News 16.04.2008, 11:23 Uhr

Saures für Maggi.ch

Wer sich am Wochenende rund um die Köstlichkeiten des Lebensmittelherstellers informieren wollte, bekam Inhalte von Israelgegnern aufgetischt.
Mit Bouillon und Würze haben die Besucher der Seite maggi.ch gerechnet, aber nicht damit, dass sie auf eine Seite umgeleitet werden, auf denen antiisraelische Inhalte propagiert werden. Das Problem war schnell behoben und nennt sich Defacing.
Das Maggi-Team wurde Sonntagabend auf den Fehler aufmerksam und löste das Problem. Wie die Kriminellen vorgegangen sind und wie sich Webseitenbetreiber schützen können, erfahren Sie im PCtipp-Forum.

Kommentare

Avatar
maedi100
16.04.2008
das ist aber schon eine etwas weite auslegung des thread inhaltes. ja, schon. Evtl hoffte man auf mehr echos?

Avatar
jstuker
17.04.2008
Es war kein Defacing Auf der Domäne maggi.ch resp. www.maggi.ch war niemals die gezeigte Site zu sehen. Dem Angreifer gelang es, eine clientseitge Umleitung zu erwirken. Aus meiner Sicht ein wichtiger Unterschied. Der Thread auf der PC-Tipp-Site http://www.pctipp.ch/forum/showthread.php?p=33470 beschreibt das so...

Avatar
BlackIceDefender
17.04.2008
der client-side redirect wird aber von einem script (oder "<META HTTP-EQUIV="refresh" CONTENT="N;URL=..."> " ausgeloest, das von maggi's site kam. fuer den nicht techniker ist dass immer noch so, dass maggi aufgerufen wird und dann der andere ramsch im browser stand. dass das script eindeutig von maggi kam ist damit bewiesen, dass ich den test mit einer live-cd dstribution machte. die betreffende cd war klean und meine hd abgekoppelt. der benutzte browser war der in der industrie als sicher angesehene firefox ohne plugins. der 'gaen poster' wegen dem defacing hat sich im ton etwas vergriffen, sicher. andererseits ist der re-direct ein plumper angriff und sollte von einer firma mit dem level an resourcen wie nestle verhindert werden koennen. reaktionszeit war auch recht lange:14.04.2008, 03:52 - 13.04.2008, 08:02 = 19.5 Std bis es von Ihrer Organisation bemerkt wurde. 14.04.2008, 10:01 war es dann sicher behoben, ich nehme an es dauerte viel weniger lang um den fehler zu beheben.

Avatar
jstuker
18.04.2008
Einverstanden @BlackIceDefender. Stimmt alles. Der Unterschied, den ich hervorheben wollte ist, dass zum Zeitpunkt der "fiesen site" die Domäne nicht maggi.ch war. Das ist der Unterschied zum Defacement und im Bezug auf Sicherheitskontext und Gefährdung des Brands macht es auch meiner Sicht einen Unterschied. Reaktionszeit stimmt auch. Das liegt dran, dass wir weder eine Benachrichtigung "von aussen" bekommen haben, noch dass das Monitoring alarmierte (wegen Clientcode). Auf unserer Seite bekamen wir die erste Info ca. 20:00 bekommen, darauf habe ich die Site offline genommen und ca. 22:00 war es behoben. Aber auch das ist wohl zu langsam. Cheers!

Avatar
mhk
18.04.2008
der client-side redirect wird aber von einem script ausgeloest, das von maggi's site kam. fuer den nicht techniker ist dass immer noch so, dass maggi aufgerufen wird und dann der andere ramsch im browser stand. dass das script eindeutig von maggi kam ist damit bewiesen, dass ich den test mit einer live-cd dstribution machte. die betreffende cd war klean und meine hd abgekoppelt. der benutzte browser war der in der industrie als sicher angesehene firefox ohne plugins. Moooment, war das ein JS-Redirect? (Wie kommt es dann, dass ich trotz eingeschaltetem NoScript die Seite geladen habe?!)

Avatar
BlackIceDefender
18.04.2008
...Gefährdung des Brands macht es auch meiner Sicht einen Unterschied Waeren die Nestle-Produkte nicht haufenweise in den Shop-Regalen, waere das ganze tatsaechlich eine gefaehrdung des brands. Aus Benutzersicht ist - unabhaengig von der angewendeten technik des hacks - die seite beschaedigt und ein anderer inhalt als maggi ist sichtbar. da mit der auslegung technischer termini floehe zu beschneiden, ist eher eine gefaehrdung des IT Brands. 'nuff said.