Jeg forstår ikke..

..hvordan det fungerer med denher virus. Med min lillesmule forståelse for javascripts og html-programmering, véd jeg, at man jo skal kalde et script fra html-filen - og (så vidt jeg ved) skal javascriptet ligge under det samme domæne for at kunne fungere..

Hvordan kan de forskellige hjemmesider så blive inficeret på denher måde? Det der nævnes her i artiklen (injection) er fuldstændig sort snak for mig :)

Re: Jeg forstår ikke..

Hvordan kan de forskellige hjemmesider så blive inficeret på denher måde? Det der nævnes her i artiklen (injection) er fuldstændig sort snak for mig :)

Det lyder også som helt sort nak for mig: hvis javascript koden blot optræder som en ikke fulgt link i URL'en laver den ikke mere skade end teksten "sdfuqwe0r9uqweij" ville gøre samme sted.

Poul-Henning

Re: Re: Jeg forstår ikke..

Jeg må vist også melde mig under fanerne af de uforstående: Jeg har været rundt på DMIs hjemmeside for at lede, og jeg kan intet sted finde noget som helst der bare ligner en virus - ngg.js eller andet. Jeg kan da heller ikke genskabe den søgning der påstås lavet på live.dk...

Er det ikke noget løs journalistik, det her?

Re: Jeg forstår ikke..

Det egentlige problem, med virus skyldes to ting, hvoraf vi sjældent taler om den ene:

A. Alle computere er forbundne i verden, og det omfatter også selskabers interne computere.

B. Langt de fleste computere, fordi de har Windows, evner at udføre handlinger baseret på »runtime« kode.

Punkt B er problemet. »Runtime« kode er fx Basic og JavaScript, som aldrig har været gode sprog, de er udtryk for værste snavs, fordi de er kodesprog der er uden nogen som helst kvalitetsgaranti, kan forveksles med hvad som helst. At Basic og lignende sprog overhovedet har fået lov til at leve, skyldes at det i meget gamle dage var svært at programmere med sprog baseret på en oversættelse til maskinsprog, som, kort fortalt, er den eneste måde at kunne kvalitetssikre software. Basic var dengang kun egnet som et undervisningsværktøj for børn, men netop fordi også evnesvage voksne kunne fatte det, blev sproget udbredt, og lige pludselig indbyggede Microsoft og andre sådanne sprog direkte i alle servere, en større idioti findes ikke. Årsagen var, til gengæld, at det lignede at være smart, at enhver i verden kunne indbygge kode i e-mails og i almindelige hjemmesider med tekst, en form for demokratisk tankegang. Ganske rigtigt, er det smart, og det er fleksibelt, og man kan hurtigt lave nogle forsøg, men det er en notorisk invitation til virus, fordi computere, hver eneste gang de ser en tekst, forsøger at tolke den, om der også er nogle koder at udføre. Disse koder, hvis computeren tror at der er nogle, kan være rene tilfældige fejl, eller anbragt med ond vilje.

Af andre problemer, der bidrager:

- Nogle programmer anvender »ini-filer«, som er en allermest simpel database i ren tekstform, der gør at forbrydere risikerer let at indse hvordan et program er indrettet.

- Mange programmer anvender en standardiseret registreringsdatabase i Windows, som enhver kan læse i, som også forøger risikoen, for at forbrydere kan manipulere.

- Intel, som laver de fleste microchips i vore computere, og Microsoft, var sløsede i mange år, tillod styresystemer (som fx Windows) hver gang at anbringe visse koder de præcis samme steder i computeres hukommelser, som betød at forbrydere indså at de kunne manipulere med computere, ved at sende kode direkte til disse indre adresser.

