[ InternetGuiden ]

nr 8-96

Hackade hemsidor

När Telia blir Felia och Livets ord får besök av illasinnade smurfar, då är det dags att även du ser över säkerheten på din WWW-server.

Text:Lille Louis

Nya verktyg sprids snabbt på Nätet, vilket resulterat i den senaste tidens uppmärksammade våg av hemside-hacks. Stora företag och myndigheter har fått sitt ansikte utåt på Internet, WWW-sidorna, ändrade. I USA har Justitiedepartementets hemsidor blivit hackade i en protest mot Telecommunications Decency Act. I Sverige har bland annat frikyrkan Livets ord haft påhälsning av den unga gruppen IviL haXor. Och inte bara en gång, utan vid flera tillfällen. Många läsare har hört av sig till InternetGuiden och varit både roade och oroliga. Jag tänkte därför att vi denna gång skulle ta och titta lite på WWW-hacks och vad man kan göra åt dem.

So what's the scenario?
Vi tänker oss ett företag, med en egen webserver som ligger uppkopplad mot Internet. Företaget gör sig impopulärt (genom att höja priserna, till exempel) hos någon verkligt snarstucken person. Personen ifråga har en massa tid att slösa bort och har av någon anledning glömt att många serverinbrott leder till åtal av det allvarligare slaget.

Vilka skador kan en inkräktare göra ett företag?

1) Om ändringarna av företagets hemsidor upptäcks, men ingen förklaring kan ges till hur det hela har gått till, leder detta till ett långt driftstopp. Detta är speciellt förödande för de företag som bedriver handel direkt eller indirekt över WWW.

2) Ändra informationen på hemsidorna så att det ser ut som om företagets verksamhet är en annan är den i själva verket är. Detta är främst effektivt på nya kunder som saknar kännedom om företaget.

3) Ställa till allmän oreda genom förfalskningar av prisuppgifter, artikelnummer, telefonnummer, personuppgifter och så vidare. Kaos utbryter på företagets sälj- och supportavdelningar, vilket i förlängningen leder till minskat kundantal.

4) Få företaget, speciellt om det är ett företag verksamt inom data och telekombranschen, att tappa ansikte och anseende utåt, genom att visa upp dess dåliga säkerhet. Även här får väl en minskad kundtillströmning anses som sannolik.

5) Upprörda och äcklade kunder är inte bra. Även om företaget bedyrar i hundra presskommunikéer att man inte hade med de ändrade hemsidorna att skaffa, så kommer de som ser grov våldspornografi på sidorna att associera negativt till företaget.

6) Svårast att upptäcka är de små subtila förändringarna som ändå kan skada företaget. Ett exempel är att lägga in en länk till en firma med extremt dåligt rykte under rubriken "samarbetspartners" eller liknande. Detta är speciellt förödande om det sker vid strategiskt kritiska tillfällen.

Listan kan helt enkelt göras lång och är specifik för olika branscher. Jag gissar att ni fattar galoppen vid det här laget.

Captain! We're under attack!
Hur är det då möjligt för en inkräktare att ändra på ett företags hemsidor? Behöver han eller hon inte ett konto på maskinen i fråga? Nja, inte alltid.

Har man en säkerhetslucka inom företaget som gör att obehöriga kan ta sig in via ett vanligt användarkonto så är det en helt annan diskussion. Då bör man se över sina lösenordsrutiner och sammankalla de anställda till ett seminarium om säkerhetstänkande. Snarare är det så att en inkräktare, som alltid, utnyttjar operativsystemet Unix öppna arkitektur för att ta sig in. Inte för att andra plattformar och operativsystem är skonade från WWW-hack, ånej. Men, principen är ungefär densamma, och Unix-burkar är ju trots allt i majoritet på Internet, så vi använder det som exempel.

Webservermaskinerna kör som sagt oftast Unix, och i Unix finns det något som heter NFS (Network File System). Detta lilla verktyg är främst till för att olika datorer skall kunna dela på filer över ett nätverk. Ett av de vanligaste skälen till detta är att man använder diskettlösa terminaler på de olika arbetsplatserna och all data lagras i en central dator. NFS är utvecklat inom Unix-världen och har således inga inbyggda säkerhetsrutiner. Öppen arkitektur, så hette det...

Detta betyder i praktiken att vilken värddator som helst som är kopplad mot Internet kan nå alla filer via NFS. Det har nästan i samtliga fall av WWW-hacking visat sig att det är just NFS som har varit anledningen till att inkräktaren har kommit åt informationen på datorn som blivit attackerad.

