Log ind
Publiceret d. 10. december 2008 kl. 15.59
| 
ANNONCE:
Her kan du se serveren. Klik på billedet for at se det i en større version.
Her kan du se serverens directory. Klik på billedet for at se det i en større version
Sådan lyder et tilbud fra Sonofon til danskere, som deltager i firmaets højtprofilerede flashspil Sonofonhuset.
Problemet er, at serveren bag Sonofon-spillet er så usikker, at spillets opsætning og styring er frit tilgængelig for enhver, som ønsker at ændre på spillets egenskaber eller kode.
"Det er fuldstændig piv-hamrende åbent. Der er intet brugernavn og password," fortæller Peter Kruse, fra sikkerhedsfirmaet Csis.
Den dårlige sikkerhed bag spillet gør udfordringen ved at vinde minimal. På grund af den usikre server er det nemlig nemt at vinde, mener Peter Kruse.
"Du kan snyde på alle måder. Du kan ændre level, hvad du opnår af point, du kan ændre hvor data bliver sendt hen og oven i købet indholdet af data. Men du kan også levere skadelig kode, hvis det er det du vil," siger Peter Kruse.
Stor sikkerhedsrisiko
Dermed gør spillet det muligt at inficere andre brugeres computere med skadelig kode eller simpelthen bruge Sonofons spilserver til et helt andet formål.
Sonofon leverer via serveren oven i købet adgang til et nemt brugerinterface, som giver kontrol over serveren uden brug af indviklet kodelinie, forklarer Peter Kruse.
Den frie adgang til Sonofons spilserver i Kuala Lumpur giver fuld adgang til alle mapper med kildekoden til julespil på Sonofons hjemmeside. Og sikkerhedshullet giver gode muligheder for at sprede skadelig kode ved hjælp af serveren.
"Du kan ændre koden i Shockwave Flash og indlægge eksterne links, som eksempelvis peger hen mod det nye Shockwave Flash exploit eller de ny exploits i Internet Explorer. Det tager to minutter," siger Peter Kruse.
"Fuld mappelistning. Fuld adgang til managementsystemet og ingen passwords. Jeg synes, det er kikset, at Sonofon ikke har været inde og tjekke," siger Peter Kruse.
Derfor mener Peter Kruse, at Sonofon bør rette problemet så hurtigt som muligt og herefter validere leverandøren af julespillet grundigt.
"Jeg synes, at Sonofon bør gøre sig tanker om, hvad det betyder, at man sender danske brugerdata til Kuala Lumpur," siger Peter Kruse, der ikke mener at kunne finde oplysninger til brugerne om denne videregivelse af oplysninger til et fremmed land på Sonofons hjemmeside.
Fortsættes ...
|
