Erfolglose Attacke auf PCtipp
- Ersteller maedi100
- Erstellt am
Dieser Thread ist Teil einer Diskussion zu einem Artikel:
Zum News-Artikel gehen
Danke fuer das Reparieren der Site!
Die Site schmierte ab, kurz (1-2 min.) nachdem ich diesen Post http://www.pctipp.ch/forum/showthread.php?p=46710#post46710 geschrieben habe. falls es jemand interessiert.
idg.com lief ok. so auch andere idg sites wie pcwelt.de. wenn dies gezielt gegen idg war, weshalb dann nur die .ch sites des publizisten?
moegliche antworten:
in der blogosphaere wird der vorfall aeusserst selten erwaehnt.
Die Site schmierte ab, kurz (1-2 min.) nachdem ich diesen Post http://www.pctipp.ch/forum/showthread.php?p=46710#post46710 geschrieben habe. falls es jemand interessiert.
Das frage ich mich auch. Weshalb pctipp, bezw. idg.ch?
idg.com lief ok. so auch andere idg sites wie pcwelt.de. wenn dies gezielt gegen idg war, weshalb dann nur die .ch sites des publizisten?
moegliche antworten:
- mit den muskeln spielen eines angreiferpools (botnetz)
- die schweizer seiten von idg sind das schwaechtse glied in deren landschaft.
- ziel war nicht idg, sondern der hoster.
- es war kein hack-angriff.
in der blogosphaere wird der vorfall aeusserst selten erwaehnt.
Zuletzt bearbeitet:
FloHoCH
Stammgast
Vermutlich wurde der Angriff gestartet, um Schadcode in die Seiten einzuschleusen (wie es auch schon bei anderen "grossen") versucht oder gar gemacht wurde. Opfer solcher Angriffe sind immer Seiten, mit Erfolg und entsprechend vielen Besuchern. PCTipp hat kürzlich neue Seiten veröffentlicht und bietet die Möglichkeit, Beiträge zu Kommentieren etc. Somit bietet die Seite schon eine gewisse Attraktivität für Hacker.
An dieser Stelle möchte ich fragen: Kennt jemand ein (vertrauenswürdiges!) Tool, mit welchem man die eigene Webseite auf Schwachstellen prüfen kann?
FALLS es ein externer Angriff war, dann ist die Frage, weshalb den Aufwand fuer einen Zwerg wie PcTipp. Die Site - bezw. die seiten von idg un der Schweiz - ist im internationalen Kontext nun wirklich nicht gross.
Schadcode Injektion zwecks Weiterverbreitung scheint jedoch als motiv wahrscheinlich zu sein. Da PcTpp.ch einige Macken und Instabilitaeten hat, war ein Versuch wohl attraktiv.
Schadcode Injektion zwecks Weiterverbreitung scheint jedoch als motiv wahrscheinlich zu sein. Da PcTpp.ch einige Macken und Instabilitaeten hat, war ein Versuch wohl attraktiv.
Ja.
Warum: Die einschlaegige Blogosphaere erwaehnt den vorfall praktisch nicht. dies ist aber normalerweise so, dabei geht es um art des angriffs und grund des erfolgs (oder im falle von pctipp, teilerfolg - die site war immerhin fuer einen tag nur beschraenkt nutzbar). solche diskussionen dienen dem hardening. pctipp ist als ziel eigentlich nicht sehr attraktiv, weil klein und die 'kundendaten' mehrheitlich forumsteilnehmerdaten mit virtuellen identitaeten sind...
unter internem angriff verstehe ich die verbindung pctipp - g-data, deren meldung einer stormbot welle , die darauffolgende panne der pctipp siteund die einzigemeldung zum vorfall dann wieder bei g-data. man nennt sowas erzeugen von hype.
ich spekuliere jedoch weiter, dass pctipp als etappenziel eines groesseren angriffs gedacht war - wegen einigen macken der forumssoftware sahen die angreifer pctipp als moegliche variante, um schadcode zu deponiern.
andere variante ist, dass die firma idg das eigentliche ziel ist und die schweizer seiten der firma quasi als demo herhalten mussten. die angreifer wollten zeigen, was sie koennen.
