En kunde hos Active ISP som Nettavisen og ITavisen har vært i kontakt med viste oss hvor enkelt det kunne gjøres å få tilgang til bortimot hele webserveren til Active ISP ved hjelp av Microsoft ASP (Active Server Pages).
Tilfeldig aksess
Denne kunden hadde laget et ASP-skript som listet opp katalogene i hans område på serveren, men fikk helt uventet tilgang til andre driver, kataloger og filer.
– Med et lite ASP-script som ligger på maskinen ble det mulig å aksessere alle katalogene og filene på server. Det virker som om feilen har oppstått på grunn av manglende oppsett i tilgangskontrollen til serveren, sa kunden, som ville være anonym, til ITavisen.
Annonse
Da ITavisen fikk en demonstrasjon kunne vi på egenhånd gå inn og se på alt innholdet på serveren. Da Nettavisen ved en tidligere anledning fikk demonstrert hullet kunne de lese all e-posten som lå på serveren. E-posten er nå flyttet over til en annen server slik at dette problemet er borte.
Tar det alvorlig
Adm. direktør Rolf Larsen tar forholdene som har kommet frem meget alvorlig, og påpeker at dette skal rettes på snarest.
– Vi har ennå ikke fullstendig oversikt over hva som har skjedd, men ser svært alvorlig på eventuelle problemer i sikkerheten, og vi er i full gang med å rette opp i forholdene, sier Larsen.
– Vi har allerede lukket all tilgang til e-post og private områder, og jobber fortløpende med å endre rettighetene i resten av serveren. Vi vil også gå gjennom alle logger for å forsikre oss om at vitale data ikke er hentet ut av serveren, sier han.
– Dette var den første serveren vi opprettet. Vi har nå hele 12 servere og dette hullet eksisterer ikke på andre en den første, hevder Larsen.
Vanskelig å konfigurere
En sikkerhetsekspert hos en av landets større nettaktører som vi har snakket med, forteller at sikkerhet rundt Windows NT og ASP er et kjent problem. Det er veldig vanskelig å sette opp serveren slik at man ikke får tilgang til andres områder.
– ASP var i utgangspunktet laget som et publiseringsverktøy i et miljø hvor det kjøres på en dedikert server, slik som f.eks i lukkede intranett. Det er mulig å konfigurere systemet slik at det blir noenlunde sikkert i et klientmiljø, men det er vanskelig. Det er snakk om kompetanse og å holde seg godt oppdatert på nye sikkerhetsspørsmål som hele tiden dukker opp på NT-plattformen, sier sikkerhetseksperten.
– I denne aktuelle situasjonen er det snakk om et helt standard skript som ikke endrer konfigurasjonen på maskinen, eller har benyttet ulovlige tilgangskoder. Dette var ikke et forsøk på hacking. Kunden har jo ikke engang forsøkt å skjule det som har skjedd på serveren, sier han til ITavisen.
Annonse
