Gå til innhold

Offentlige nettsider sprer virus


Anbefalte innlegg

Videoannonse
Annonse
Også Datatilsynet og Forbrukerrådet reagerer på opplysningene i Aftenposten. Leif T. Aanensen i Datatilsynet sier til Aftenposten at det er nytt for dem at offentlige nettsteder er blitt infisert.

Jeg griner :p Sier litt om Datatilsynet og hvor bra tilsyn de har..

Endret av Vizla
Lenke til kommentar
Også Datatilsynet og Forbrukerrådet reagerer på opplysningene i Aftenposten. Leif T. Aanensen i Datatilsynet sier til Aftenposten at det er nytt for dem at offentlige nettsteder er blitt infisert.

Jeg griner :p Sier litt om Datatilsynet og hvor bra tilsyn de har..

 

Det forteller også at du ikke vet hva formålet til Datatilsynet er. Datatilsynet er ikke opprettet eller har som oppgave å overvåke internett. Datatilsynets eneste oppgave er knyttet til personopplysningsloven.

 

Når det gjelder angrep knyttet til internett er det NSM (NorCERT), som er gitt oppgaven å overvåke dette. NorCERT er ikke angitt i artikkelen her, men faktisk er det i like stor grad de som har oppdaget dette.

Lenke til kommentar

Korrigering til alle misforsåelser som presenteres.

 

1. Sidene det er snakk om har ingen virus. De er utstyrt med en lite script som hijacker nettleseren til et annet nettsted (uten at man ser dette). Scriptet er visst satt inn med en (korreksjon) SQL injection.

 

2. Dette nettstedet vil forsøke å legge inn trojaner/backdoor, noe det vil klare på PC-er som ikke er 100 % sikkerhetsmessig oppdatert.

 

Sårbarheten er bare funnet på asp, asp.net baserte løsninger så langt jeg vet. Noe som ikke betyr at andre systemer ikke kan være sårbare.

Endret av Bolson
Lenke til kommentar

@elg-elg123:

 

Personopplysninger på din private datamaskin er ene og alene ditt ansvar. Datatilsynets ansvar er blant annet konsesjonspliktige datasystem, dvs. datasystem som inneholder personopplysninger av visse typer. F.eks. er et brukersystem som her på diskusjon.no ikke konsesjonsbelagt, mens f.eks AltInn er. De fleste bestillingssystem hos telelevandører, banksystem etc er også.

 

Så langt jeg har forstått angriper ingen av disse SQL injectionene system som er eller burde være konsesjonsbelagte. Angrepene er heller ikke rettet mot å få ut informasjon fra underliggende system, selv om det teoretisk kan være en mulighet, men å få lagt inn en "hijacker" på nettsidene (et lite script), som igjen legger skadelig programvare på din maskin.

 

Hardware.no bruker en helt annen plattform en det som er angrepet i denne omgang. Ikke det at man kan garantere at systemet er 100 % sikkert.

 

Oppdatert antivirus, brannmur, overvåkning av trojanere/spionprogramvare hjelper svært godt. Gode scanrutiner. Bruke noscript i Fx. Bruk av ekstern brannmur, enten i router eller egen hardware. Ikke ha åpen porter man ikke trenger ha åpne, særlig gjelder det ut. Høy sikkerhetsbevisthet generelt. Holder man seg til dette, skal det litt til at man blir rammet. Poenget er at det uansett om det er kjent eller ikke, er det en risiko for at et nettsted kan være infisert, og man bør forholde seg i henhold til det. Derfor er kunnskap om hvilke nettsteder som "har" vært infisert, ja de fleste er faktisk patchet (jeg gjorde en grov sjekk i dag).

 

Offentliggjøring må heller være "riset bak speilet", som får nettstedseiere og leverandører til å patche fortere enn svint.

Lenke til kommentar
@elg-elg123:

 

Personopplysninger på din private datamaskin er ene og alene ditt ansvar. Datatilsynets ansvar er blant annet konsesjonspliktige datasystem, dvs. datasystem som inneholder personopplysninger av visse typer. F.eks. er et brukersystem som her på diskusjon.no ikke konsesjonsbelagt, mens f.eks AltInn er. De fleste bestillingssystem hos telelevandører, banksystem etc er også.

