Bestem selv prisen på den næste vare, du køber over internettet.
Det er ikke et slagtilbud midt i januarudsalget. Det er virkeligheden for tusindvis af danske websteder.
Sikkerheden er i skræmmende mange tilfælde ikke god nok i de programmer, der giver webstederne deres funktionalitet.
- Vi finder højrisiko-problemer i omkring halvdelen af de webapplikationer, vi tester. Og det er hos store danske virksomheder, siger direktør Ulf Munkedal fra Fort Consult.
Han vurderer, at webstedernes motorer, web-applikationerne, er på vej til at blive et nyt mål for hackere.
Hjemmestrik
Det er der flere oplagte grunde til. Først og fremmest er de fleste webapplikationer unikke. De er hjemmelavede eller tilpasset til ukendelighed af virksomhedens egne udviklere.
Det betyder, at der ikke er nogen producent, som frigiver en opdatering, hvis der bliver fundet et sikkerhedshul.
Hvis virksomheden ikke selv leder efter sikkerhedshuller, så er der en risiko for, at det er en hacker, der finder dem først.
Det kan endda ske ved et tilfælde under et normalt besøg på webstedet. En fejlslagen søgning eller et forkert link kan sende brugeren videre til en fejlside, der afslører alt for meget om, hvordan man skal kommunikere med webstedets database.
Får man en ODBC-databasefejl på et websted, så er der sandsynligvis også mulighed for at angribe databasen ved hjælp af såkaldt SQL-injektion. SQL er det sprog, som bruges til at manipulere og udtrække data fra de databaser, der typisk bruges på websteder.
Ændringer er værst
En webapplikation, der er sårbar over for SQL-injektion, åbner dørene på vidt gab til den bagvedliggende database. Det betyder, at uvedkommende kan få fat på i værste fald fortrolige oplysninger.
- Du kan også slette oplysninger, ændre i andre folks bestillinger eller ændre priserne. Det har vi set flere eksempler på hos de websteder, vi har testet, siger Ulf Munkedal.
Ændringer kan være det værste, der kan ske. Især hvis databasen netop er den database, som virksomheden bruger til at lagre sine data.
- Du opdager nok, hvis noget er slettet. Så kan du bruge din backup. Men hvis noget er ændret, opdager du det måske ikke, før backuppen for længst er slettet, siger Ulf Munkedal.
Visse databaser, blandt andet Microsofts MS-SQL, giver desuden mulighed for at afvikle små programmer på selve serveren gennem databasekald.
Find fejlene først
Det første skridt til at sikre sin webapplikation er at bruge et af de tilgængelige værktøjer, der kan scanne webstedet for sikkerhedshuller.
Sådan en scanning kan afsløre SQL-injektion, cross-site scripting, efterladte kommentarer i koden, backupper af filer, der skulle være skjulte, samt en række andre fejl.
Det næste skridt er at få udviklerne til at ændre deres vaner, så de tænker sikkerhed på lige fod med funktionalitet og brugervenlighed.
- Og det vil udviklerne rigtig gerne, når vi snakker med dem, siger Ulf Munkedal.
Når vanerne er ændret, vil mange fejl kunne undgås hvor det er billigst nemlig i selve udviklingsfasen.
- Men der kan dukke nye op, når man retter de gamle, understreger Ulf Munkedal.
Lovligt at offentliggøre huller
Værktøjer til at scanne websteder for sikkerhedshuller findes både fra store sikkerhedsfirmaer og fra hackerverdenens gråzone.
Umiddelbart er det ikke ulovligt at offentliggøre oplysninger om sikkerhedsbrister på websteder i Danmark.
Det var i hvert fald dommerens vurdering i en dom sidste år, hvor en debattør fra Computerworlds debatforum blev frifundet. Debattøren havde i et debatindlæg beskrevet en sårbarhed i betalingssystemet Valus.
Det fandt dommeren var i orden. Dommen slog dog samtidig fast, at det var forsøg på hacking, da en anden person senere forsøgte at manipulere med Valus' webapplikation efter anvisningerne.
