Offentlige nettsider sprer virus

[Demantios]

Sjekke at dere har antivirus som reagerer på dette folkens

 

 

Finner:

 

AhnLab-V3

AntiVir

Authentium

AVG

CAT-QuickHeal

ClamAV

eSafe

F-Prot

F-Secure

Fortinet

Ikarus

Kaspersky

McAfee

NOD32v2

Norman

Panda

Prevx1

Sophos

Sunbelt

Symantec

TheHacker

TrendMicro

VirusBuster

Webwasher-Gateway

 

 

Finner ikke:

 

Avast

BitDefender

DrWeb

eTrust-Vet

Ewido

GData

Microsoft

Rising

VBA32

 

Endret 1. juli 2008 av PepsiCo

[sinnaelgen]

man må sikre at en nettside ikke sprer unødvendig med virus selv om denne siden bare er mistenkt.

 

hvis man hele tiden skal være 100% sikker på at det er et virus her før man sier ifra så kan den siden rekke å gjøre mye skade før alt blir rettet opp.

 

jeg vet ikke hva du synes funger beste en side som er steng fordi det er mistenke om virusangrep som ikke er stoppet eller en side som ikke funger skikkelig og de er ikke sikker på om de skal stege ned den siden enda .

 

selv om det bare er en risiko så bør det taes svært alvorlig .

 

hvis mye av dette skyldes IE så bør det gjøres ekstra ordinære tiltak.

 

jeg mener ikke at en netside skal stenges hvis det ikke er mulig å rette op feilen men man bør bli advart mot denne siden.

 

og man kan jo ikke advare mot en siden man ikke vet er rammet

[Bolson]

man må sikre at en nettside ikke sprer unødvendig med virus selv om denne siden bare er mistenkt.

 

hvis man hele tiden skal være 100% sikker på at det er et virus her før man sier ifra så kan den siden rekke å gjøre mye skade før alt blir rettet opp.

 

Nå sprer ikke nettsidene i seg selv virus, det som er skjedd er at man via SQL Injection har lagt inn et lite script som hijacker nettleser og laster et script fra et av disse tvilsomme nettstedene. Disse finnes det liste på, og man kan faktisk hindre disse sidene og laste.

 

Å verifisere at man har mistenkelig kode på en nettside er ikke så vanskelig, men mistenkelig kode betyr langt fra at noe er galt - er bare en indikasjon. Man har også løsninger der skadelig kode kan legges inn i cachede sider, men vil forsvinne etter svært kort tid pga innebygde sikkerhetsmekanismer. Nettstedet kan også være "friskt" men utsatt for "man in the middle" angrep, og slik sett virker det som nettstedet er angrepet.

 

Klart man skal varsle nettstedeier om man synes en side oppfører seg mistenkelig, (man skal) men man skal ikke publisere mistanken fritt på nett. Det er regnet som meget dårlig sikkerhetspraksis.

 

jeg vet ikke hva du synes funger beste en side som er steng fordi det er mistenke om virusangrep som ikke er stoppet eller en side som ikke funger skikkelig og de er ikke sikker på om de skal stege ned den siden enda .

 

selv om det bare er en risiko så bør det taes svært alvorlig .

Se ovenfor hva slags angrep dette egentlig er.

 

Dersom vi skulle stengt alt på nettet med mistanke om sikkerhetshull, ja da måtte vi stengt mye for å si det kort. F.eks Invision Power Board som dette forumet bruker har sikkerhetshull som må patches. Er det alvorlige hull, som tar lang tid å patche skikkelig slår man klart av den funksjonaliteten som gir problemet så fort man vet dette eller setter opp en midlertidig side. Som oftest er det bare en liten del av systemet som har sikkerhetshull, f.eks kan det være et enkelt skjema som er problemet. Og man rydder vekk skadelig kode. Trenger ikke å stenge ned et nettsted av den grunn.