 

Så langt jeg har forstått angriper ingen av disse SQL injectionene system som er eller burde være konsesjonsbelagte. Angrepene er heller ikke rettet mot å få ut informasjon fra underliggende system, selv om det teoretisk kan være en mulighet, men å få lagt inn en "hijacker" på nettsidene (et lite script), som igjen legger skadelig programvare på din maskin.

 

Hardware.no bruker en helt annen plattform en det som er angrepet i denne omgang. Ikke det at man kan garantere at systemet er 100 % sikkert.

 

Oppdatert antivirus, brannmur, overvåkning av trojanere/spionprogramvare hjelper svært godt. Gode scanrutiner. Bruke noscript i Fx. Bruk av ekstern brannmur, enten i router eller egen hardware. Ikke ha åpen porter man ikke trenger ha åpne, særlig gjelder det ut. Høy sikkerhetsbevisthet generelt. Holder man seg til dette, skal det litt til at man blir rammet. Poenget er at det uansett om det er kjent eller ikke, er det en risiko for at et nettsted kan være infisert, og man bør forholde seg i henhold til det. Derfor er kunnskap om hvilke nettsteder som "har" vært infisert, ja de fleste er faktisk patchet (jeg gjorde en grov sjekk i dag).

 

Offentliggjøring må heller være "riset bak speilet", som får nettstedseiere og leverandører til å patche fortere enn svint.

 

jeg tror ikke du helt forstod hvor jeg vil hen.

 

det du skriver om ansvar er greit nok.

det er når noen ikke har orden på maskinene sine som i denne saken ,slik at de sprer virus som rammer andre som igjen ikke vet det og de blir frastjålet opplysninger. da er det ikke den siste brukeren som har hovedansvaret , men de som har disse sidene.

 

side ingen vil fortelle hvilke nettsteder som er rammet så kan man ikke ikke ta noen forhandsregel og sikre seg maksimalt . da må kun stole på brannmuren og antivirus programmet som man har selv.

 

på en måte så har jeg ansvaret selv om ikke alt er under min kontroll.

 

 

skulle man være 100% så kan man helle ikke bruke pcen mot internett.

 

det er helle ikke noe som har fått skylden for tullet på disse netsiden , men det høres ut som de er red for å bli bokotet eller noe i den duren . kansje til og med anmeltdt for dårlig sikerhet.

er de red for bøter eller ?

Lenke til kommentar

Hvorfor henge seg opp i at "over åtti norske offentlige nettsteder" er infisert, når det sannsynligvis finnes tusenvis av private og offentlige nettsteder over hele verden som er infisert på samme måte?

 

De som etterlyser en liste over "infiserte nettsteder" som de så kan holde seg borte fra, aner ikke hva de ber om. Hvem har ressurser til å holde en slik liste oppdatert? Man vil uvilkårlig få en liste der mange infiserte nettsteder mangler - så den skaper falsk trygghet -, og der mange ikke lenger infiserte nettsteder fortsatt er med - så den skaper falsk utrygghet.

 

Når man har scripts enabled, så tillater man andre å kjøre programmer på sin egen maskin. Noen av disse er onde, noen andre er dumme. Sammen utgjør de en farlig cocktail ...

 

Det eneste stedet man kan beskytte seg er på sin egen maskin.

(Bruk kondom.)

Lenke til kommentar
Personopplysninger på din private datamaskin er ene og alene ditt ansvar. Datatilsynets ansvar er blant annet konsesjonspliktige datasystem, dvs. datasystem som inneholder personopplysninger av visse typer. F.eks. er et brukersystem som her på diskusjon.no ikke konsesjonsbelagt, mens f.eks AltInn er. De fleste bestillingssystem hos telelevandører, banksystem etc er også.

 

Så langt jeg har forstått angriper ingen av disse SQL injectionene system som er eller burde være konsesjonsbelagte. Angrepene er heller ikke rettet mot å få ut informasjon fra underliggende system, selv om det teoretisk kan være en mulighet, men å få lagt inn en "hijacker" på nettsidene (et lite script), som igjen legger skadelig programvare på din maskin.