- Microsoft havde for cirka 15 år siden en filosofi, at samtlige dele af Windows, og samtlige programmer, skulle kunne sende koder til hinanden og udføre instruktioner i hinanden, fuldstændig uden autorisation. For eksempel, at et regneark skulle kunne affyre en film, eller opstarte et tekstbehandlingssystem, eller en film skulle kunne dykke ned i en database og hive fem tusinde adresser frem - ingen begrænsninger overhovedet, andet end kreativitet! Da Internet kom, havde Microsoft en filosofi om, at filosofien også skulle gælde på tværs af Internet. Da problemer med virus begyndte at blive indlysende, havde Bill Gates en mening, at problemerne ikke var Microsofts ansvar, at sådant ansvar lå hos antivirus-selskaber. Det var indlysende en fortrængning, eller et godt råd som han fik af sin advokat dengang, om at lyve.

Lige siden, døgnet rundt, har personale i Microsoft kæmpet en baglæns kamp, med at rydde op. Først med Windows Vista er det vistnok nogenlunde lykkedes, som betyder, antager jeg, at Microsoft nu er i færd med for første gang i femten år at arbejde fremad, med en ny Windows.

Et sikkert Internet, ved de fleste hvordan vi let kan lave, men af diverse årsager stritter mange imod:

1. Alle e-mails skal være krypterede med digital signatur. (dette vil udslette junkmails, fordi bagmænd straks bliver fundet, og/eller fordi falske bagmændsadresser bliver for kostbare at skabe i store antal.)

2. Al kommunikation imellem servere og computere skal være krypteret med digital signatur. (dette vil udslette al virus).

Problemet med en sådan sikkerhed er, at FattigPer og Maren i Kæret ikke har råd til at få sig en digital signatur, fordi de ganske enkelt er for dumme til at forstå hvordan. Det er da også idiotisk uforståeligt, sådan som digitale signaturer fungerer i dag.

Antivirus fabrikanter tjener desuden så fantastisk, at disse absolut ikke ønsker sig et sikkert Internet. Diverse ballademagere, og dem er der mange af som samtidig er ansat i softwareselskaber, ønsker heller ingen sikkerhed, fordi de morer sig i deres fritid med at udføre eksperimenter på andres regninger. De taler således med to tunger, når de protesterer imod love og dommere, og mange lytter til dem, fordi de fleste er enige om, at hvis lov og dommere får indflydelse, da bliver livet kedeligere.

Det er da også sådan, at hvis Microsoft og andre ikke havde været så tåbelige at slippe alting løs, da ville planeten havde mistet den eksplosion af kreativitet i hele verden som fulgte. I givet fald, ville vi næppe have fået fx Youtube så hurtigt.

Re: Jeg forstår ikke..

Suk.. Måske jeg bare skulle sætte pris på min uvidenhed og dalre ud og lave en kop kaffe..

:)

Re: Jeg forstår ikke..

Jeg forstår heller ikke ...
Hvorfor er det sådan her hver gang medierne beretter om computervirus? Jeg forstår ikke hvorfor det hele skal være så halvhemmeligt og indhyllet i mystiske analogier som hverken giver mening for dem med forstand på tingene eller for dem uden?
I dette eksempel er journalisten dog ret god, synes jeg, det er bare en skam at Peter Kruses forvrøvlede afslutningskommentar får lov at stå alene.

Så vidt jeg kan læse mig til, så har "nogen" et sted i verden, lavet et link på deres hjemmeside, i stil med:
a href="http://www.dmi.dk/dmi/index/ve...uot; - eller hvordan pokker det nu skulle se ud. Hvordan i alverden det nogensinde kunne være DMI's skyld, det forstår jeg ikke.

Snak om SQL-injection hører slet ikke hjemme her - for selv hvis der var en fejl på DMI's side der gjorde at man kunne injecte SQL, så ville det stadig ikke få det bemeldte javascript til at køre. SQL-injection er kun relevant hvis det er muligt at redigere i hjemmesider, og indsætte javascriptet på dem - og det er jo ikke sket her.

