Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
I kølvandet på Muhammed-krisen er antallet af hackede danske hjemmesider eksploderet. Men over halvdelen af mandagens ofre for web-graffiti befandt sig på en enkelt server.
Sagen om Jyllands-Postens tegninger af profeten Muhammed har også fået følger på it-siden. Mængden af angreb på danske websider er således steget voldsomt siden starten af året.
Men nogle af angrebene afslører også sløseri med sikkerheden på danske webhoteller.
Der har været to typer af angreb i relation til Muhammed-affæren: Ude-af-drift-angreb (denial of service) og web-graffiti (web defacements).
Ikke mange masseangreb
Ude-af-drift-angrebene har der ikke været så mange af. De har især været rettet mod Jyllands-Postens og andre danske mediers servere.
Angrebene består af store mængder datapakker, der sendes til serveren, som bliver overbebyrdet. Konsekvensen er, at den enten bliver meget langsom eller helt holder op med at fungere.
Der er reelt meget lidt, en virksomhed kan gøre, når den bliver udsat for et ude-af-drift-angreb.
Angrebspakkerne vil ofte indeholde forfalskede afsenderadresser, så det er vanskeligt at spore, hvor angrebet kommer fra.
Desuden kommer pakkerne ofte fra tusindvis af maskiner i et botnet, som en hacker fjernstyrer.
Ofte er den eneste løsning at alliere sig med sin internetudbyder og få dem til at filtrere pakker med forfalskede afsenderadresser fra.
Man kan desuden nogle gange afværge eller udskyde angrebet ved at skifte IP-adresse på den server, der bliver angrebet.
Graffiti med spredehagl
Der er langt flere ofre for web-graffiti-angrebene end ude-af-drift-angrebene. Det ser ud til, at hackerne kaster sig over enhver server, der befinder sig i .dk-domænet.
De placerer deres egne websider på serveren, hvor de kommenterer affæren. Ofte vil den oprindelige indgangsside blive slettet, mens undersider sjældent berøres.
Det hidtil største samlede angreb kom i mandags, da 470 .dk-domæner blev ramt.
Statistikken, der stammer fra web-stedet Zone-H, viser imidlertid noget interessant: De 470 domæner var fordelt på kun 15 IP-adresser. Og en enkelt adresse stod for 294 af domænerne. Den næstmest angrebne adresse husede 75 domæner.
Hvis disse to webhoteller havde været bedre sikret mod angreb, ville over 300 domæner altså ikke være blevet overtaget.
Ind via sårbarheder
Vi kan ikke vide, hvordan hackerne kom ind. Det er muligt, at de pågældende servere havde sårbarheder, fordi deres software ikke var blevet opdateret.
En anden mulighed er, at nogle af brugerne har anvendt brugernavne og passwords, der er lette at gætte. Hvis det sidste er tilfældet, har administratoren dog stadig et problem.
Det burde nemlig kun give adgang til den enkelte brugers konto, men ikke til alle andre sider på serveren.
Der er ingen undskyldning for den form for hærværk, som ude-af-drift-angreb og web-graffiti udgør.
Men de er en god lejlighed til at kigge sin web-sikkerhed efter i sømmene inden næste angrebsbølge.
Bruger man et web-hotel, kan man passende spørge der, hvordan de har sikret sig.
Oprindelig bragt på Computerworld Online den fredag 24. februar 2006