Warum: Die einschlaegige Blogosphaere erwaehnt den vorfall praktisch nicht. dies ist aber normalerweise so, dabei geht es um art des angriffs und grund des erfolgs (oder im falle von pctipp, teilerfolg - die site war immerhin fuer einen tag nur beschraenkt nutzbar). solche diskussionen dienen dem hardening. pctipp ist als ziel eigentlich nicht sehr attraktiv, weil klein und die 'kundendaten' mehrheitlich forumsteilnehmerdaten mit virtuellen identitaeten sind...
unter internem angriff verstehe ich die verbindung pctipp - g-data, deren meldung einer stormbot welle , die darauffolgende panne der pctipp siteund die einzigemeldung zum vorfall dann wieder bei g-data. man nennt sowas erzeugen von hype.
ich spekuliere jedoch weiter, dass pctipp als etappenziel eines groesseren angriffs gedacht war - wegen einigen macken der forumssoftware sahen die angreifer pctipp als moegliche variante, um schadcode zu deponiern.
andere variante ist, dass die firma idg das eigentliche ziel ist und die schweizer seiten der firma quasi als demo herhalten mussten. die angreifer wollten zeigen, was sie koennen.
Swisstreasure
Stammgast
Auch von meiner Seite ein Lob an die Spezialisten von idg und Pctipp. Ich nehme auch an, dass es nicht ein gezielter Angriff auf PC-Tipp war. Auch nicht auszuschliessen ist, dass es eventuell ein Joke von Hackern war welch Verwirrung stiften wollten. Die Hauptsache ist, dass die Kollegen der "Regie" alles wieder in den griff bekamen. Ich dachte noch an meiner Kiste stimmt was nicht, da ich nicht mher ins Forum kam, was ich jedoch gesagt nicht glauben konnte.
Gruss Swiss
Gruss Swiss
Vermutlich hat der Cracker die aktuellste Ausgabe der PC Tipp erhalten und war dermassen schlecht gelaunt dass er für sowas noch Geld bezahlt, dass er sich an der Webseite ausgelassen hat 
Scherz beiseite, eine PC Zeitschrift die von Hackern spricht?? Wo bleibt hier die Qualität? Ich weiss, im Volksmunde werden die bösen leider als Hacker bezeichnet, aber es sind Cracker.
Gerade von einer Fachzeitschrift erwarte ich eigentlich den richtigen Ausdruck.
Und dann noch die Wortwahl, massivst kriminell.
Wenn das so massivst kriminell wäre, würde es die Polizei auch interessieren.
Und von wegen kleiner Anbieter etc. Als die Schweiz damals gegen die Türkei im Fussball gewonnen haben, haben die auch meine Webseite gecrackt und die ist nun wirklich kleiner als klein.
Aber kommen wir zum Problem zurück.
Wie hat es die Redaktion gemerkt dass da ein fremder Eingriff stattfand und noch wichtiger, waren die Daten wirklich zu jedem Zeitpunkt sicher oder haben jetzt die Cracker meine Zugangsdaten und alles was bei PCtipp.ch hinterlegt ist?
Scherz beiseite, eine PC Zeitschrift die von Hackern spricht?? Wo bleibt hier die Qualität? Ich weiss, im Volksmunde werden die bösen leider als Hacker bezeichnet, aber es sind Cracker.
Gerade von einer Fachzeitschrift erwarte ich eigentlich den richtigen Ausdruck.
Und dann noch die Wortwahl, massivst kriminell.
Wenn das so massivst kriminell wäre, würde es die Polizei auch interessieren.
Und von wegen kleiner Anbieter etc. Als die Schweiz damals gegen die Türkei im Fussball gewonnen haben, haben die auch meine Webseite gecrackt und die ist nun wirklich kleiner als klein.
