Veven, ein skummel plass..
Tenkte eg skulle informere lesarane min litt om kva som kan skje berre ved å surfe rundt på internet, eg trur nemleg mange er litt naive når det kjem til sikkerheit på veven.
Når ein jobbar på ei IT-avdeling kjem ein over mykje rart, og ein av tinga er virus/malware.
27. august 2008 informerte eg to firma som driv med sal av bruktbilar om at vevsida deira innholdt skadlegkode. Dei som då hadde fått problem var Ovesbil.com & Bidnebil.no. Begge sidene var nede i over ei veke som følgje av informasjonen eg gav dei.
I dag kom me over ei ny infisert bil side, og denne gongen var det faktisk ei lokal, Leikangerauto.no. Denne sida er no faktisk reparert, men det er berre nokre timar sidan. Spørsmålet er om dei sjølve har tatt koden fekk, eller om angriparen gjorde det sjølv.
Det skumle med denne type åtak er at brukaren sjeldan har noko forsvar, og har inga aning om kva som faktisk skjer, for det heile vert gjort i bakgrunnnen.
No skal eg vise litt korleis dette vert gjort.
Det heile byrjar med at nokon klarar og endre på sida, dette kan skje på fleire måtar. Nokon vanlege metodar er at dei finn ut passordet til FTP-en, finn ut administrator kontoen (www.leikangerauto.no/administrator), SQL injection eller XSS. Kva som vart brukt i dette tilfellet veit eg ikkje.
Her ser de eit bilete av kjeldekoden til Leikangerauto.no før feilen vart retta:
<iframe> kan brukast til og opne ei eksternside utan at brukaren merkar det. Sånn som i dette tilfellet kor bredden og høgden er satt til 0, og stilen til skjult.
Og det er sida som vert opna i <iframe> som innheld den skadlege koden.
Det viser seg at ein ved kallenamnet "Aziza" har teke over denne sida:
...Og at han utnyttar ein feil i programmet Adobe Reader, muligens andre og.
Eg klarte ikkje og framprovosere same resultat her heime som det eg såg på jobb, men resultatet vart ikkje bra her heller. Hjå meg førte det til at Windows ikkje klarte og laste explorer.exe, som betyr at eg ikkje får opp noko anna enn eit blankt skrivebord. På jobb vart det installert eit eller anna program for å fjerne Spyware.
So kva kan ein gjere for å beskytte seg mot denne type angrep?
Det beste i mine auge er å bruke nettlesaren Firefox i lag med tillegget NoScript. Ein anna moglegheit er og bruke f.eks Chrome til nettlesar og FoxIt som PDF lesar. Dette er to program som er mindre utsatt for angrep, sidan dei har mindre brukargrupper. Adobe sine produkt har vore voldsomt utsatt i det siste. Dei fleste har og Adobe Flash på PC-en sin, hald det oppdatert, eller avinstaller det. Hold Anti-Virus programmet oppdatert, og ikkje minst køyr Windows update den andre onsdagen eller torsdagen i kvar månad.
No related posts.
June 2nd, 2009 - 20:23
Eg e sikkert ein av dei so e litt naive.. e da difor dataen min e so veldig treig om dagen? Du må fiksa dan litt i sommar trur eg!
Dersom armane dine e i form t da vel og merka.
June 15th, 2009 - 22:06
Eg ha ikkje møtt ein vanle brukar so ikkje e naiv når da gjelde virus/malware. Godt mule da e da so gjere dataen din treig… Kom deg heim so ska eg fiksa eg.