Attacken går till så här:
Inkräktaren har funnit IP-adressen till den server som har de hemsidor som han eller hon vill förändra. Detta kan man göra med hjälp av till exempel nslookup. Den som tänker genomföra inbrottet använder en dator som kör Unix och är ansluten till Internet. Det går i princip med vilken persondator som helst. På sin dator startar inkräktaren NFS på sin sida och börjar undersöka webservern ute på Nätet. Han letar efter hårddiskar (volymer) som han både kan läsa från och skriva till. Dessa försöker han sedan "dela" med sin egen maskin, så att han kan skriva till volymerna som om det vore hans egen lokala hårddisk. På sin skärm ser inkräktaren, om han hittar en volym som han kan använda sig av, en rad som ser ut ungefär så här:
- rw /usr/ns-home
Vilket visar att volymen (hårddisken på maskinen) både får läsas från och skrivas till (rw=Read and Write, Läs och Skriv). Att detta är möjligt beror på att systemadministratören för webservern har slarvat med rättigheterna till sina diskar. Hela vida världen kan läsa och skriva på webserverns hårdisk via NFS. Generöst måhända, men också väldigt korkat. Vad inkräktaren då gör är att använda NFS-kommandot mount, så att han själv kan använda volymen som om det vore en lokal disk. Det är precis som om inkräktaren skulle ha sidorna på sin egen hårddisk, och kan därför läsa och skriva vad som helst till alla filer på volymen. Sedan ändrar han bara HTML-koden med en texteditor efter eget tycke. Attacken avslutas med att inkräktaren slutar editera filerna och avlutar NFS och loggar ut. Nu är sidorna ändrade och förövaren är borta.

Hur kan man skydda sig?
Ja, dels kan man se till att man inte kör NFS på webservrar som det inte behöver köras på. Detta är den absolut bästa lösningen. NFS behövs oftast inte köras på WWW-servrar överhuvudtaget.
Dels ser man till att inte göra några diskar med skrivrättigheter tillgängliga utifrån Nätet via NFS. Om man prompt måste ha NFS igång, för till exempel systemunderhåll, så är det alltså viktigt att diskarna bara är läsbara över nätverket och inte skrivbara. En annan möjlighet är att sätta upp en så kallad brandvägg som helt enkelt filtrerar bort NFS-förfrågningar som kommer utifrån Internet in mot företagets lokala nätverk. Kanske vill man kunna köra NFS fullt ut på nätverket, men att ingen utomstående och obehörig skall kunna komma åt informationen som finns på servern.

Oh no, we've been had!
Vad bör man göra om man får sina hemsidor ändrade?

1) Det första man bör göra är självklart att ändra tillbaka sidorna till hur de skall se ut.
Den som har gjort intrånget kan inte veta att ni inte väntar på att han eller hon ska komma tillbaka. Låter man de fejkade sidorna ligga uppe länge vet den som varit framme att ni inte har så stor koll och gör förmodligen om det.
Gör en polisanmälan och ring säkerhetsavdelningen om sådan finnes. Ett WWW-hack kan se oskyldigt ut, men inte sällan har man tagit sig längre in än så. Om en inkräktare är inne och rotar i ett helt lokalt nätverk, kan följderna bli katastrofala.

2) Berätta för folk vad som har inträffat, och erkänn att någonting fel har inträffat. Var öppen. Det lönar sig i längden. Det blir vanligare och vanligare med datorintrång. Det är därför inget att skämmas för.
Ett stort företag blev en gång utsatta för intrång på flera av sina servrar. När en journalist ringde och frågade vad som hänt hittade man, i ett sista försök att rädda ansiktet, på en historia. Historien gick ut på att intrånget var mycket mer komplicerat än det egentligen var. Detta ledde till att företaget fick påhälsning igen. Och igen. Ingen vare sig inom eller utanför organisationen visste något om detta "nya, hemska, avancerade hack", och vägen in på företagets servrar blev inte igentäppt. I själva verket var hacket baserat på en klassisk säkerhetslucka, och var närmast att betrakta som slarv.

3) Upprätta kontakter med företag i samma bransch och i samma situation. Det kan låta naivt att man skulle ringa konkurrenten när man blivit offentligt förlöjligad, men det är så man jobbar utomlands. Det finns många andra som har egna erfarenheter av intrång, men det enda sättet att få del av informationen andra har är att berätta vad som verkligen hänt, så att man snabbt kan få det hela åtgärdat. Hör efter om inte folket på datoravdelningen kan ta informella kontakter med kollegor inom samma bransch. Chansen är relativt stor att man redan känner varandra en smula. Om andra blir informerade om vad som hänt så kommer dom att vara beredda och vakna på att något skumt är i görningen. Därmed ökar således chansen för att man kan få fast inkräktaren.

Vi ses nästa månad då vi gör ett temanummer om din säkerhet!

[Till början av sidan] [Till artikelförteckningen]