 

Når det er slik at Søgne kommune sine servere er infisert, hvilken sikkerhet har arbeidstakere i Søgne at personnummer og kontoinformasjon ikke er sendt videre til kriminelle fordi pcene på lønningskontoret er infisert med en trojan fått ifra egen server? Når de ikke klarer å holde serverene oppdatert, hvorfor i all verden skal en stole på at de holder pcene oppdaterte? De har enda ikke klart å oppdage at de er infisert av www.advabnr.com

 

Offentliggjøring må heller være "riset bak speilet", som får nettstedseiere og leverandører til å patche fortere enn svint.

 

 

Det er nå 1 1/2 måned siden dette ble kjent. Hvor lang tid skal de ha? Kommer dette ikke av at de ikke har holdt systemet oppdatert i utgangspunktet?

 

@nebrewfoz

 

Poenget med en liste over offentlige norske nettsteder som har vært infisert er følgende

 

1. Å foreta en analyse om en selv har vært utsatt for scriptet.

2. Få en debatt om datasikkerhet basert på konkrete eksempler. Derigjennom øke folks generelle datakunnskap. Slik debatt er best med konkrete eksempler.

3. Få en debatt om hvordan det offentlige bruker penger. Hadde jeg bodd i Søgne ville jeg vært ganske irritert på it avdelingen, spesielt fordi de gjør en dårlig jobb.

Lenke til kommentar

@Gaute65:

 

Nå kjenner jeg ikke strukturen på Søgne kommune sin dataløsning, men jeg tviler sterkt på at nettløsningen og de administrative systemene er på noe i nærheten av samme server. Tror neppe serveren med nettløsning en gang fysisk er i nærheten av resten av systemene.

 

Om Søgne kommune sine nettsider har vært infisert er de i alle fall patchet korrekt, søket ditt stemmer faktisk ikke med dagens realitet. Noe som faktisk gjelder for mange av disse søkene. Derfor må man sjekke sida for å kunne si noe helt korrekt. Bruk en Linux dualboot eller kjør Linux i VMWare player så er du trygg. Derfor vet vi heller ikke hvor mange dager eventuelt Søgne har vært infisert. Vær klar over at infiseringa er på nettsider, ikke servere.

 

Nå vil heller ikke de trojanere/backdoor systemene som er aktuelle her ha mulighet til å angripe de systemene du tenker på. Lønningssystemene i en kommune kjøres ikke på vanlige PC-er, her er det enten ASP-løsninger (ikke asp.net) eller dedikerte serversystemer.

 

Nå sier jeg ikke at kommunale system er 100 % trygge, for det er de ikke. Men min erfaring er at det er langt bedre her enn i små og mellomstore bedrifter. Primært fordi kommuner har system som krever konsesjon fra Datatilsynet, og man har da en god del formelle krav knyttet til sikkerhet. Blant annet krav knyttet til sikker sone.

 

Webserveren er utenfor sikker sone, og skal være det.

 

Nå regner jeg ikke med at Søgne har særlig stor IT-avdeling. Det er en middels stor kommune, og IT-avdelinger i slike er som oftest ikke mer enn 2 - 5 personer. Ofte settes drift av nettsider 100 % bort til ekstern leverandør (ofte også drift av andre systemer). Det er således ikke sikkert at IT-avdelingen har ansvar for dette i det hele tatt.

 

newbrewfoz har så rett så rett, egentlig hjelper det lite mot problemet å offentliggjøre navnet på 80 nettsteder, der trolig alle er patchet. Annet enn å misinformere, og ta vekk fokus fra alle de private/bedriftssidene i Norge som ikke er patchet.

 

@elg-elg123 (og litt mer til Gaute65).

 

Faktisk kan man selv med gode rutiner risikere at nettsidene blir infisert, selv om det neppe varer mange dager før det er patchet. Slik sett er altså ingen sider 100 % sikre, altså må man bruke "kondom" når man surfer.

 

Grunnen til at man ikke offentliggjør nettstedene er følgende.

1. Sikkerhetsbrist skal aldri offentliggjøres før eier/ansvarlig er varslet og gitt mulighet til å patche. I hovedsak fordi offentliggjøring før dette åpner for styggere angrep.

