Wer am 05. Februar 2012 die Webseite www.zuguttenberg.de besuchte, dürfte nicht schlecht gestaunt haben. Denn anstelle des sonst eher nüchternen Internetauftritts des früheren Verteidigungsministers und jetzigen EU-Beraters Karl-Theodor zu Guttenberg, war dort folgendes zu sehen:
Oder hier: Die unmissverständliche Aufforderung an Herrn Heveling, die Passwörter für seinen Webauftritt zukünftig sicherer zu gestalten:
Diese Form der Webseitenverunstaltung wird im Fachjargon als “Defacement” bezeichnet.
Neben politisch motiviertem Hacktivismus, hat sich das “Defacen” allerdings auch zum Volkssport entwickelt. Zielsetzung hierbei ist der Wettstreit unter Cracker-Gruppen und damit das “sich Profilieren”, “zur Schau stellen” des eigenen Könnens. Neben dem Psydonym des Hackers, sowie der namentlichen Nennung der Cracker-Gruppe, sind daher oft auch Kontakt-Daten und Links zu Profilen auf sozialen Netzen wie Facebook & Twitter vorhanden.
Man feiert sich – man zählt die “Abschüsse”.
Wohingegen bei gezielten Angriffen, wie dem eingangs erwähnten Guttenberg-Beispiel oder den Hacks der Webseiten des Pentagon, CIA oder Kimble (aka Kim Schmitz, dem selbsternannten “König der Hacker”), davon ausgegangen werden kann, dass die Angreifer über tatsächliche Hacker-Skills verfügen, ist bei der großen Masse an WebSeiten-Defacements, wohl eher das Skript-Kiddie am Werk, das mittels einfachen BruteForce-Attacken, vergessene und mit viel zu laschen Passwörtern versehenen FTP-Zugänge “hackt” oder via Schritt-für-Schritt-Anleitung ungepatchte Content Management Systeme “übernimmt”.
Aber nicht immer ist das “Defacement” sichtbar
In der Summe verfolgen “Defacer” aber ein gemeinsames Ziel: Sie wollem dem Administrator einer Webseite zeigen, dass “man” es konnte und “er” versagt hat. Neben den öffentlichen Defacements, und dem “Bloßstellen” des Webseitenbetreibers, durch sichtbare Veränderung der Startseite, werden daher auch nur innerhalb des Seiten-Quelltextes Codefragemente in Form von Kommentierungen hinterlassen oder .txt-Dateien hochgeladen um den Beweis anzutreten.
Der Schein trügt!
Haben Sie schon einmal “vergessene” chinesische Schriftzeichen, auf einer WebSeite gefunden? Und haben Sie sich dann gefragt ob hier Hacker am Werk waren?
Wer hier denkt, die Seite des TÜV Rheinland sei gehackt, irrt. Denn hierbei handelt es sich um die sogenannte ICP licence, die ein WebSeiten-Betreiber immer dann auf seiner Internetpräsenz mitführen muss, wenn er der Zensur durch den chinesischen Staat entgehen möchte. Nicht alles was aussieht wie eine Manipultation, ist auch tatsächlich ein Defacement. Sind Sie der Meinung, Sie haben ein Defacement gefunden? Dann melden Sie es uns!
Wie kann ich mich davor schützen?
- Prüfen Sie regelmäßig Ihr Content Management System auf verfügbare Aktualisierungen
- Wählen Sie sowohl die Usernamen, als auch die Passwörter, zu den Zugängen Ihrer Webseite (SSH, FTP, etc.) mit bedacht und ändern Sie diese regelmäßig
- Deaktivieren Sie nicht (mehr) benötigte Zugänge
- Installieren Sie Tools, wie fail2Ban oder denyhosts um BruteForce-Attacken durch automatisiertes Sperren von Angreifer-IPs rechtzeitig abzuwehren
BTW: der WebSeiten-Check der Initiative-S erkennt solche Massen-Manipulationen und alarmiert Sie zeitnahe darüber, wenn es doch mal dazu kommt!