 

Vi kan heller ikke legge 100 % av ansvaret for sikkert internett over på de som har nettsidene - det er faktisk umulig å få til. Vi må ta vår del av jobben gjennom å ha høy sikkerhet i egne systemer og hjelpe til med å rapportere på rett måte mistenkelig atferd. Vi kunne sikkert ha konstruert veier som gjorde det mer eller mindre umulig med ulykker, men det er garantert for kostbart. Det går nok også å gjøre internett særdeles sikkert, men jeg tror det hadde medført at kostnadene hadde blitt enorme.

 

hvis mye av dette skyldes IE så bør det gjøres ekstra ordinære tiltak.

 

Ja vi kan legge inn standard på alle nettsider at IE ikke kan brukes. Nei, her snakker vi om problemer som ikke nødvendigvis er IE relaterte, og kan teorisk skje i hvilken som helst nettleser som kjøre javascript. Selv om det et asp/asp.net websider som er angrepet, kan man også angripe alle systemer. Hull finner vi daglig, i online spill, nettsider, applikasjoner (you name it).

 

jeg mener ikke at en netside skal stenges hvis det ikke er mulig å rette op feilen men man bør bli advart mot denne siden.

 

og man kan jo ikke advare mot en siden man ikke vet er rammet

 

Det er aldri umulig å rette opp sikkerhetshull på en nettside, det er bare av og til et spørsmål om tid før fullstendig patching er ferdig. Og det er ofte svært enkelt å lage en "midlertidig" reparasjon. Og det er også et spørsmål om nettsideeier vet om sikkerhetshullet. Av og til kan de være svært vanskelig å se ved daglige rutiner eller uten bruk av svært dyr og kompleks overvåking. Så man er avhengig av at "leverandør" informerer eller at andre sier i fra.

 

Klart det er helt OK å advare mot nettsteder og systemer som ikke klarer å fikse sikkerhetshull, enten bevisst eller pga latskap. Og vi har faktisk systemer for å melde slikt, både via nettlesere og sikkerhetsprogramvare. Men jeg ser ingen vits i å advare mot nettsteder som fikser hullene sine i løpet av 1 - 2 dager fra de er gjort kjent med problemet. Da blir du mest sannsynlig advart mot et av de tryggeste nettstedene.

 

Sider man ikke vet er rammet er uansett de farligste, også fordi her vet neppe nettstedseier noe som helst heller og de blir ikke fikset. Når man vet at en god del norske nettsider er er/har vært angrepet er det faktisk økt sikkerhet, selv om man ikke vet hvilke det er. Rett og slett fordi man da kan sikre seg på generell basis, f.eks ved å bruke noscript, legge inn andre metoder. Dersom man vet at de 80 sidene er/har vært angrepet, men ikke de andre 600 er tendens til at man unngår de 80 sidene og tenker at nå er jeg sikker uten å ha økt den generelle sikkerheten. I stedet blir man infisert på et helt annet sted.

 

Derfor er det jeg tror at generell "stenging" og offentliggjøring faktisk gir svakere sikkerhet enn det å gi folk et inntrykk av at de er usikkert også å surfe på norske sider og slik få de til å øke eget sikkerhetsnivå. Og bruke offentliggjøring av "latsabbene" primært for å redusere antall dager med åpne kjente hull.

[Gaute65]

Takk for mye og god informasjon Bolson.

 

jeg ser at google bruker advarsler på at noen sider er farlige å gå innpå, vet du hvilke kriterier de bruker? Er det noe ift hvor lenge siden har vært infisert?

 

Ellers synes jeg at nettsteder som bevisst ikke retter feil bør henges ut. Jfr artikkel på idg.no

 

Vi som bruker nettet har et ansvar for at maskinen vår er sikker nok, de som legger ut nettsider har selvsagt et ansvar for at sidene deres er trygg å surfe på. Er det noen som vet om det finnes noe lovverk ift dette? Kan en eier av et nettsted bli straffeforfulgt fordi han sprer malware?

 

 

Jeg jobber i en kommune( ikke Søgne ) der startsiden vår er kommunens hjemmeside. Hvis det er et skript der, vil ikke det da være mulig at jobbpcen kan bli infisert og at sensivit informasjon kan bli sendt ut fra den? Vi kjører tynnklienter mot et sikret nett så sjansen er kanskje liten?

