Fra otte dage til flere uger. Så lang tid kan der gå, fra vi advarer et webhotel om et sikkerhedsproblem, til det tager affære.
Tendensen er helt klar: De danske webhoteller tager ikke it-sikkerhed alvorligt.
Det mærker vi i Dk-Cert, når vi modtager henvendelser fra vores samarbejdspartnere rundt om i verden.
Spreder malware
En henvendelse kan for eksempel handle om, at et websted spreder skadelige programmer (malware). Eller det kan blive brugt til phishing-svindel.
Når vi får sådan en henvendelse, finder vi ud af, hvem der har ansvaret for webstedet.
Derefter skriver vi til den ansvarlige, der ofte vil være et webhotel. Og så venter vi.
Ofte svarer webhotellet slet ikke på vores henvendelse.
Det er selvfølgelig heller ikke nødvendigt, hvis bare det løser problemet - men det sker heller ikke lige med det samme.
Et eksempel: Et amerikansk sikkerhedsfirma skriver til Dk-Cert, at de nu for tredje gang henvender sig om et phishingsted, der ligger hos et dansk webhotel.
I skrivende stund har det været online 264 timer - altså 11 dage. Webhotellet reagerer ikke.
Selvfølgelig er ikke alle webhoteller lige slemme. De fleste har styr på procedurerne og reagerer prompte.
Men der er desværre nogle få, som reagerer alt for sent, og de er til skade for sikkerheden.
Opdateringer mangler
Også på et andet punkt svigter webhotellerne sikkerheden: Opdateringer.
De holder ikke deres software opdateret med de seneste sikkerhedsrettelser. Det medfører, at deres systemer er sårbare.
Resultatet er, at kunderne bliver ofre for mass defacements, hvor hundredvis af domæner på samme IP-adresse overtages i ét hug.
Her er det særlige problem
Et særligt problem udgøres af CMS-systemer (Content Management System), som webhotellerne tilbyder deres kunder at installere.
Når først kunden har installeret en pakke, er det som regel kundens ansvar at holde den opdateret.
Det er uheldigt.
Jeg synes, at webhotellerne skal overveje i højere grad at tilbyde CMS'er som SaaS (Software as a Service), hvor alle kunderne kører på den samme kodebase. På den måde kan webhotellet opdatere softwaren for alle kunder fra centralt hold.
Glad smiley søges
Jeg har tidligere foreslået, at der skulle indføres en smiley-ordning for webhoteller. De hoteller, der holder deres systemer opdateret, får en glad smiley.
Modellen er ikke helt færdig.
Den har den svaghed, at et websted med en sur smiley kan virke som en invitation til hackere: Her er en server med svag sikkerhed. Det problem skal løses, før en smiley-ordning kan indføres.
Under det videre arbejde med smiley-ideen kan vi udvide forslaget:
For at få en glad smiley skal webhotellet forpligte sig til at reagere inden for et bestemt tidsrum på henvendelser om sikkerhedshændelser. Det kunne for eksempel være inden for to dage.
Gå sammen
Jeg opfordrer webhotel-branchen til at mødes og diskutere, hvordan de vil håndtere sikkerhed.
Jeg er klar over, at der findes nogle små og mindre seriøse spillere, som vi ikke får i tale.
Men hvis de dominerende på markedet kan blive enige om retningslinjer, er vi nået langt.
Vi har drøftet dette emne i andre kredse i branchen, og stort set alle er enige om, at det er et reelt problem.
Vi ved også, at det kun kan løses i fællesskab.
Derfor opfordrer jeg til at samarbejde på tværs af branchen, så vi finder en løsning.
DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed.
DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.
Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.