Så måske har Carsten Scherrebeck Møller lidt ret i sit lange ellers irrelevante indlæg, for noget kunne tyde på at CSIS gerne vil fremstå som nødvendige eksperter - koste hvad det vil.

Jeg ville betale gode penge for et medie hvis journalister ville beskrive tingene som de rent faktisk var, i stedet for at viderebringe skrækhistorier fra dem der står til at tjene på dem.

Cross site scripting...

Den klareste forklaring jeg har set på hvad cross-site-scripting er kan ses her:

http://code.google.com/p/docty...oXSS

Så: Enten *har* DMI en fejl på deres hjemmeside så der udføres javascript eller også har de ikke.

At javascript udførsel skulle kunne føre til at en maskine bliver en del af et botnet forekommer mig fantastisk! Er der så ikke påviseligt en vulnerability i browseren?

Peter

Hvorfor cross-postes på både ing.dk og version2?

Er der virkeligt grund til at fortælle *præcis* den samme historie begge steder?

http://ing.dk/artikel/89837
http://www.version2.dk/artikel...8000

Peter

Re: Microsoft, Intel m.fl.

Husk nu på, at den personlige computer, DOS og Windows oprindeligt var beregnet til personlige computere, hvor der ikke var nogen der tænkte ret meget på netværk.
Og ja - virus startede med at blive distribueret via disketter - men helt grundlæggende er det ikke rigtigt at være åh så bagklog på hvad IBM og Microsoft burde have tænkt på i 1980.
At MS så var rigtig længe om at fatte deres ansvar for at udvikle Windows i den rette retning er en helt anden historie.

Re: Cross site scripting...

Den klareste forklaring jeg har set på hvad cross-site-scripting er kan ses her:

http://code.google.com/p/docty...oXSS

Så: Enten *har* DMI en fejl på deres hjemmeside så der udføres javascript eller også har de ikke.

At javascript udførsel skulle kunne føre til at en maskine bliver en del af et botnet forekommer mig fantastisk! Er der så ikke påviseligt en vulnerability i browseren?

Peter

Problemet ligger her..
"DMIs besindelse skyldes, at scriptet findes i forlængelse af en URL under verdensvejrfunktion. Helt præcist forbindelse med den polske by Szczecin."

En browser (din :) klikker på linken, og bliver sendt til server vedrørende emnet. Når server er færdig med at udfører URL [http://ing.dk/?], så vil resten efter URL (ngg.js) blive læst af server som data/kode, den skal udfører... hent dit, gør dat - læs i database..

Så bruger bliver ikke ramt, men bruger bliver misbrugt til at 'plante' data eller afsende et angreb mod en server.. jeg læser det, som det går ud over en server i Polen. Men med det gummisprog er det uklart.. sorry.

Håber det er lidt mere konkret end tågesnakken i artiklen ;-)

Virus er en and

Den såkaldte "virus" som i så livligt har diskuteret er en and http://www.dmi.dk/dmi/virussen..._and

Dementi udbedes

Asprox virus er ikke og har ikke været på DMI's hjemmeside. Ing.dk bør bringe et dementi i samme opsætning som den oprindelige "nyhed".
I øvrigt tror jeg, at jeg på standens vegne kan sige, at vi gerne er fri for den slags journalistik, som blot er udbredelse af ubekræftede rygter.
Peter Stauning, civilingeniør

Svar til flere

Kære læsere,

Tak for de mange spørgsmål.

- Artiklen er skrevet til Ingeniørens IT-medie Version2 og blev ved et uheld offentliggjort på både ing.dk og v2.dk. For ikke efterfølgende at skabe unødig forvirring har vi valgt at lade artiklen stå begge steder.

- Version2's research viser, at DMI's hjemmeside tilsyneladende har været (og muligvis stadig er) sårbar for såkaldt cross-site scripting, hvilket bekræftes i DMI’s pressemeddelelse.

- DMI’s pressemeddelelse understreger, at besøgende ikke kan blive smittet med Asprox-virus på DMI’s site. ”Det betyder ikke, at det skadelige script bliver afviklet på computeren. Ja, faktisk viser alle vores tests, at det ikke bliver afviklet og det dermed er uskadeligt,” skriver DMI blandt andet.

- Men det er ikke nyt. Det står klart og tydeligt allerede - og med DMI som afsender - i ovenstående artikel. Vi har derfor ikke ændret i artiklen.

- Artiklens overskrift bruger ordet ”lurer”. Vi på redaktionen står ved ordvalget. Men vi tager til efterretning, at nogle læserreaktioner tyder på, at det er blevet læst mere dramatisk, end det er ment.

Venlig hilsen
Rolf Ask Clausen

Re: Re: Jeg forstår ikke..

Det var ellers lidt af et rant, noget måske temmelig populistisk.

Men når du skriver:

- Nogle programmer anvender »ini-filer«, som er en allermest simpel database i ren tekstform, der gør at forbrydere risikerer let at indse hvordan et program er indrettet.

så er du altså på tynd is, for det er noget vrøvl af rang.

Inifiler er en glimrende og meget ren måde at initialisere programmer, og at tro at security by obscurity er anvendeligt er en misforståelse.

Endvidere hvordan skulle en "forbryder" overhovedet kunne få fat i oplysninger om inifiler (eller andet for den sags skyld) hvis selve webapplikationen er lavet fornuftigt?

/Christian

Re: Re: Re: Jeg forstår ikke..

Endvidere hvordan skulle en "forbryder" overhovedet kunne få fat i oplysninger om inifiler (eller andet for den sags skyld) hvis selve webapplikationen er lavet fornuftigt?

Hvis man ejer et stykke software, dvs. ikke bare har overtrådt andres patenter, så ejer man en værdi som man gør klogt i at beskytte imod andres tyverier eller hærværk. (Jeg skriver dette, som tidligere leder af et softwareselskab, et selskab der udviklede værktøjer til knowledge engineering og ekspertsystemer.)

Hvis man ønsker at stjæle andres knowhow, eller ødelægge den, så undersøger man i første omgang hvordan brugerflader fungerer, hvilke data de modtager, og hvordan output bliver. Man forsøger sig også straks med reverse engineering, hvis man har fat i selve softwaren, ved hjælp af værktøjer, men, dette kan være forhindret af kryptering, hvis ejeren af softwaren har tænkt sig om, før softwaren blev offentlig tilgængelig.

Man stirrer også hårdt på brugerfladen, om man kan genkende visse træk, som kan afsløre temmelig præcist, hvilket programmeringsværktøj der er anvendt, eller hvilke serversoftware, der udspyr hvad man ser via Internet. Man borer i, hvorhenne software er beværtet, dvs. i et webhotel, og dette sørger man for at læse om, hvilke teknologier der understøttes af hotellet, alt sammen en indkredsning af, hvad der ligger bag den software, fx en hjemmeside, som man ønsker at kopiere uden at blive opdaget, eller hærge.

Ret hurtigt, vil man have fat i en stribe af teknologier, som man selv kan anskaffe sig, og analysere på, hvordan de virker, og hvilke svagheder de har, hvis man vil hacke. I hele dette billede, ret hurtigt, vil en erfaren programmør vide sådan cirka, hvorhenne i kompileret kode, at man måske med fordel kan ombytte på bits, og måske pludselig bringe softwaren til at skifte opførsel, afhængig af hvad man ønsker at opnå. Man forsøger sig også med alverdens input i felter, om nogle af disse er koblede til databaser på en utilsigtet måde. Via Internet er det vanskeligt, men, vi ved jo, at hackere ustandselig lykkes med at finde brister.

Det er i dette billede, at ini-filer og brug af registreringsdatabasen i Windows, skal ses. Sådanne metoder er ikke spor farlige i sig selv, men hvad som helst af ydre parametre, som fjender kan læse i, giver en brik mere, til at forstå hvordan software er skruet sammen. Min egen holdning er, at software bør være en lukket kasse, umulig for andre at rode i, eller forstå, bortset fra eksperimenter med input og output. Fordi: Det forøger sikkerheden.

Det er således ikke klogt, synes jeg, hvis man kan fremkalde en hjemmesides koder, og kunne aflæse direkte kald til databaser eller scrips på servere. Man udsætter sig øjeblikkelig for robotters forsøg på at manipulere, for dygtige hackere har fuldautomatiseret sådanne forsøg.

Angående DMI: Det er et problem for DMI, hvis hjemmesiden er konstrueret således, at man ved at tilføje nogle parametre til DMI's adresse, kan få en server til at udspy mere end godt er, hvis dette er tilfældet i denne sag, aner det ikke. DMI, og andre, kan muligvis i første omgang være ligeglade, hvis hvad der udspys, ikke er kritisk eller ulovligt. Men, hvad som helst som hackere kan lære om en servers opførsel, bringer dem ét skridt nærmere en forståelse af, hvordan at overtage kontrollen.

Deraf min tirade højere oppe, at runtime fortolkere og standardiserede scripts på servere, er farligt for sikkerhed. Man bør indkapsle al anvendelse af standardsoftware i sin software, når man kompilerer til sine servere, og forinden frakoble alle de standardfunktioner som lige netop denne software ikke anvender. Problemet er, at mange udviklere slet ikke forstår en servers tusinder af funktionsmuligheder, og lader stå til.

Re: Re: Re: Re: Jeg forstår ikke..

Det er således ikke klogt, synes jeg, hvis man kan fremkalde en hjemmesides koder, og kunne aflæse direkte kald til databaser eller scrips på servere. Man udsætter sig øjeblikkelig for robotters forsøg på at manipulere, for dygtige hackere har fuldautomatiseret sådanne forsøg.

Fint Carsten, men din browser og alle øvrige er netop bygget til at sende en URL samt evt. data/kode modtagende server skal udfører.

Det er i øvrigt samme problemstilling, der gør det muligt, at følsomme data fra dit system kan transporteres ud gennem firewall etc. (Leak) og modtages på ønsket server overalt på kloden af kriminelle.

Hvad gør vi ved det ? Beder Microsoft, Firefox etc. om at ændre hele strukturen.. den går vist ikke :)

Foreslår du, at den nuværende 'tekst'kode erstattes af krypteret HTML, Java, CSS etc. ?

Re: jeg forstår ikke samt cross site scripting.

Der findes mange måder at lave injection på, og en af dem er SQL injection.

Der har siden maj været automatiserede forsøg igang, og de retter sig mod MS SQLServer.

Der er ikke tale om angreb målrettet mod enkelte felter/tabeller i databasen, men et altomfavnende forsøg.

I forbindelse med disse her, som er ens i obygning, men muligvis forskellig i payload, har jeg lavet en beskrivelse af hvordan det starter, hvordan det virker samt hvordan man kan undersøge og fjerne det.
Se nederst her:
http://w-o-p-r.dk/storm.monito....asp

Med hensyn til selve inficering hos brugerne kan det lige så tit være lokkeri til at downloade falske virus scannere, en flash update eller en given codec for at kunne se en 'interessant' filmklip.

Jeg har i foråret samlet et par eksempler og lavet dem om, så de ikke udfører skadelig kode.
Jeg har lagt et par 'playbacks' her:
http://w-o-p-r.dk/xoomer/wopr.....asp

Disse playbacks er kode fra det _virkelige_ liv, og ikke en efterliggning.
Dog har jeg lavet et lille program, der blot viser en meddelelse, i stedet for den rigtige malware.

Baggrunden er at vise hvor livagtigt, og troværdigt, det vil se ud for en almindelig bruger.

Hvis man kører Flash playback'en, så læg mærke til at URL'en i adresselinien ikke ændrer sig, uagtet man befinder sig andetsteds.
I playback'en bevæger man sig dog kun inden for dette domaine, men i virkeligheden vare der tale om 3 servere, rundt omkring i verden, men konceptet burde fremgå.

Det bliver værre og værre...

Når server er færdig med at udfører URL, så vil resten efter URL (ngg.js) blive læst af server som data/kode, den skal udfører... hent dit, gør dat - læs i database.

Så er der ihvertfald ikke tale om cross-site scripting mere.

Hvis DMI udførte kode der lå i en url så som:
http://dmi.dk/?query=ost;udf&o...t_C: så ville der være en massiv vulnerability hos DMI. Det lader ikke til at være tilfældet.

Så hvad var det som Peter Kruse er så oprørt over? Er der overhovedet nogen anden i verden end denne ekspert som er oprørt? Er der nogen *detaljer* i denne sag overhovedet?

Ellers er her en ny overskrift: "Virus på Ing.dk" fordi der er en side (denne) der indholder ngg.js!!!! :

http://google.com?q=ngg.js

Eller endnu bedre:
http://google.com?q=<script...ript type="text/javascript" src="http://some.server/ngg.js"...>

Udfordring til Peter Kruse og Version2: Fortæl os nogen detaljer. Hvad præcis er der i disse links som skulle udgøre nogen som helst form for sikkerhedsrisiko? Hvad består denne risiko i? Konkret / Faktiske strenge...

Og nu er denne nonsens fortsat på http://www.version2.dk/artikel...brev

Re: Re: Re: Re: Re: Jeg forstår ikke..

Fint Carsten, men din browser og alle øvrige er netop bygget til at sende en URL samt evt. data/kode modtagende server skal udfører.

Dette er ikke spor farligt. At en browser sender data retur til en server, er en del af input-output, sådan som al software opfører sig, og det er en standardiseret del af HTML. En hacker kan studere disse data, men vil intet vide om hvordan disse data bliver behandlet af serveren.

Derimod: Hvis browseren foretager et direkte funktionskald tilbage serveren, da bliver hackeren særdeles meget klogere, måske genkender han/hun ligefrem funktionen, ved hvilke brister den har. Det er rigtig dårlig vane, for programmører, at lave hjemmesider således.

JavaScript, som fortolkes i browseren, er ikke umiddelbart farligt, men også disse koder studerer hackere, om de kan lære noget deraf, danne sig en mening om, hvordan den tilhørende kode på serveren måske fungerer, gætterier, men sådan arbejder hackere, de gætter sig frem.

Man skal evigt huske på, at hackere altid anvender et særligt værktøj til at studere alle data direkte ved kilden hvor de kommer ind via netkortet i en computer, dvs. før data bliver manipuleret af en browser og måske også før at data bliver manipuleret af fx Windows. Hvad man som programmør måske tror er skult for hackere, kan vise sig at være en seriøs fejltagelse. Man bør vide det, undersøge sin egen software, hvad hackere rent faktisk kan se via Internet. Man bør også pinge sine servere, holde øje med hvad man rent faktisk kan se ude fra Internet. I værste fald er der hul helt igennem, dvs. en firewall virker slet ikke, som skulle beskytte serverne. I store virksomheder er der jo ofte tusinder af ansatte, og de har nu og da brug for, hver især, at forsøge at undgå firewall'en, måske fordi de roder med videokonferencer via Internet, bare et eksempel, og lige pludselig virker de firewalls ikke, som skulle beskytte alle webservere. En IT-driftsafdeling er ofte hårdt prøvet, om de kan følge med, fordi al teknikken udvikler sig så hurtigt.

En ideel hjemmesides sider, sikkerhedsmæssigt, består cirka kun af HTML-koder og et stylesheet samt kryptering. Dermed gør man en browser til at fungere kun som en terminal, det sikreste mulige. Prisen er, at serveren belastes maksimalt, i forhold til ellers, fordi al beregning sker på serveren, ikke i browserne, når man ser bort fra kryptering. I gamle dage var denne pris for høj, fordi computere og forbindelser var for svage, men den tid er forlængst forsvunden, i hvert fald i Danmark.

Lige nogle spørgsmål

Jeg begynder at forstå 'logikken' i dether, selvom jeg kan ikke forstå hvorfor det bliver fortolket som en egentlig virus..

Men jeg har nogle spørgsmål til måske at få det afklaret:

1: Før noget af dette overhovedet kommer til at ske, så skal jeg (altså brugeren) klikke på det 'inficerede' link (f.eks via en søgning på nettet) før det virker? Altså, de links der ligger internt i navigationen hos f.eks. DMI bliver ikke påvirket..?

2: Det værste der kan ske er, at jeg (iht. til punkt nr. 1) i så fald vil få en pop-up, eller at hjemmesiden jeg vil se bliver spoleret af et javascript - eller, hvis javascriptet henviser til en .exe-fil, så skal jeg under alle omstændigheder klikke 'Kør' i det vindue, hvor min browser beder mig om at tage stilling?.. (Ja, undskyld, det er ikke nemt for mig at formulere :)

Med andre ord, så er den eneste 'ko på isen', at man via en 'inficeret' URL på en obskur hjemmeside, vil kunne effektuere et javascript, så det ser ud som, at scriptet faktisk hører til den side, som linket linker til? Hvis dét er rigtigt, så er det jo ikke noget hjemmesideindehavere aldrig vil kunne gardere sig imod, men derimod en slags svaghed i browseren, ikke?

Jeg håber nogen vil sole mig i deres forstands lys, for af enelleranden grund vil jeg gerne prøve at forstå dether problem :)

Nåjo, en ting til..

Hvad er det egentlig der gør, at netop dette javascript er så udbredt? Sidder der nogle mennesker et sted og skriver links til allemulige hjemmesider med denne scriptkode i? (det tror jeg jo ikke på - men hvad sker der så?)..

Re: Nåjo, en ting til..

Hvad er det egentlig der gør, at netop dette javascript er så udbredt? Sidder der nogle mennesker et sted og skriver links til allemulige hjemmesider med denne scriptkode i? (det tror jeg jo ikke på - men hvad sker der så?)..

Ja og ja.. men ikke i den kontekst, som du angiver.

1) Der er hele miljøer, der laver scripts. De har nær kobling til krimminelle, som bestiller arbejdet og som aftager 'resultatet'. Der udvikles og kan helt åbent hentes det fornødne 'værktøj' til formålet på nettet.

2) Script laves primært ikke til almindelige private hjemmesider, men prøves at få listet ind, hvor der er mange besøgende, eller kendte værdier at hente.

3) Scriptet behøves ikke at ligge på feks. DMI, men kan være koblet på en link til DMI på en anden server - i DK eller udlandet.

I øvrigt mangler der noget mere konkret, så jeg kan ikke gennemskue andet end..

A) Kruse (CSIS) har søgt med Microsofts søgemaskine efter dette spicielle script - fint, det er deres arbejde.

B) Scriptet findes iflg. CSIS ifm. link der peger på DMI og også hos Undervisningsministeriet (UM).

C) Både DMI og UM afviser scriptet findes hos dem.. ny søgning viser også, at det ikke eksister (mere ?).

Vi er nu ude i påstand mod påstand.. uden brugbar dokumentation.

Re: Lige nogle spørgsmål

Før noget af dette overhovedet kommer til at ske, så skal jeg (altså brugeren) klikke på det 'inficerede' link

Hvis vi lige ser bort fra DMI/UVM, og taler generelt, så hvis <script> tagget er injected i brødteksten, bliver det eksekveret automatisk uden man skal klikke på noget.

Det værste der kan ske er, at jeg (iht. til punkt nr. 1) i så fald vil få en pop-up

Der findes også nogle der benytter sårbarheder i f.eks. Realplayer, hvor det sker 'automatisk'.

Hvad er det egentlig der gør, at netop dette javascript er så udbredt? [

Det er bot'er, der automatisk forsøger SQL Injection på alle mulige servere i verden.
Hvorfor lige filnavnet ngg.js er interssant under mig også lidt, de hedder ogsp b.js, m.js osv.

Tak venner..

..men jeg er ikke blevet et hak klogere - nærmest to hakker mere forvirret..

Det er nok bare ikke 'ment to be', at jeg skal forstå dether..

Men tak alligevel :)

Re: Jeg forstår ikke..

Nu har jeg ikke selv stået for researchen, men der er et par ting, der er interessante ved historien.

Udformningen af URL'en ligner til forveksling den type URL, man vil benytte til injektion - i dette tilfælde formentligt XSS. Men ekskveringen af angrebet er helt skævt. I stedet for en henvisning til et script, burde de have lagt scriptet ind som en del af URL'en. Som det ser ud nu, så sker der intet.

Det tyder for mig at se på, at nogen har forsøgt at anvende et værktøj til automatisk at inficere en masse sider, men de har ikke ramt de rigtige sårbarheder (i hvert fald ikke hos DMI) eller haft den rigtige angrebskode.

Der kan også være tale om et forsøg på at få et script på en anden side til at se ud til at komme fra DMI, så det slipper forbi phishing-filtre, men det har jeg ikke set nok detaljer til at kunne sige med sikkerhed.

Jesper Stein Sandal
Version2

Re: Re: Jeg forstår ikke..

Udformningen af URL'en ligner til forveksling den type URL, man vil benytte til injektion - i dette tilfælde formentligt XSS. Men ekskveringen af angrebet er helt skævt. I stedet for en henvisning til et script, burde de have lagt scriptet ind som en del af URL'en. Som det ser ud nu, så sker der intet.

Det, jeg ville have skrevet, var selvfølgelig:

"Udformningen af URL'en ligner til forveksling den type URL, man vil benytte til injektion. Men ekskveringen af angrebet er helt skævt. I stedet for en henvisning til et script, burde de have lagt scriptet ind som en del af URL'en. Det ligner en mærkelig krydsning mellem en injektion og XSS. Som det ser ud nu, så sker der intet."

Re: Re: Re: Jeg forstår ikke..

Nu har jeg researchet en del i mekanikken med de her SQL injection angreb der har kørt siden starten af maj, og her er mit gæt på hvad der foregår.

Det er automatiserede angreb, der simpelthen gnaver sig igennem samtlige URL'er og forsøger injection ad den vej.

Hvis det lykkes, så vil alle tekstfelter i databasen få tilføjet det pågældende script tag.

Nu forestiller vi os, at der er en der har en database drevet linksamling, hvor der eksempelvis i databasen står:
Titel:Se vejret i polen
Link:http://www.dmi.dk/dmi/index/ve...olen

SQL injectionen skelner ikke mellem tekster/links, m.v. men tilføjer ukritisk.

Dvs. link feltet vil få tilføjet <script> tagget, og dermed opstår den mystiske URL, men på en anden side/server.

Så kommer msnbot'en forbi denne her links samling læset den mystiske URL.
Søgebotten følger det mystiske link, og får den aktuelle - og rigtige - side fra DMI.

Nu kommer til sagen kerne. msnbot'en _tror_ det er den rigtige side, får dataene, og indexerer den til Live.com.

Så set ud fra et teknisk synspunkt er den god nok, linket _eksisterer_ og man får de _rigtige_ data.

Fejlen er, efter min mening, at DMI returnerer rigtige data ud fra en forkert URL.

Parametre bliver adskilt af &-tegn, pg der er ikke noget country der hedder "Polen<scriptosv.."