Saures für Maggi.ch

das ist aber schon eine etwas weite auslegung des thread inhaltes. ja, schon. Evtl hoffte man auf mehr echos?

Es war kein Defacing Auf der Domäne maggi.ch resp. www.maggi.ch war niemals die gezeigte Site zu sehen. Dem Angreifer gelang es, eine clientseitge Umleitung zu erwirken. Aus meiner Sicht ein wichtiger Unterschied. Der Thread auf der PC-Tipp-Site http://www.pctipp.ch/forum/showthread.php?p=33470 beschreibt das so...

der client-side redirect wird aber von einem script (oder "<META HTTP-EQUIV="refresh" CONTENT="N;URL=..."> " ausgeloest, das von maggi's site kam. fuer den nicht techniker ist dass immer noch so, dass maggi aufgerufen wird und dann der andere ramsch im browser stand. dass das script eindeutig von maggi kam ist damit bewiesen, dass ich den test mit einer live-cd dstribution machte. die betreffende cd war klean und meine hd abgekoppelt. der benutzte browser war der in der industrie als sicher angesehene firefox ohne plugins. der 'gaen poster' wegen dem defacing hat sich im ton etwas vergriffen, sicher. andererseits ist der re-direct ein plumper angriff und sollte von einer firma mit dem level an resourcen wie nestle verhindert werden koennen. reaktionszeit war auch recht lange:14.04.2008, 03:52 - 13.04.2008, 08:02 = 19.5 Std bis es von Ihrer Organisation bemerkt wurde. 14.04.2008, 10:01 war es dann sicher behoben, ich nehme an es dauerte viel weniger lang um den fehler zu beheben.

Einverstanden @BlackIceDefender. Stimmt alles. Der Unterschied, den ich hervorheben wollte ist, dass zum Zeitpunkt der "fiesen site" die Domäne nicht maggi.ch war. Das ist der Unterschied zum Defacement und im Bezug auf Sicherheitskontext und Gefährdung des Brands macht es auch meiner Sicht einen Unterschied. Reaktionszeit stimmt auch. Das liegt dran, dass wir weder eine Benachrichtigung "von aussen" bekommen haben, noch dass das Monitoring alarmierte (wegen Clientcode). Auf unserer Seite bekamen wir die erste Info ca. 20:00 bekommen, darauf habe ich die Site offline genommen und ca. 22:00 war es behoben. Aber auch das ist wohl zu langsam. Cheers!

der client-side redirect wird aber von einem script ausgeloest, das von maggi's site kam. fuer den nicht techniker ist dass immer noch so, dass maggi aufgerufen wird und dann der andere ramsch im browser stand. dass das script eindeutig von maggi kam ist damit bewiesen, dass ich den test mit einer live-cd dstribution machte. die betreffende cd war klean und meine hd abgekoppelt. der benutzte browser war der in der industrie als sicher angesehene firefox ohne plugins. Moooment, war das ein JS-Redirect? (Wie kommt es dann, dass ich trotz eingeschaltetem NoScript die Seite geladen habe?!)

...Gefährdung des Brands macht es auch meiner Sicht einen Unterschied Waeren die Nestle-Produkte nicht haufenweise in den Shop-Regalen, waere das ganze tatsaechlich eine gefaehrdung des brands. Aus Benutzersicht ist - unabhaengig von der angewendeten technik des hacks - die seite beschaedigt und ein anderer inhalt als maggi ist sichtbar. da mit der auslegung technischer termini floehe zu beschneiden, ist eher eine gefaehrdung des IT Brands. 'nuff said.