[Bolson]

@Gaute65:

 

Google bruker vel omtrent samme mekanismer som andre (Trend, Norman, MS, Fx), dvs. at siden er rapportert, eventuelt at de har noen automatiske systemer på bakgrunn av søkeresultat. Kan ikke si sikkert, dette informeres ikke i detalj om. Kriminelle skal helst ikke kunne alle mottiltak.

 

Kjører dere systemene i tynnklient (regner med at det er Citrix) bør man være trygg. Det er typisk deling i sikker og usikker sone, noe som er krav ved denne type systemer. Man har tydeligvis lagt selve PC-ene i usikker sone. Men jeg regner uansett med at du er bak både proxy, brannmur og annen beskyttelse. PC-en din kan nok bli infisert om du besøker et usikkert nettsted (uansett om det er kommunens hjemmeside eller et annet), men er beskyttelsen oppdatert er faren generelt liten.

 

Ellers takk for at informasjonen settes pris på.

Endret 1. juli 2008 av Bolson

[sinnaelgen]

om det er så "farlig " å offentliggjøre de siden man vet har et hul ( som regnes som alvorlig ) der og da så bør noen vite det og vi som krasje kommer inne en slik side burde bli advart før man er på den siden. f.eks at det kommer opp i nettleseren. spesielt når man er kommet til en side som inneholder virus.

 

selv om man har en brannmur eller antivirus løsning så går man ikke til en farlig side frivillig da er det lite forståelig at man ( eller nettleseren ) ikke kan vite hvilken nettside som er en større risiko å gå til. da mener jeg de side som middeltid er en større risiko en normalt.

 

det at goggle eller andre systemer kan advare mot farlige sider er nok basert på lister og ikke en side som midlertidig er rammet .

 

hvis jeg vet at nettbanken min er alvorlig rammet av virus eller annet crak så venter jeg i det lengste med å betale regningene mine.

 

jeg har ikke lyst til å risikere mer en nødvendig , men siden noen vet at en side er rammet og jeg ikke vet de så har jeg en større risiko.

 

det står jo i artikkelen at flere tusen pcer kan ha blitt rammet.

ekstra ille er det vis pcer får virus som antivirusprogrammet ikke stopper det .

 

det er nok at en bruker har vær innom en side som han ikke vet ( men andre vet ) som indirekte sprer virus .

 

indirekte siden man kommer til en falsk side da tror jeg ikke det er nok med denne beskyttelsen innebygd i nettleseren

 

går det riktig langs blir det nok advokat mat .

 

 

er det noe som vet hvor mange av disse siden som er fikset nå ?

[Bolson]

@elg-elg123:

 

Nettbanken din kjører nok helt andre systemer og sikkerhetsrutiner enn de sidene som er rammet av disse angrepene. Rett og slett fordi vi her snakker om nettløsninger i mangemillionsklassen, hvor kostnaden til sikkerhetsovervåkning og sikring av kode er "peanuts" i forhold til kostnaden til systemet og ikke minst kostnaden knyttet til et hull. Systemene overvåkes ellers 24 timer i døgnet.

 

Om det allikevel skulle skje noe på et slikt nettsted er nok farlig funksjonalitet stoppet meget raskt, og patcher er på plass før noen knapt har oppdaget dette. Nettbankenes problem ser heller ut til å være driftsstabilitet.

 

De sidene som er angrepet er i stor grad mindre nettsteder med relativt rimelige løsninger, selv om unntak finnes.

 

Det er ellers ikke "farlig" å gå til sider man vet det er risiko med. Bare å slå av all kjøring av script, samt ta en del andre sikkerhetsforanstaltninger. Personlig så bruker jeg Linux til slike oppgaver, som jeg faktisk må gjøre av og til. Som jeg tidligere har sagt, det er de ukjente som er farlige.

 

Klart et nettsted som vet det er angrepet kan legge ut informasjon på nettstedet, men trolig tar det like kort tid å patche eller slå av de problematiske delene. Samme gjelder å legge inn funksjonalitet som gir forhåndsadvarsel. Å legge ut info andre steder hjelper lite, da det ikke er sikkert at så mange leser denne.

