Eb.dk-trojaneren skaber nye krav til bannere

Trojaneren, der inficerede læsere på eb.dk, er nu bremset. Hos JP/Politikens hus vil man nu koncentrere sig om at håndtere og undgå lignende angreb i fremtiden.

Ekstrabladet.dk's trojanerangreb, der fredag inficerede brugerne, skulle nu være bremset.

I fredags arbejdede sikkerhedsfirmaet CSIS og JP/Politikens Hus i højt tempo for at stoppe angrebet, så yderligere læsere undgik infektion.

Angrebet blev gennemført via en bannerkampagne, der var administreret af tredjepart, og kan derfor sagtens have ramt andre nyhedssites i Danmark.

Per Palmkvist Knudsen, It-direktør i JP/Politikens Hus, oplyser, at han via CSIS har fået at vide, at også tv2.dk har været ramt af et lignende angreb fredag aften.

Desuden fulgte Berlingske-koncernen med og lukkede ned for en række potentielt, inficerede bannerannoncer på Berlingskes webmedier: Berlingske.dk, Business.dk, Bny.dk, Bt.dk, Erhvervsbladet.dk

Nødvendig forebyggelse

Kl. 16:00 i fredags kunne Per Palmkvist Knudsen meddele i et kommentarindlæg på version2.dk og på eb.dk, at fejlen var rettet hos dem og, at CSIS desuden havde fået lavet et tool til at tjekke og fjerne den pågældende virus.

Per Palmkvist Knudsen er godt tilfreds med indsatsen i fredags, men i dag vil han til bunds i sagen og desuden evaluere indsatsen.

?Vi holder møde i dag for at finde ud af, hvordan vi skal håndtere disse ting i fremtiden og, hvordan vi kan undgå den slags situationer. Jeg mener ikke, det er muligt at lave et system, der er 100 procent vandtæt, derfor er vi nødt til at forberede nogle procedurer, hvis det skulle ske igen,? siger han.

Bannerleverandør ikke afsløret
It-direktøren vil her til morgen, før mødet, ikke udtale sig om, hvem man kan tillægge skylden for hele affæren, og han vil heller ikke afsløre leverandøren af de inficerede bannerannoncer.

?Jeg vil ikke sige hvem bannerleverandøren er, før jeg er helt sikker, og de skal selv have lov at komme med en udtalelse,? siger Per Palmkvist Knudsen.

Resultatet af hele affæren er, at de implicerede parter vil sætte sig ned og udvikle nogle procedurer for bannerleverandørerne, oplyser Peter Kruse fra CSIS.

?Vi vil sikre, at det her ikke sker i fremtiden, og derfor skal der laves nogle procedurer for bannerleverandører. De skal være langt mere kildekritiske, og der skal være krav om, at de laver en sanitering og validering af det reklamemateriale, de distribuerer videre. Sådan noget her skal fanges langt tidligere, og skal ikke komme fra læsere af Version2,? siger han.

Heller ikke Peter Kruse kan oplyse, hvem bannerleverandøren er.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kenn Schjødt

Jeg oplevede selv fredag aften at blive forsøgt angrebet, da jeg trykkede på en sports video link på tv2.dk. Her kom der en popup, med "your computer is infected", altså et af de her "snyde" sites, der vil have dig til at trykke OK, for at installerer noget kode.

Det er grimt man ikke er mere sikker på anerkendte nyhedssites, end hvis man browser de mere "luskede" steder på nettet.

Håber den her opvækning, får dem til at tænke sig om.

  • 0
  • 0
Jan Keller Catalan

Jeg oplevede det her til formiddag på tv2.dk, hvor jeg pludselig fik den samme besked om virus.

Jeg undrer mig mest over, hvor lidt koordinering, der er imellem mediet og bannerleverandøren. Har TV2 outsourcet bannerannonce-salget på tv2.dk?

  • 0
  • 0
Torben Seebach

Man kan ikke hænge et bestemt site ud i dette sammenhæng. Man kan kun hænge en bestemt leverandør ud. De danske medier bruger hundrevis af forskellige partnere til at levere bannere. Partnerne har så igen partnere. Hver partner har et ansvar for sikkerheden, og alle partnere bliver tjekket grundigt efter. Men hvis en partner pludselig bliver hacket og en illegal kampagne bliver startet, så er det umuligt at opdage det på forhånd.

Den eneste sikre metode er at afkræve bruger betaling og derved ikke have bannere. Der er bare ikke mange der vil betale for den sikkerhed.

  • 0
  • 0
Claus Bruun

Jeg er med på at det ikke er de forskellige sites skyld, men at problemet kommer via bannerleverandørene. Men som bruger er jeg interesseret i hvilke sites, jeg kan være blevet inficeret via, og specielt, hvor man skal holde sig væk fra et stykke tid.

  • 0
  • 0
Jesper Stein Sandal

Hej Torben

Erfaringerne fra tidligere eksempler på denne type angreb (vi har ikke alle detaljer her) viser, at der ikke sker nogen hacking af bannerleverandørerne. Det tætteste, du kommer, er en kopiering af legitimt reklamemateriale, hvor der indsættes scripts.

I stedet sker der det, at mediet eller én af dets partnere vælger at sælge annonceplads gennem en leverandør som AdTraf, der tillader hvem som helst at sælge reklamer gennem deres distributionskanal uden kontrol af indholdet. Disse bannere vil ligne ægte bannerreklamer for legitime firmaer, som måske allerede reklamerer på mediet. De indeholder imidlertid et script, som typisk forsøger at åbne en popup.

Det kan være svært for en salgsafdeling at opdage denne form for svindel alene ved at se på selve reklamematerialet. Den bedste sikkerhed opnår de ved at være kritisk over for, hvem de samarbejder med. Derfor er det positivt, at Politikens Hus siger, at de har tænkt sig at gøre noget på netop den front.

  • 0
  • 0
Torben Seebach

Præcis AdTraf som var skyld i en leverance af bannere som tidligere i år gav problemer, er faktisk legitime, men blev hacket, det samme synes at være sket igen.

Reklamen der er tale om blev kun sjældent vist, og slet ikke til bestemte ip adresser. Dvs intern annonce afd ville aldrig kunne se dem.

  • 0
  • 0
Log ind eller Opret konto for at kommentere