Angreb hamrer løs på populære danske websites

Annonceindlæg fra Arrow ECS

Copilot: Din digitale assistent eller en sikkerhedstrussel?

Stor bekymring hos IT og compliance – men Copilot er IKKE problemet

Bonus-info

De fleste moderne websider bygger på en database. I databasen ligger alt indholdet - artikler, kommentarer, brugernavne, osv.

Webserveren og databasen snakker typisk sammen i sproget SQL. Når en bruger går ind på en side, kan serveren for eksempel sige til databasen: "giv mig artiklen med id-nr 1234". Databasen leverer artiklen, og webserveren viser så denne for brugeren. Et andet eksempel kan være, når en bruger benytter sig af en websides indbyggede søgefunktion.

Men hvad sker der, hvis brugeren nu indtaster SQL-kommandoer som søgeord? Hvis websitet er bygget ordentligt, vil webserveren genkende SQL-kommandoerne, og nægte at sende dem videre.

Hvis websitet derimod ikke er bygget ordentligt, vil webserveren sende kommandoerne videre til databasen, der så udfører disse kommandoer ufortrødent.
Dermed bliver det muligt for brugeren at ændre på indholdet i databasen, og dermed i de sider, der bliver vist på websitet.

Hackeren kan også trække data ud, som han ikke burde have adgang til, for eksempel brugernavne, e-mail-adresse og lignende, alt efter hvad der nu ligger i databasen.

Kilde: CERT

Populære hjemmesider som www.bold.dk og www.jobselect.dk har over sommeren været inficeret med ondsindet software.

Det oplyser it-sikkerhedsvirksomheden SoftScan, der tilbyder den webbaserede sikkerhedsløsning ScanSafe.

I første halvdel af 2008 er web-baseret malware således steget med 278 procent på globalt plan, oplyser SoftScans it-chef, Diego D'Ambra.

"Fodboldnyhedsitet Bold.dk er det 18. mest populære websted i Danmark. I juni måned måtte vi afskære mange fra at surfe på bold.dk for at sikre dem mod angreb på deres computer. Sitet var vært for en skjult iframe, der ledte til en side fyldt med malware," siger han.

Bold.dk er blevet renset, så det er sikkert at besøge hjemmesiden igen.

Mere alvorligt trusselsbillede

Trusselsbilledet bliver mere og mere alvorligt, og det er typisk kendte, legitime og troværdige hjemmesider i forretningsverdenen, der bliver angrebet, erfarer SoftScan.

"Vi oplever en stigende efterspørgsel på få scannet web- og instant messaging-trafik. Virksomheder vil have deres internettrafik renset ved kilden. Angrebene er avancerede og fordækte, og de fleste besøgende opdager ikke, at de er blevet inficeret," siger Diego d'Ambra.

Jobsøgningsportalen www.jobselect.dk har også været under angreb.

Det var i form af såkaldte SQL injection-angreb, hvor der bliver tilføjet SQL-kode til hjemmesiden for at få adgang til at ændre i data. I juli måned var 72 procent af alle SoftScan's web-blokeringer rettet mod SQL injection-angreb.

Bonus-info

De fleste moderne websider bygger på en database. I databasen ligger alt indholdet - artikler, kommentarer, brugernavne, osv.

Webserveren og databasen snakker typisk sammen i sproget SQL. Når en bruger går ind på en side, kan serveren for eksempel sige til databasen: "giv mig artiklen med id-nr 1234". Databasen leverer artiklen, og webserveren viser så denne for brugeren. Et andet eksempel kan være, når en bruger benytter sig af en websides indbyggede søgefunktion.

Men hvad sker der, hvis brugeren nu indtaster SQL-kommandoer som søgeord? Hvis websitet er bygget ordentligt, vil webserveren genkende SQL-kommandoerne, og nægte at sende dem videre.

Hvis websitet derimod ikke er bygget ordentligt, vil webserveren sende kommandoerne videre til databasen, der så udfører disse kommandoer ufortrødent.
Dermed bliver det muligt for brugeren at ændre på indholdet i databasen, og dermed i de sider, der bliver vist på websitet.

Hackeren kan også trække data ud, som han ikke burde have adgang til, for eksempel brugernavne, e-mail-adresse og lignende, alt efter hvad der nu ligger i databasen.

Kilde: CERT

SQL injection mere populært

Fra sikkerhedsfirmaet CERT lyder meldingen, at SQL injection-angrebene tilsyneladende er blevet mere populære blandt hackere.

SQL injection er en kommando, der går efter en bestemt sårbarhed på den måde en hjemmeside er bygget på, og findes den, slår hackeren til, forklarer CERT-direktør Shezad Ahmad.

Antallet af hackede, danske hjemmesider svinger lidt. Nogle dage ligger det mellem fem til ti hackede hackede hjemmesider, andre dage mellem 30-40.

"Og så er der de store angreb, som rammer mange tusinder. Men mange inficeringer går alene efter at fjerne forsiden på hjemmesiderne og vise noget andet, for eksempel et politisk budskab," siger Shezad Ahmad.

Dansk sikkerhed generel fint

Generelt er danske virksomheder og hjemmesiderejere rigtig godt med på sikkerheden, mener han.

Det halter dog stadig lidt med at få opdateret sit system, når det bliver kendt, at der er en sårbarhed.

"Ellers ligger sikkerheden på et godt niveau, selvom der i nogle tilfælde ikke sættes praktisk handling bag de it-sikkerhedspolitikker, som mange virksomheder har i dag," siger han.

Endelig kunne danske virksomheder også gøre mere ved krypteringen af de bærbare computere.

"Her føler jeg, at vi er bagud i Danmark," siger Shezad Ahmad.