Was ist Website Defacement?
Das unberechtigte Verändern des Designs und/oder der Inhalte einer Website wird als Website Defacement bezeichnet.
Wie funktioniert Website Defacement?
Ein Angreifer nutzt Sicherheitslücken in Webservern und Webanwendungen aus oder verschafft sich mithilfe einer Brute-Force-Attacke, von Cross-Site-Scripting, SQL-Injections oder einer anderen Methode die Zugangsdaten. In der Folge wird die Website verändert.
Beispiel: Einer der bekanntesten Fälle war in der zweiten Hälfte der 1990er Jahre ein Angriff auf die Hauptseite der Central Intelligence Agency (CIA). Für drei Tage stand dort als Titel „Central Idiots Agency“.
Welche Ziele verfolgen Angreifer beim Website Defacement?
Teilweise hinterlassen die Angreifer ihr Cracker-Pseudonym, um ihr Ansehen in der Netzgemeinde zu steigern und auf sich aufmerksam zu machen. Auch kann es das Ziel sein, dem Betreiber einer Website eine Lektion zu erteilen.
Wie werden Website Defacements erkannt?
Die Veränderung muss nicht auf der Hauptseite stattfinden und nicht sofort erkennbar sein. Möglich ist zum Beispiel eine Änderung der Kontaktdaten, sodass Seitenbesucher Kontakt zu einer falschen E-Mail-Adresse aufnehmen. Antivirenprogramme und Malware-Scanner erkennen solche Manipulationen nicht. Es gibt aber geeignete Tools wie die Software Nimbusec, die Website Defacements erkennen können. Die Tools durchsuchen Websites auf Veränderungen im Source Code, neu eingefügte Bilder und Texte, möglichen Content-Spam und optische Veränderungen. Für den Vorher-Nachher-Vergleich machen die Tools ständig Website-Screenshots und scannen diese nach Veränderungen. Um den unerlaubten Veränderungen auf die Schliche zu kommen, suchen die Tools nach Anomalien wie sonst nicht eingesetzte Fremdsprachen, bisher nicht verwendete Wörter sowie ungewöhnliche Farben und Textpositionen. Auch der Zeitpunkt einer Website-Änderung wird überwacht und kann zu einem Alarm führen. Damit das Erkennungs-Tool richtig funktioniert, muss es zunächst übliche Änderungen kennenlernen und verdächtige Veränderungen melden. Legitimiert ein Administrator einen angezeigten Verdachtsfall, lernt das Tool und funktioniert so mit der Zeit zuverlässiger. Dabei darf das Tool keine Nutzerdaten sammeln oder auswerten. Das Verhalten der Webmaster darf solch ein Tool nicht protokollieren, andernfalls ließe es sich zur Mitarbeiterkontrolle einsetzen.
Wie bereiten sich Seitenbetreiber richtig vor?
Administratoren sollten immer über ein aktuelles Backup der Website verfügen, um die Seite im Notfall wiederherstellen zu können. Die verpflichtende Verwendung starker Passwörter schützt, ebenso müssen alle Softwarebestandteile auf dem aktuellen Stand sein.