Aber kommen wir zum Problem zurück.
Wie hat es die Redaktion gemerkt dass da ein fremder Eingriff stattfand und noch wichtiger, waren die Daten wirklich zu jedem Zeitpunkt sicher oder haben jetzt die Cracker meine Zugangsdaten und alles was bei PCtipp.ch hinterlegt ist?
Gaby Salvisberg
Super-Moderator
Leute, ich versteh jetzt nicht so ganz, was diese zum Teil konfusen Spekulationen hier sollen.
Natürlich war es ein Angriff von aussen. Und ich habe läuten hören, dass wir nicht die einzigen "Opfer" waren. Darum halte ich es für unwahrscheinlich, dass jemand gezielt "IDG" im Visier hatte.
Weitere Details können und wollen wir aber nicht publizieren; und wenn Ihr Euch auf den Kopf stellt ;)
Und nochmals: Nein, auf Kundendaten hatten sie keinen Zugriff.
Gaby
Natürlich war es ein Angriff von aussen. Und ich habe läuten hören, dass wir nicht die einzigen "Opfer" waren. Darum halte ich es für unwahrscheinlich, dass jemand gezielt "IDG" im Visier hatte.
Weitere Details können und wollen wir aber nicht publizieren; und wenn Ihr Euch auf den Kopf stellt ;)
Und nochmals: Nein, auf Kundendaten hatten sie keinen Zugriff.
Gaby
Recht so - ihr wollt ja keine Trittbrettfahrer animieren ;)
Noel
Stammgast
Interessant finde ich den Titel "Erfolglose Attacke auf PCtipp", wenn man dann jedoch im Bericht liesst:
"Die PCtipp-Webseite wurde dabei ziemlich verwüstet und musste vorübergehend stillgelegt werden."
frage ich mich ab wann eine solche Attacke als Erfolg gewertet werden kann ;).
Seit der Hacker Attacke funzt die URL http://www.pc-tipp.ch nicht mehr, ist das ein Zufall oder hat das etwas mit der Attacke zu tun? Ich musste mein Lesezeichen danach auf http://www.pctipp.ch ändern.
mfg
"Die PCtipp-Webseite wurde dabei ziemlich verwüstet und musste vorübergehend stillgelegt werden."
frage ich mich ab wann eine solche Attacke als Erfolg gewertet werden kann ;).
Seit der Hacker Attacke funzt die URL http://www.pc-tipp.ch nicht mehr, ist das ein Zufall oder hat das etwas mit der Attacke zu tun? Ich musste mein Lesezeichen danach auf http://www.pctipp.ch ändern.
mfg
Leute, ich versteh jetzt nicht so ganz, was diese zum Teil konfusen Spekulationen hier sollen.
Natürlich war es ein Angriff von aussen. Und ich habe läuten hören, dass wir nicht die einzigen "Opfer" waren. Darum halte ich es für unwahrscheinlich, dass jemand gezielt "IDG" im Visier hatte.
Weitere Details können und wollen wir aber nicht publizieren; und wenn Ihr Euch auf den Kopf stellt ;)
Gaby
Mir geht es eigentlich um folgendes:
Botnetze sind letzlich Platformen organisierten Verbrechens. Diese Netze werden fuer Angriffe weitervermietet. (Das ist kein Witz).
Ein professioneller Angriff kann daher folgende Motive haben:
Infektion, um das Netz zu erweitern und damit einen hoeheren Miet-Preis zu erziehlen. Dabei sind natuerlich Schadcode Deponien bei einem popularer Dienst a la Pctipp interessant.
Ein Schuss vor den Bug im Zusammenhang mit einer laufenden oder geplanten Erpressung.
Ein Vollangriff. Etwa bei Nicht-Eingang von Erpressungsgeldern, oder politische / militaerische motive. Im Zusammenhang mit militaerischen Aktionen werden Angriffe auch als taktische Massnahme verwendet, um etwa Bloggen ueber die laufenden Aktionen zu unterbinden. Bei Schweizer Zielen ist zur Zeit das Datensammeln zwecks Proximitaetsanalysen ein Faktor.
