ITavisen kan avsløre at Aftenspostens kundeservice, og til og med Brønnøysundregistrene, har fått sin database-informasjon kompromittert. Hackeren har igjen skaffet seg tilgangen ved hjelp av SQL-injection.

Annonse


– Jeg hacket Brønnøysund og Aftenposten

ITavisen.no avslørte i går at den norske nettbutikk-leverandøren demostore.no leverte kritikkverdig dårlig sikkerhet på sine løsninger.

Demostore AS leverer blant annet nettbutikken til NFF. Også flere andre nettsider med ulike løsninger har blitt utsatt for hacking.

Les også: Norsk nettbutikk-leverandør grisehacket på 5 minutter.

Norsk nettsikkerhet skummelt dårlig

Foto.no var en av de berørte som ikke er tilknyttet Demostore. I går beklaget sjefen for nettsiden ovenfor sine brukere.

Annonse


ITavisen.no har nå mottatt ytterligere informasjon som får oss til å stille spørsmålstegn ved nettside-sikkerheten i Norge, og ikke minst database-sikkerheten, på en rekke norske nettsider, inkludert Aftenpostens kundeservice-nettside for bestilling av abonnement (kundeservice.aftenposten.no) og andre tjenester. Til og og med Brønnøysundregistrene skal være rammet.

Har ikke oppdaget hack

Aftenspostens leder for applikasjonsdrift, Ragna Fossen, uttalte følgende til ITavisen.no i går:

«Tjenesten er operativ og i drift. Vi undersøker saken nærmere på bakgrunn av din henvendelse.

Jeg har ikke ytterligere kommentarer på dette tidspunktet.»

Men informasjonen ITavisen.no har mottatt gir oss sterk mistanke om at administrasjons-brukerdatabasen er på avveie med passord, såvel som brukernavn. Vi kan bekrefte å ha mottatt informasjon om dette, og at hackingen ble utført med SQL-injection. Samme teknikk som ble brukt i går.

Brønnøysundregistrene i fare

Men det stopper ikke der. Brønnøysundregistrene, registeret med opplysninger om norske bedrifter har også fått sin database kompromittert ifølge informasjon ITavisen.no har fått i hende.

Hva vi erfarer inneholder ikke BRREG.no-databasen brukernavn og passord eller selve databasene, men database-tabellene. Altså er hacken mindre i omfang, men viser likevel at sikkerheten er alt for dårlig for en slik viktig tjeneste, om det viser seg å stemme.

Brønnøysundregistrenes nøkkeltall:

* «Nesten 2,5 millioner dokumenter ble behandlet hos oss i 2010.»
* «I våre databaser ble det gjort 140 millioner oppslag i 2010.»
* «Over 31 000 nye enkeltpersonforetak ble registrert i Enhetsregisteret i 2010, 6 300 av disse ble også registrert i Foretaksregisteret».

Skulle en større hack forekomme, og kundeinformasjon avsløres, vil dette være svært alvorlig. Vi har vært i kontakt med Brønnøysundregistrene, men har enda fått noen konkrete svar rundt den mulige hackingen.

Enda flere nettsider hacket

I tillegg til database-informasjon om overstående er følgende nettsider rammet av SQL-injection:

* hockey.no (administrasjons-bruker-database hentet ut)
* iform.no (komplett kundedatabase hentet ut)
* bsbildeler.no (komplett kundedatabase hentet ut)
* pizzabakeren.no (komplett kundedatabase hentet ut)

ITavisen har kontaktet samtlige av disse nettsidene, men har i skrivende stund ikke mottatt svar.

Slik hackes nettsidene

Hackeren forklarer til ITavisen.no hvordan man henter ut database-informasjon:

«For å hente ut data du må du sende en forespørsel gjennom webserveren til SQL-databasen.

Avhengig av hvilken type injeksjon må du kanskje sende et ganske stort antall forespørsler. Hvis web-serveren er konfigurert riktig (noe de fleste er), vil den definitivt logge flere linjer i både «access.log» og «error.log».

Om man er i stand til å flykte inn i en «union-injeksjon» kan du være i stand til å dumpe et stort antall database-informasjon i en enkelt spørring.

Hvis du har en blind injeksjon må du kanskje gjette hvert enkelt symbol, noe som betyr å få kolonneverdi. Eksempel: «ITavisen» ville ta minimum 8 spørringer. Det er der manuell injeksjon er bedre enn å injisere med verktøy. Når du gjør det manuelt kan du med mye større suksess spå utfallet og begrense mengden av forespørsler.»

Slik unngår de å bli tatt

Sikkerhet er viktig for hackerne for å unngå å bli oppdaget. Slik sikrer de seg som oftest:

«De normal «sikkerhets»-rutinene er å bruke en VPN-tjeneste som ikke loggfører, og i tillegg bruke TOR.

Om man virkelig er paranoid kan man legge til et knippe anonyme proxyer, og jobbe fra et offentlig WLAN.

VPN og TOR bør gi deg fire hopp. Dette betraktes på generelt grunnlag å være «trygt»».

Annonse