jan 072009
 

Selv om Web 2.0-teknologi i dag på en enkel måte gir oss tilgang til funksjonalitet som inntil nylig ikke var tilgjengelig  eller krevde meget høy kompetanse, er det en viss risiko forbundet med å besøke spesielt nettsteder som tilbyr høy grad av interaktivitet.  Det er dessverre slik at det har vært flere dokumenterte tilfeller hvor personer som bruker ellers legitime Web 2.0 nettsteder har vært utsatt for funksjonalitet som f eks sprer virus eller utfører cross-site scripting (XSS)

Årsaken til at Web 2.0-teknologi representerer en slik sikkerhetsrisiko har som nevnt ovenfor ofte å gjøre med graden av nettstedets interaktivitet. Men også andre årsaker er viktige:

«The main reason [criminals] are targeting this area so heavily is because most of us take part in them,» sier Alfred Huger (vice president of engineering at Symantec Security Response) om web 2.0 teknologi (social networking sites). De fleste av «the top 10 most-visited sites on the Web are social networking sites«, ifølge global Web site rankings fra Alexa.

Nettsteder som f eks YouTube og MySpace lar brukerne laste opp filer og legge inn andre typer innhold. Dermed kan filer som har til hensikt å angripe og skade andres maskiner bli gjort tilgengelige på slike nettsteder. Når andre brukere så besøker området som nå inneholder f eks skadelig skript, blir brukerne eksponert for disse og kan få sine maskiner infisert eller det lastes ned skadelige filer fra nettstedet til brukerens maskin uten at dette oppdages av brukeren..

Dette en stor sikkerhetstrussel. Årsaken er ofte at de fleste sikkerhetsprogramvarene behandler velkjente Web 2.0 nettsteder som helt trygge. På den ene siden er nok dette også en riktig strategi fordi disse kjente nettstedene ville vært ”døde” umiddelbart dersom det spredte seg et rykte om at nettstedet sprer virus eller annen skadelig kode. Men på den andre siden betyr dette også at brukerne kan bli utsatt for skadelige virus på områder som alle regner med er klassifisert som trygge.

Teoretisk betyr dette at for å være på den sikre siden må alle webutviklere i utgangspunktet anta at all brukeraktivitet i prinsippet er skadelig, og deretter analysere aktiviteten på en måte som på en sikker måte skiller de gode hensikter (aktiviteter) fra de dårlige (skadelige), før det gis tilgang til nettstedet. I praksis er nok ikke dette mulig å oppnå 100%.

Men også utviklerne av nettlesere har en jobb å gjøre her. F eks har Microsofts nye Internet Explorer 8 (som foreløpig er i betaversjon) som mål å bli den første nettleseren med et innebygd cross-site scripting filter. Et av problemene her vil sannsynligvis bli å finne balansepunktet mellom en sikrere nettleser og et brukergrensesnitt som ikke ”plager” brukeren med for mange ”nag screens” (vinduer som spretter opp automatisk når en bruker vil inn på et nettsted og som f eks spør brukeren: Vil du virkelig gjøre dette?).

Det har i det siste også vært en del spekulasjoner om at en ”nettstedseier” potensielt kan holdes ansvarlig for skade forvoldt av nettstedet, selv om nettstedet i seg selv ikke er skadelig. Disse spekulasjonene er basert på ideen om at en nettstedseier kan bli funnet å være uaktsom i sine sikkerhetsrutiner og dermed lar sitt nettsted bli utnyttet av personer med onde hensikter.

Mandag denne uken opplevde Obama og en rekke andre Twitter-kjendiser nettopp dette. «Noen» hadde hacket seg inn på deres brukerkontoer, for så å sende ut falske meldinger. Det viste seg at det var en 18-åring som sto bak, og at han enkelt hadde funnet frem til passordet for en av Twitters ansatte på support. Alt han trengte å gjøre var å bruke et automatisert passordgjettingsprogram, og så fant han raskt frem til passordet «happiness».