 

2. Sikkerhetsbristen må verifiseres 100 %. Dersom dette ikke er tilfelle og man offentliggjør et nettsted uten "feil", kan man komme i erstatningsmessig trøbbel. Man velger da å bruke ressursene til å finne så mange problemer som mulig, og ikke til nitid sikkerhetskontroll.

 

Jeg er ikke motstander av offentliggjøring, men mener at det kun skal gjøres på nettsteder som ikke er patchet i løpet av et gitt antall dager siden de ble varslet.

Lenke til kommentar

Java-scriptet som eksekveres på infiserte sidene, må jo nødvendigvis utnytte et eller annet "hull" i ens browser? La meg gjette at man helst bør ha en litt gammel og upatchet IE for å kunne bli infisert? Jeg tviler sterkt på at du kan få noe som helst hvis du kjører oppdatert Opera, FF eller IE7 (litt usikker på den siste der da men :p ).

 

It’s infecting new hosts to be added to the botnet. Banner82 .com has a tiny iFrame that’s attempting to load dll64 .com /cgi-bin/index.cgi?admin where the NeoSploit malware exploitation kit is serving MDAC ActiveX code execution (CVE-2006-0003) exploit.

Kilde: http://blogs.zdnet.com/security/?p=1122

Endret av Misantropen
Lenke til kommentar
@Gaute65:

 

Nå kjenner jeg ikke strukturen på Søgne kommune sin dataløsning, men jeg tviler sterkt på at nettløsningen og de administrative systemene er på noe i nærheten av samme server. Tror neppe serveren med nettløsning en gang fysisk er i nærheten av resten av systemene.

 

Om Søgne kommune sine nettsider har vært infisert er de i alle fall patchet korrekt, søket ditt stemmer faktisk ikke med dagens realitet. Noe som faktisk gjelder for mange av disse søkene. Derfor må man sjekke sida for å kunne si noe helt korrekt. Bruk en Linux dualboot eller kjør Linux i VMWare player så er du trygg. Derfor vet vi heller ikke hvor mange dager eventuelt Søgne har vært infisert. Vær klar over at infiseringa er på nettsider, ikke servere.

 

Nå vil heller ikke de trojanere/backdoor systemene som er aktuelle her ha mulighet til å angripe de systemene du tenker på. Lønningssystemene i en kommune kjøres ikke på vanlige PC-er, her er det enten ASP-løsninger (ikke asp.net) eller dedikerte serversystemer.

 

Nå sier jeg ikke at kommunale system er 100 % trygge, for det er de ikke. Men min erfaring er at det er langt bedre her enn i små og mellomstore bedrifter. Primært fordi kommuner har system som krever konsesjon fra Datatilsynet, og man har da en god del formelle krav knyttet til sikkerhet. Blant annet krav knyttet til sikker sone.

 

Webserveren er utenfor sikker sone, og skal være det.

 

Nå regner jeg ikke med at Søgne har særlig stor IT-avdeling. Det er en middels stor kommune, og IT-avdelinger i slike er som oftest ikke mer enn 2 - 5 personer. Ofte settes drift av nettsider 100 % bort til ekstern leverandør (ofte også drift av andre systemer). Det er således ikke sikkert at IT-avdelingen har ansvar for dette i det hele tatt.

 

newbrewfoz har så rett så rett, egentlig hjelper det lite mot problemet å offentliggjøre navnet på 80 nettsteder, der trolig alle er patchet. Annet enn å misinformere, og ta vekk fokus fra alle de private/bedriftssidene i Norge som ikke er patchet.

 

@elg-elg123 (og litt mer til Gaute65).

 

Faktisk kan man selv med gode rutiner risikere at nettsidene blir infisert, selv om det neppe varer mange dager før det er patchet. Slik sett er altså ingen sider 100 % sikre, altså må man bruke "kondom" når man surfer.

 

Grunnen til at man ikke offentliggjør nettstedene er følgende.

1. Sikkerhetsbrist skal aldri offentliggjøres før eier/ansvarlig er varslet og gitt mulighet til å patche. I hovedsak fordi offentliggjøring før dette åpner for styggere angrep.

 

2. Sikkerhetsbristen må verifiseres 100 %. Dersom dette ikke er tilfelle og man offentliggjør et nettsted uten "feil", kan man komme i erstatningsmessig trøbbel. Man velger da å bruke ressursene til å finne så mange problemer som mulig, og ikke til nitid sikkerhetskontroll.

 

Jeg er ikke motstander av offentliggjøring, men mener at det kun skal gjøres på nettsteder som ikke er patchet i løpet av et gitt antall dager siden de ble varslet.

 

av hensyn til pkt 1.og 2.

et nettsted bør stenges umiddelbart nå det oppdages en feil eller angrep .

 

 

jeg mer at det er bedre å si i fra en gang for mye en at man ikke gjør det i det

Lenke til kommentar
@Gaute65:

 

Grunnen til at man ikke offentliggjør nettstedene er følgende.

1. Sikkerhetsbrist skal aldri offentliggjøres før eier/ansvarlig er varslet og gitt mulighet til å patche. I hovedsak fordi offentliggjøring før dette åpner for styggere angrep.

 

2. Sikkerhetsbristen må verifiseres 100 %. Dersom dette ikke er tilfelle og man offentliggjør et nettsted uten "feil", kan man komme i erstatningsmessig trøbbel. Man velger da å bruke ressursene til å finne så mange problemer som mulig, og ikke til nitid sikkerhetskontroll.

 

Jeg er ikke motstander av offentliggjøring, men mener at det kun skal gjøres på nettsteder som ikke er patchet i løpet av et gitt antall dager siden de ble varslet.

 

av hensyn til pkt 1.og 2.

et nettsted bør stenges umiddelbart nå det oppdages en feil eller angrep .

 

 

jeg mer at det er bedre å si i fra en gang for mye en at man ikke gjør det i det

 

Jeg har akkurat patchet (oppgradert) 25 nettsteder pga av sikkerhetshull i tredpartsmoduler. Patchinga tok akkurat 2 timer og var ferdig 4 timer etter at feila var kjent. Så jeg skulle stengt ned disse i den perioden, selv om risikoen reelt sett er minimal. Klart man bør legge opp en midlertidig statisk side dersom patching tar lengre tid eller at feilen er fundamental, noe det faktisk gjør med enkelte systemer. Derfor er det helt fundamentalt at man dersom man finner et sikkerhetshull, varsler eier av nettstedet slik at disse har mulighet til raskt å sikre systemet. Ofte er det ikke store arbeidet og nettstedet trenger ikke å stenges, det holder ofte med å slå av bestemt type funksjonalitet.

 

I realiteten betyr det du skriver at alle som ikke har patchet Windows eller IE/Fx etc bør stenges ute fra nettet. En maskin med sikkerhetshull kan ha like stor konsekvens som et mindre nettsted med en sikkerhetsbrist.

 

Jeg har ikke problem med at man offentliggjør noe en gang for mye, men at man offentliggjør informasjon som ikke er kvalitetssikret. Man risikerer da å peke på nettsider som faktisk ikke er infisert, mens det er mengder av nettsteder som er infisert og ikke er kjent. Dette blir bare misinformasjon, og gjør det ikke sikrere å surfe på nett. Å offentliggjøre bedrifter/leverandører som faktisk ikke tar sikkerhet alvorlig er noe helt annet, da dette garantert vil ha effekt. Ingen vil like å komme på den lista. Effekten får du ikke av at vi kjenner til alle som en eller annen gang har hatt et hull, men at man har "virkemidler" som gjør at hull tettes raskt. Offentliggjøring av de som slurver med sikkerhet et et slikt virkemiddel.

 

Det hjelper også den enkelte bruker svært lite om han får vite om at den nettsiden var usikker i ettertid. Har han et usikkert system sjøl, er det stor fare for at skaden alt er skjedd. Rask respons på patching gjør uansett at denne risikoen er langt mindre. Og med eget system godt sikret er faren minimal. Velger du å kjøre uten "kondom" har man alltid en betydelig risiko.

 

Å bruke betydelig med ressurser (ja, det er faktisk ressurskrevende, holder ikke med noen Google søk) til å offentliggjøre en liste er også langt dårligere bruk av ressurser, enn å bruke disse til faktisk å rette opp feil.

Lenke til kommentar

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

Laster...
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...