inhalt auch nur einzugehen. Auskommentierte Codezeilen werden an den Benutzer geschickt, die Variablen tragen Namen wie „str“ und „str1“, asymmetrische und inkonsistente Verwendung von Leerzeichen oder Typographie im Allgemeinen ist allgegenwärtig. Magic Values sind natürlich auch dabei, völlig egal ob sie gerade nur der generellen Unleserlichkeit dienen oder sogar zusätzlich den Quelltext verkomplizieren, da das Programm ihnen noch magischere Bedeutungen zuschreibt. Bis ins letzte Detail wie der Groß/Kleinschreibung von HTML-Tags ist geradezu alles inkonsistent.

Ich wüsste gerne, wie die Bank of Scotland es sich vorstellt, Updates oder Wartungsarbeiten an solcher Software durchzuführen. Mehr interessiert mich aber, ob die restliche Software der Bank ähnliche Qualität hat — immerhin vertrauen ihre Kunden dieser ja ihr Geld an. Wie sorgfältig sich diese Bank um solche Sicherheitsfragen kümmert, haben wir aber ohnehin schon oben gesehen — was soll man schon erwarten, wenn sie es nicht einmal hinbekommen, sich die wichtigen Domains zu sichern?

Fazit

Ich muss mich jedenfalls stark wundern, was die deutsche Filiale der Bank of Scotland, eine reine Onlinebank, unter Sicherheit und Softwarequalität versteht. Als ich sie anrief, um sie auf den zweiten und diesmal gefährlichen Hack von bank-of-scotland.de anzusprechen, ging niemand ans Telefon. Nicht ihre Geschäftszeiten. Da wird auch keine Ausnahme gemacht, wenn jemand unter ihrem Namen Trojaner verbreitet.

Es verbreitet also gerade jemand Trojaner an Computer, mit denen Onlinebanking bei der Bank of Scotland betrieben wird. Ist doch eigentlich nicht so schlimm, oder? Kann sicherlich noch ein Wenig warten, erstmal Feierabend machen. ;)