” Jeg mener det dreier seg om nok et eksempel der administratorer ikke gidder å ta seg bryet med å stoppe en av de mest opplagte og mest brukte sikkerhetsfeilene”, forteller hackeren i et intervju med Wired. Twitter hadde ikke lagt inn noen form for sperre som hindret slike automatiserte forsøk, og dermed tok det ikke lang tid å komme seg inn.

Ved hjelp av passordet til den Twitter-ansatte personen med brukernavnet Crystal, fikk hackeren muligheten til å endre hvilket som helst brukerpassord gjennom administrasjonsgrensesnittet. Istedenfor selv å ta over brukerkontoene til andre, valgte han å legge ut en oppskrift på Digital Gangster (et forum for hackere) slik at andre kunne gjøre det.

Dermed ble Twitter-kontoene til blant annet kjendiser og organisasjoner som Barack Obama, Britney Spears, Facebook, CBS News, Fox News, CNN og Digg-gründer Kevin Rose tatt over på kort tid. Dette resulterte blant annet også i at den kontroversielle og konservative programlederen Bill o’Reilly ble hengt ut som homofil av sin egen arbeidsgiver. Twitter tok raskt affære og ryddet opp, men vil ikke si noe om sine sikkerhetsrutiner.

[Hvordan du kan sikre deg 24/7? Ja, det er ikke alltid like enkelt, men på NorSIS finnes flere gode tips…]

  2 Responses to “Sikkerhet på nettsteder – Twitter hacket…”

  1. Dette er virkelig skremmende og interessant og det er flott at du setter fokus på sikkerheten til nettsteder!

  2. Jeg ser jo poengene dine med tanke på sikkerhet, men føler at det blir litt paranoid kanskje?

    Det kan nesten virke som om bare det at man er på Internett medfører at man vil bli utsatt for digital kriminalitet, og en slik tankegang er jeg ikke helt enig i.

    Du nevne jo ett aspekt angående Twitter-hacken, men man kunne jo også tenkt seg at en VELDIG enkel sikkerhetsforanstaltning ville være å bruke sikre passord (eks: v1nt3R). Altså en blanding av /store og små) bokstaver og tall.

    Symantec har vel og en liten egeninteresse av å spre «frykten» på nettet vil jeg anta?

    Personlig fikk jeg min første datamaskin i 6. klasse. I 1996 begynte jeg å kode min første HTML-kode. I 2001 sluttet jeg å bruke antivirusprogramvare. Og jeg har (bank i bordet) enda ikke opplevd virusinfisering eller andre skrømt som finnes rundt om på nettet. Jeg har heller aldri brukt noen «internet security»-programvare. Hvorfor/hvorfor ikke? Vel…ganske enkelt fordi jeg ønsker å ha en kjapp og responsiv maskin!

    Jeg velger, med all mulig beskjedenhet, å si at grunnen til at jeg ikke har havnet i en slik situasjon er at jeg etterhvert har skaffet meg en tålig grei digital kompetanse, og ikke leker jakt på alt som blinker/lyser/skriker mest på skjermen. Jeg LESER gjennom det som står skrevet under installasjon av ett program (når jeg bruker Window$) og tar i tillegg jevne formateringer/gjenoppretting fra image-fil.

    Videre liker jeg å tro at Internett er en GOD ting, og at det er flere som ønsker å bidra positivt til nettet enn å skade og ødelegge. Muligens en naiv tanke, men jeg har dagdrømmer om at virkeligheten på Internett er omtrent som virkeligheten ellers; at det er flere «good guys» enn «bad guys», og slik sett så mener jeg at sikkerheten er godt ivaretatt på bakgrunn av det at vi er flere.

    Frykt har aldri ledet noe godt med seg, og man lar ikke være å sette seg i bilen for å kjøre fra A til B heller selv om man vet at det kan være en viss fare med det. Mange sluntrer nok unna med bilbelte fra tid til annen, men stort sett så går vel også det helst bra?

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)