In diesem Kontext fand ich den Angriff auf PCTipp eben etwas exotisch. Und ich habe da spekulativ den Faden etwas weitergesponnen.
Dass Ihr Details nur ueber die einschlaegigen Kanaele weitergebt, ist klar.
Groessere Firmen richten immer oefter speziell praeparierte Rechner in ihrer DMZ oder noch weiter draussen ein, die bewusst nicht ganz sicher oder mit 'entworfenen' Luecken sind. Einerseits fokussiert das die Hobbyisten in der Szene auf den Rechner. Hobbyisten sind meist damit zufrieden, dass sie eindringen konnten.
Andererseits kann ueber die entworfene Luecke am Botnetz teilgenommen und etwas ueber die Auftraggeber des Angriffs in erfahrung gebracht werden.
Zudem koennen Koederdokumente mit speziellen Signaturen so ins Botnetz injiziert werden. Das Tracing der Signatur zeigt auf die Handelswege oder kann zu Gegenangriffen von innen benutzt werden.
Zuletzt bearbeitet:
Attacke
Windows Secrets meldete am 23.07.
Alarmstufe rot: Neue Angriffswelle infiziert tausende Web-Seiten
Liebe Leserin, lieber Leser,
Hacker haben erneut über tausend Web-Seiten mit schädlichem JavaScript-Code infiziert. Die Angriffe richteten sich weltweit vor allem gegen die Online-Angebote von Regierungen, Behörden und großen Unternehmen.
Wie das Sicherheitsunternehmen Finjan mitteilte, kam dabei das Toolkit „Asprox“ zum Einsatz. Dieses ist bereits seit längerer Zeit verfügbar und ermöglicht Serien von Angriffen auf Web-Seiten, die bestimmte Sicherheitslücken aufweisen. Seit Mai wird es offenbar besonders aktiv genutzt.
Bei den Attacken wird mit wenigen Code-Zeilen ein JavaScript-File von externen Servern abgerufen. Dieses wird beim Laden der Web-Seite in den Quellcode integriert. Ziel des Schadcodes: Die Rechner der Besucher eines Online-Angebotes sollen mit einem Trojaner infiziert werden.
Die Betreiber von Web-Seiten können ihre Kunden nur schützen, indem sie die Sicherheitslücken in ihrem Angebot beheben und den Schadcode aus dem Quelltext entfernen.
Windows Secrets meldete am 23.07.
Alarmstufe rot: Neue Angriffswelle infiziert tausende Web-Seiten
Liebe Leserin, lieber Leser,
Hacker haben erneut über tausend Web-Seiten mit schädlichem JavaScript-Code infiziert. Die Angriffe richteten sich weltweit vor allem gegen die Online-Angebote von Regierungen, Behörden und großen Unternehmen.
Wie das Sicherheitsunternehmen Finjan mitteilte, kam dabei das Toolkit „Asprox“ zum Einsatz. Dieses ist bereits seit längerer Zeit verfügbar und ermöglicht Serien von Angriffen auf Web-Seiten, die bestimmte Sicherheitslücken aufweisen. Seit Mai wird es offenbar besonders aktiv genutzt.
Bei den Attacken wird mit wenigen Code-Zeilen ein JavaScript-File von externen Servern abgerufen. Dieses wird beim Laden der Web-Seite in den Quellcode integriert. Ziel des Schadcodes: Die Rechner der Besucher eines Online-Angebotes sollen mit einem Trojaner infiziert werden.
