Asprox-ugen på Version2

En række offentlige hjemmesider har i større eller mindre grad været koblet med Asprox-virussen. Her er en samlet status for sagen efter en usædvanlig hot it-uge

Almindelige borgeres tryghed ved at besøge normalt troværdige, offentlige hjemmesider har været under pres hele denne uge. Fire offentlige hjemmesider er blevet sat i forbindelse med virussen Asprox, hvor sikkerhedseksperten Peter Kruse fra firmaet CSIS har været i kritikerrollen. Her gør Version2 status for sagen.

Det drejer sig om Miljøstyrelsens hjemmeside mst.dk, Undervisningsministeriets hjemmeside uvm.dk, Danmarks Meteorologiske Instituts hjemmeside dmi.dk og kampagnehjemmesiden 1tonmindre.dk, som hører under Connie Hedegaards klimaministerium.

Ud af de fire hjemmesider har organisationerne bag halvdelen af siderne bekræftet, at de har været ramt af Asprox.

1tonmindre.dk skrev 30. juli selv direkte på hjemmesiden, at de har været ramt. Miljøstyrelsen oplyste i Radioavisen 28. juli kl. 16.00, at styrelsen har været inficeret med Asprox.

Historien i Radioavisen byggede på Version2.dk's artikel fra samme dag under overskriften: 'Danske myndigheder fortier virusinfektion'.

Dmi.dk og uvm.dk

Dmi.dk og uvm.dk valgte en anden tilgang. Dmi.dk, der er en af Danmarks mest besøgte hjemmesider, bragte en artikel under overskriften 'Virussen er en and' 29. juli med en afvisning af Version2.dk's artikel 'Virus lurer på DMI's hjemmeside'. Undervisningsministeriet bragte en lignende meddelelse på uvm.dk 30. juli.

Sikkerhedsvirksomheden CSIS har tidligere oplyst til Version2.dk, at uvm.dk har været ramt af Asprox.

Dmi.dk og uvm.dk kom i virus-søgelyset på samme tekniske grundlag som Miljøstyrelsen, der erkendte at have været ramt af Asprox. Essensen er, at DMI's og Undervisningsministeriets domæner har figureret på flere søgetjenester, hvor det skadelige Asprox-script har optrådt i URL-sammenhæng med domænet.

Scriptene i forbindelse med uvm.dk og dmi.dk er næppe blevet eksekveret, selvom en bruger eventuelt har klikket på linket. Dog lyder kritikken, at der i link-sammenhængen for DMI's vedkommende, har manglet validering af URL'en, hvilket har betydet, at det har været muligt at ændre i det viste indhold på siden.

Mystiske URL'er

Hverken DMI eller Undervisningsministeriet har kunnet forklare, hvordan URL'erne med scriptet er nået ind i søgemaskinernes tabeller. De gisner dog om, at der kan være tale om tredjeparts sites, hvor URL'erne har optrådt, og at de ad den vej er blevet indekseret af søgemaskinerne.

Spørgsmålet om, hvorfor netop uvm.dk og dmi.dk skulle være blevet indekseret sammen med Asprox, står dog åbent.

Forklaringen om, at mere eller mindre tilfældige URL'er har optrådt på diverse tredjeparts hjemmesider, og at de derfor er blevet indekseret, er blevet nævnt i blandt andet den meget aktive debat på Version2.dk

En anden forklaring på de mystiske URL'er kunne være, at Asprox-scriptet faktisk har optrådt i eksempelvis url-sammenhæng på blandt andet dmi.dk og uvm.dk, og at det har kunnet lade sig gøre via SQL-injektion. Efter linket er blevet kreeret på siderne, kan en søgemaskine være kommet forbi og have indekseret linket, som på et senere tidspunkt er fjernet igen.

Sidstnævnte forklaring tror sikkerhedsvirksomheden CSIS på ? i hvert fald for Undervisningsministeriets vedkommende. CSIS har blandt andet analyseret uvm.dk og kunnet konstatere, at adskillige tredjeparter leverer indhold til sitet.

En hel række spørgsmål står efter denne uge åbne. Men især bliver følgende genstand for diskussioner - sikkert også her på Version2.dk.

  • Vil offentlige hjemmesider, som de nævnte fremover aktivt advare brugerne, hvis de bliver smittebærere for virus?

  • Hvor udbredte er Asprox-sårbarhederne?

  • Hvordan og hvor hurtigt vil offentlige (og private) hjemmesider gribe ind og lukke disse huller?

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere