Dette var en av overskriftene som lyste mot oss på Aftenpostens nettutgave den 19. Mars. Det viser seg at flere nettsider som bruker webhotelltjenester hos Domeneshop.no har blitt hacket av en ungdomsgruppe. I følge Aftenpostens kilder kan en sårbarhet hos en av webhotellets kunder føre til at andre kunder blir rammet, og at deres informasjon blir kompromittert. Hvor ligger årsaken til dette?
Min oppfatning i saken er at problemet er todelt:
På den ene siden ser vi at det er publisert websider med alvorlige sårbarheter. Aftenposten kontaktet meg i forbindelse med denne saken og viste meg deler av et eksempel på hvordan angriperne har gått fram. Fra det konkrete eksempelet så man at websideleverandøren (kunde av webhotellet) hadde brutt med flere gode praksiser for å unngå å bli hacket:
- I en filopplastingsfunksjon ment for tekstdokumenter slik som .pdf og .doc kunne angriperne laste opp PHP-skript (OWASP top 10 A1-Injection, McGraw’s input validation and representation)
- Skriptet kunne aktiviseres etter at det var lastet opp, hvilket betyr at feil filrettigheter var satt (OWASP top 10 A6-Security Misconfiguration, McGraw’s security features)
- Funksjonen som egentlig skal vise feilmeldinger på websiden ble brukt til å vise resultatene av PHP-koden som ble kjørt (OWASP top 10 A6-Security Misconfiguration, McGraw’s error handling), i dette tilfellet linux-kommandoen ls som lister opp mappestrukturer.
Disse programmeringsfeilene har vært kjent lenge, og det er bortimot utilgivelig at de fortsatt forekommer på aktive nettsider. I forhold til dette har websidetilbyderne et stort ansvar, og spesielt når man samler inn sensitiv informasjon via disse sidene.
På den andre siden påstås det at man kan angripe en webside og bruke denne som utgangspunkt for å få tilgang til mappestrukturer og innhold hos andre kunder hos samme webhotelleverandør. På et generelt grunnlag vil jeg påstå at webhotelleverandøren har et ansvar for å bygge barrierer som hindrer traversering av mappestrukturer på tvers av kundenes områder på webserveren. Hvordan rettigheter og brukerprofiler er styrt hos Domeneshop har jeg ikke satt meg inn i, og kan derfor ikke uttale meg bastant om den konkrete saken. Skulle påstanden fra angriperne være korrekt bør webhotellets kunder kreve en gjennomgang av oppsett og rutiner.
God, lett tilgjengelig og gratis informasjon om hvordan lage sikrere applikasjoner og nettsider finner man blant annet på:
- OWASP (The Open Web Application Security Project) sine nettsider: https://www.owasp.org/index.php/Top_10_2010
Jeg har også vist til Gary McGraw’s bok, ”Software Security – Building Security In” og hans security touchpoints i sammenheng med feilene beskrevet over.
-Jostein