 

Du har ikke noen større risiko selv om vi vet at sider kan være infiserte, rett og slett fordi dette har vært en realitet i mange år. Så om du ikke hadde visst det hadde risikoen faktisk vært større, da du neppe hadde tatt noen forholdsregler. Flere tusen PC-er er heller ikke et stort tall, det er noen promiller av alle PC-er i Norge. Faktisk tror jeg et langt høyere antall PC-er er infisert av helt andre grunner. At jeg f.eks vet at de 40 sidene er infiserte gir ikke meg mindre risiko enn deg, fordi det trolig er 4 000 sider jeg ikke vet er infiserte. Eller jeg har en ørliten mindre risiko.

 

Men generelt er det slik at vet man at det finnes en generell ikke kjent risiko, minsker man den reelle risikoen fordi man søker å beskytte seg bedre totalt sett.

 

Et sidesprang her: Har man tilfeldig sex, vet man ikke om "partneren" har en kjønnssykdom. Risikoen finnes der om den bare er noen få prosent. Og de fornuftige beskytter seg.

 

På samme måte kan man se internett. Enhver side man besøker innebærer en liten risiko (nettbanker, store nettsteder, de fleste nettaviser etc kan man regne som noenlunde trygge), så da beskytter man seg så godt man kan. Og man lagrer ikke kritisk info slik at den kan leses av andre.

 

Alle nettlesere (ikke IE6) har sikkerhetsmekanismer enten innebygd eller som tillegg, som kan hindre det meste. Blant annet "hijacking", dvs at du blir ledet "delvis" til en annen nettside. Det som skjer er at et lite skript laster inn et annet script fra dette nettstedet. Dette scriptet inneholder kode som utnytter sikkerhetshull i nettleseren til å legge inn en trojaner eller ei backdoor på PC-en. Bre ved å slå av muligheten til å kjøre script annet enn på "trygge" sider er denne muligheten borte.

 

Så har man en 100 % patchet nettleser (da helst Fx, Safari eller Opera), og også samtidig en helt oppdatert Windows, skal du ha virkelig uflaks blir du infisert. Er man paranoid, kjører man VMWare Browser Appliance. Da er du 99,9 % trygg. Skal nesten garantere at de som er blitt infisert etter å ha vært på disse sidene ikke har oppdaterte systemer.

 

Nå tror jeg faktisk den primære grunnen til at TSOC og NSM har gått ut med den informasjonen de har gjort, noe de faktisk gjør jevnlig er primært å skjerpe sikkerhetsbevisthet hos systemleverandører og nettstedeiere. Den er dessverre for dårlig i dag hos altfor mange. Også vil et slikt fokus kunne gjøre den jevne bruker mer bevisst.

 

Ellers så regnes de fleste av disse hullene som middels alvorlige.

 

Men ta deg tid til å lese litt om de ulike typene Malware (vanlige virus er ikke så farlige lengre), det er trojanere, backdoors og rootkit som er virkelig skumle, hvordan sikre seg mot browser hijacking med mer, så vil du se at du faktisk kan sikre deg svært bra.

[sinnaelgen]

ikk det at jeg har bruk for all verden av disse sciptenejeg sitter med intryket at enkelte netsider er avhengi av det for at funsjonne der skal fungere.

 

da er spørsmålet om man greiere seg uten disse mulighetene ?

 

hvordan er status nå ? regner du med at disse nettsidene er fikset ?

 

 

 

kan noen bli dømt for å spre virus og annet drit ?

[Demantios]

Skjønner ikke hvorfor dem har åpent for iframe engang jeg. Det er usikkert, og i design er det stygt

[Bolson]

ikk det at jeg har bruk for all verden av disse sciptenejeg sitter med intryket at enkelte netsider er avhengi av det for at funsjonne der skal fungere.

 

da er spørsmålet om man greiere seg uten disse mulighetene ?

 

hvordan er status nå ? regner du med at disse nettsidene er fikset ?

 

 

 

kan noen bli dømt for å spre virus og annet drit ?

 

Dersom du sprer bevisst malware kan du bli dømt.

 

Enkelte nettsider er avhengig av javascript for å ha rett funksjonalitet. Gode nettsider fungerer bra også uten script. Poenget er at man kan ha script slått av som standard og slå det på på sider med behov og som man stoler på.

 

Ellers er den interessante infoen i dag at ca 43 % av de som surfer ikke har oppdatert nettleser til siste og sikreste versjon. Og det gjelder primært brukere av IE. Brukere av Firefox er meget flinke til å oppgradere.

 

De offentlige nettsidene er så langt jeg vet fikset (kan være unntak). De andre ca 600 nettsidene i Norge er det nok mange som ikke er fikset. Men også her er mange fikset, jeg gjorde en tilfeldig test på 20 sider som kom opp på søk, og da var det to som ikke var fikset.

 

@PepsiCo:

 

Nå var det ikke iframe som var problemet på disse nettsidene, men SQL Injection (tror ikke sidene engang bruker iframe). Men det er en stygg iframe sikkerhetsbrist i IE6, IE7 og IE8 beta 1. Den regnes allikevel som moderat alvorlig.

 

Det hender ellers at man må bruke iframe, selv om man søker å unngå det.

[Demantios]

@PepsiCo:

 

Nå var det ikke iframe som var problemet på disse nettsidene, men SQL Injection (tror ikke sidene engang bruker iframe). Men det er en stygg iframe sikkerhetsbrist i IE6, IE7 og IE8 beta 1. Den regnes allikevel som moderat alvorlig.

 

Det hender ellers at man må bruke iframe, selv om man søker å unngå det.

Jo, var iframe som ble brukt her (og har blitt brukt mange ganger før)

SQL-injectionen bruktes bare for å lure inn iframen. Inni iframen ligger siden med javascriptet b.js b.js starter nedlasting av fila installer.exe og det er den som er skadelig

 

edit: wait, var kanskje ikke iframe nei

edit2: jo, det sies så

Endret 2. juli 2008 av PepsiCo

[Bolson]

@PepsiCo:

 

Nå var det ikke iframe som var problemet på disse nettsidene, men SQL Injection (tror ikke sidene engang bruker iframe). Men det er en stygg iframe sikkerhetsbrist i IE6, IE7 og IE8 beta 1. Den regnes allikevel som moderat alvorlig.

 

Det hender ellers at man må bruke iframe, selv om man søker å unngå det.

Jo, var iframe som ble brukt her (og har blitt brukt mange ganger før)

SQL-injectionen bruktes bare for å lure inn iframen. Inni iframen ligger siden med javascriptet b.js b.js starter nedlasting av fila installer.exe og det er den som er skadelig

 

edit: wait, var kanskje ikke iframe nei

edit2: jo, det sies så

 

Det er mulig vi har rett begge to, jeg har forstått at dette kan gjøres uten iframe også. Men det er logisk at iframe brukes, i og med at hensikten er å laste innhold fra annet nettsted, og en iframe er lett å skjule. Problemet er ikke iframe taggen i seg selv, men;

1. At man via SQL injection kan legge til skadelig kode (dette er det primære problemet, i og med at hva som helst av skadelig kode kan legges inn, til og med laste skjult flash med hacking eller hva som helst av script som utnytter sikkerhetshull i nettleser)

2. At IE har en usikker håndtering av iframe. Ikke så stor betydning akkurat her, men ille nok. Særlig fordi feilen har eksistert en stund.

[nebrewfoz]

Er man paranoid, kjører man VMWare Browser Appliance. Da er du 99,9 % trygg.

Er man litt mindre paranoid, kjører man muligens Sandboxie? (Sandbox-IE, get it?)

Dette er ikke akkurat virtualisering a la VMware, men det opprettes en "sandkasse" som en browser (eller et hvilket som helst program) kan kjøre i. Alt som skjer, det skjer i "sandkassen" - ingenting utenfor påvirkes.

En liten svakhet ved Sandboxie-konseptet er at programmer (inkl. script) som kjører i "sandkassen" fortsatt kan lese data fra utsiden (dvs. resten av PC'en) - men den kan altså ikke skrive noe tilbake.

[sinnaelgen]

ikk det at jeg har bruk for all verden av disse sciptenejeg sitter med intryket at enkelte netsider er avhengi av det for at funsjonne der skal fungere.

 

da er spørsmålet om man greiere seg uten disse mulighetene ?

 

hvordan er status nå ? regner du med at disse nettsidene er fikset ?

 

 

 

kan noen bli dømt for å spre virus og annet drit ?

 

Dersom du sprer bevisst malware kan du bli dømt.

 

Enkelte nettsider er avhengig av javascript for å ha rett funksjonalitet. Gode nettsider fungerer bra også uten script. Poenget er at man kan ha script slått av som standard og slå det på på sider med behov og som man stoler på.

 

Ellers er den interessante infoen i dag at ca 43 % av de som surfer ikke har oppdatert nettleser til siste og sikreste versjon. Og det gjelder primært brukere av IE. Brukere av Firefox er meget flinke til å oppgradere.

 

De offentlige nettsidene er så langt jeg vet fikset (kan være unntak). De andre ca 600 nettsidene i Norge er det nok mange som ikke er fikset. Men også her er mange fikset, jeg gjorde en tilfeldig test på 20 sider som kom opp på søk, og da var det to som ikke var fikset.

 

@PepsiCo:

 

Nå var det ikke iframe som var problemet på disse nettsidene, men SQL Injection (tror ikke sidene engang bruker iframe). Men det er en stygg iframe sikkerhetsbrist i IE6, IE7 og IE8 beta 1. Den regnes allikevel som moderat alvorlig.

 

Det hender ellers at man må bruke iframe, selv om man søker å unngå det.

 

jeg har nå funnet ut at hardware.no bruker javascrip for å få hurtigsvar knappen til å fungere.

jeg hadde problemer med den som jeg har nevnt i en annen post.

dett kunne jeg ikke vite på forhand .

 

tv2 bruker javascrip for å få tv guiden på nette til å fungere. dette kunne jeg heller ikke vite på forhand .

 

jeg kunne heller ikke vite at nrk bruker javascrip for at nettradio og video avspillingen skal fungere.

 

når man blir anbefalt å slå det av til vanlig og på bare når man har bruk for det så lurer jeg på hvordan man kan vite når man har bruk for det ?

 

man får jo ingen indikasjon om at her trenger man javascrit for at det skal fungere

[Bolson]

@elg-elg123:

 

Det finnes ikke en nettside i dag som ikke bruker javascript (sikkert noen unntak). Og på de fleste sider vil man miste noe funksjonalitet når det er slått av, men det oppdager man fort, ved f.eks. at ting ikke virker som forutsatt. Men sidene er lesbare.

 

Nå er ellers sannsynligheten for at TV2, NRK og hardware.no skal bli angrepet av noe slik som dette særdeles liten (nesten fraværende). Derfor slår man på Javascript på slike sider.

 

Undertegnede bryr seg ikke om å slå av script som standard, jeg vet at resten av sikkerhetsoppsettet holder vann. Men noen ganger må jeg på sider som jeg er usikker på, og da slår jeg av.

 

Som jeg har skrevet før, bruk Firefox eller Opera som nettleser, installer tillegg for å kontrollere script (jeg kjenner bare til i FX). Oppdatert brannmur, Windows, antivirus og antispinvareprogrammer, og rutine for å scanne PC-en jevnlig så kan man regne seg som 99,5 % sikker.

[sinnaelgen]

egentlig så trodde jeg at i firefox 3.0 kunne velge hvilke sidre men kan blokkere ( eller tillate) javascrip, men det virker ikke slik.

 

 

jeg bruker altså firefox med midre noe krever at jeg skal bruke IE noen få sier maser om det. da prøver jeg med ie tab (hvis de ikke har endret navnet da ) først.

 

zonealarm som branmur og avg mot virus. (det er ikke slut på det enda )

i tillegg så prøver jeg super antispyware.

 

i grunnen burde jeg være ganske sikret

[Bolson]

@elg-elg123:

 

Du må bruke tilleggsmodulen Noscript, da kan du velge hvilke sider som Javascript skal være påslått på.

 

Du burde være godt sikret.