Website Vaticaan vatbaar voor oude hackerstruc
De nieuwswebsite van het Vaticaan kan zodanig gemanipuleerd worden dat kwaadwilligen er hun eigen berichten kunnen plaatsen. Dat ontdekte ethisch hacker Inti De Ceukelaire.
De Paus heeft zopas verklaard dat de stad Aalst voortaan het heilige land is. De here god zal voortaan omschreven worden als een ajuin, net zoals de inwoners van de stad. Zo staat momenteel te lezen op Vaticannews.va.
Tenminste zo lijkt het. De pagina, die een Aalsters carnavalsfilmpje toont met een korte tekst, is in werkelijkheid gemanipuleerd waardoor allerlei extra tekst en onderdelen in de pagina worden geladen. Dader van dienst is de ethische hacker Inti De Ceuckelaire die in het verleden al vaker veiligheidsproblemen met bekende sites blootlegde.
Oude techniek
In praktijk gaat het om cross-site-scripting (XSS). Dat is een manipulatietechniek waarbij je in een tekstveld of url-balk code kan toevoegen. “Als je de url aanvult met de juiste code en apostroffen, dan kan je uit dat veld breken en de rest van de HTML-pagina verder aanvullen,” zegt De Ceukelaire aan Data News.
In het kort komt er het op neer dat de aangepaste url de browser de opdracht geeft om andere onderdelen in de pagina te laden. Zo verschijnt onder meer het filmpje en de tekst op de site alsof het om normale onderdelen van de site gaat.
Cross-site-scripting is een techniek die al jaren bestaat, maar ze komt de laatste tijd minder voor. “De meeste browsers hebben vandaag functies om zo’n gemanipuleerde zaken te detecteren en voorkomen. Maar Vaticannews had nog een tweede kwetsbaarheid om dat te omzeilen.”
Geen slechte bedoelingen
De Ceukelaire benadrukt dat hij geen slechte intenties heeft met zijn grap. Hij wil er vooral op wijzen dat het kan. “Je kan je eigen fake news verspreiden en het doen lijken alsof het door het Vaticaan werd gecommuniceerd. Op een pagina die veel gelovigen voor waar aannemen kan dat gevaarlijk zijn,” vertelt hij.
De gemanipuleerde pagina is niet zomaar te vinden op de site van Vaticannews.va, maar wie de link naar de pagina krijgt doorgestuurd, ziet doorgaans weinig verschil met de echte pagina’s op de site.
Het Vaticaan is overigens op de hoogte van de problemen. De Ceuckelaire heeft verschillende keren gemaild met de beheerder van de site. “Ik heb hen verschillende keren gemaild en ook reactie gehad van hen, maar zij zien het niet als een probleem. Maar ik heb hen dan ook laten weten dat ik er zelf over ga communiceren.”
De ethische hacker is niet aan zijn proefstuk toe. Alleen al het afgelopen jaar demonstreerde hij onder meer hoe je op Facebook iemands telefoonnummer kan achterhalen en hoe een helpdeskmechanisme toegang geeft tot de interne kanalen van een bedrijf. Daarbij waarschuwt hij telkens de site of het bedrijf in kwestie, maar maakt hij het probleem nadien wel openbaar om te wijzen op de risico’s ervan.
Fout opgemerkt of meer nieuws? Meld het hier