Die Betreiber von Web-Seiten können ihre Kunden nur schützen, indem sie die Sicherheitslücken in ihrem Angebot beheben und den Schadcode aus dem Quelltext entfernen.
mhk
Stammgast
Was du willst ist sogenanntes Pentesting. Und da du wahrscheinlich deine Software selber schreibst, kann man kaum ein Tool drüber laufen lassen. Das kann nur ein Mensch reviewen. Es gibt allerdings Toolkits, die dich dabei unterstützen. http://en.wikipedia.org/wiki/Nessus oder für die Pentester http://en.wikipedia.org/wiki/Metasploit
Hihi, und ich lese immer die Frontzeilen: «So ist ihr PC endlich sicher!» Jup, aber nicht die Server! ;)
Ähm, der Ausdruck ist auch richtig. http://en.wikipedia.org/wiki/Hacker_(computer_security)#Hacker_attitudes In dem Fall waren es Black-Hat-Hacker.
Zum ersten: Schade, damit geht ihr genau nicht als Beispiel ein. Ihr fordert doch immer wieder Transparenz von Microsoft und Co. aber selber tut ihr das nicht ausüben.
Zum Zweiten: Woher wollt ihr das wissen? Spuren verwischen geht relativ leicht. Ein bisschen Root-Kit-Zauberei und gut ist. Ausserdem, vielleicht war ja die Verwüstung nur Ablenkung?
Btw, ich bin hier nicht mehr so aktiv. Ich treibe mich unterdessen auf anderen Seiten herum. :D
maedi100
Stammgast
1.
da habe ich mich wohl richtig ausgedrückt
2. Genau, ich finde es schade, dass eine Zeitschrift nicht so offen ist
3. Wo bist du denn jetzt?
FloHoCH
Stammgast
Mir geht es vorallem um das Suchen von Sicherheitslücken in Webseiten, nicht in Computerprogrammen oder Netzwerken. Wenn ich selber programmiere achte ich natürlich immer auf die Sicherheit, aber ich weis bestimmt noch längst nicht alles, was es über Sicherheit zu wissen gibt ... Daher suche ich ein Tool, welches man über eine Webseite laufen lassen kann und mich auf Sicherheitlücken aufmerksam macht. Dabei wäre es nicht einmal schlimm, wenn die Seite nachher verwüstet ist, ich habe Backups
Das Tool müsste dann also beispielsweise versuchen, mein Gästebuch zu hacken oder Schadcode (natürlich nicht richtiger Schadcode!) in die Seite einzuschleusen.Es gibt ja auch Seiten, mit welchen man seine Seite auf Suchmaschinenfreundlichkeit überprüfen lassen kann - da dachte ich, vielleicht gibt es auch irgendwas, das nach Sicherheitlücken sucht
Leute, ich versteh jetzt nicht so ganz, was diese zum Teil konfusen Spekulationen hier sollen.
Natürlich war es ein Angriff von aussen. Und ich habe läuten hören, dass wir nicht die einzigen "Opfer" waren. Darum halte ich es für unwahrscheinlich, dass jemand gezielt "IDG" im Visier hatte.
Weitere Details können und wollen wir aber nicht publizieren; und wenn Ihr Euch auf den Kopf stellt ;)
Und nochmals: Nein, auf Kundendaten hatten sie keinen Zugriff.
Gaby
Und ich frage mich wieso ihr nicht bekannt geben wollt wie ihr den Angriff bemerkt habt?
Ist das ein dermassen streng behütetes Geheimniss oder dürfen andere Webseiten Besitzer nicht von eurer Erfahrung profitieren?
Denn wer weiss, vielleicht betreibe ich nun auch eine infizierte Webseite und merke es nicht und würde es merken wenn ihr uns mitteilen würdet wie IHR es gemerkt habt.
Ich erwarte ja keine Details wie man die Infizierung beheben kann oder wer es war oder was auch immer, nur die einfache Info wie IHR es gemerkt habt.
Oder wird das ein Artikel in eurer nächsten Zeitung damit man das Heft kauft und erst danach veröffentlicht ihr es im Forum?
Gaby Salvisberg
Super-Moderator
Diese Frage stellst Du bitte an die Redaktionsleitung ;)
Es ist zudem auch gar nicht üblich, solche Details auszubreiten.
Gruss
Gaby