Islamister hacker lokal cityforening - vil hacke alle danske sites

Silkeborg Cityforenings hjemmeside er blevet ramt af et defacement-angreb, der hylder islam. Ifølge hackerne er missionen om at hacke alle danske sites kun i sin begyndelse.

»Der er ingen anden Gud end Gud, og Muhammed er Guds budbringer.«

Sådan lyder Google Translates' oversættelse af de arabiske tegn, der i øjeblikket ligger øverst på hjemmesiden www.silkeborgcity.dk.

Siden er i løbet af weekenden blevet hacket, så forsiden af sitet indeholder fanatiske budskaber om død og islam. Samtidig bedyrer bagmændene, at missionen om at hacke alle danske hjemmesider kun lige er begyndt.

Sikkerhedsekspert Peter Kruse fra firmaet CSIS vurderer truslen til at være reel nok, om end han vurderer bagmændene til at være amatører.

»Det her er *script kiddies, *der har besluttet sig for, at alle hjemmesider, der ender på .dk, skal have nogle tæv. De defacer hjemmesiderne på må og få for at hævde sig,« siger Peter Kruse.

Ifølge sikkerhedseksperten er den primære drivkraft den respekt, hackerne får i miljøet for at være i stand til at udføre angrebet. Men de islamistiske budskaber er bestemt ikke ment for sjov.

»De kan godt lide at hævde sig ved at sige 'jeg har hacket så og så mange sites,' ? den slags giver respekt. Men der følger helt klart også et politisk budskab med om at hylde islam. I deres optik er det med til at retfærdiggøre deres handlinger, hvis de bliver gjort i Allahs navn,« siger Peter Kruse.

Peter Kruse har ikke noget konkret bud på, hvordan hackerne har skaffet sig adgang til sitet, men kommer med et par generelle betragtninger om, hvordan den slags typisk foregår:

»Typisk sker den slags ved, at man uploader nogle applikationer til sit site og glemmer at læse manualens afsnit om sikkerhed. Hvis man derefter glemmer at sikkerhedsopdatere funktionaliteten og samtidig har en udbyder, der ikke regelmæssigt laver sikkerhedsaudits, så har man næsten bedt om at blive hacket,« siger sikkerhedseksperten.

Det har endnu ikke været muligt at få en kommentar fra Silkeborg Cityforening.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (30)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Bøgelund

Bemærk forskellen mellem at sikkerhedsteste og at deface sites.

Fisk.

Du fik vist ikke fat i det blink med øjet som stod mellem linierne :-)

De defacer jo kun dem de kan deface. Og når de defacer, får virksomheden bag siden et vink med en vognstang om at noget bør gøres bedre.

Og hos dem de ikke kan deface, ved de ansvarlige sikkert godt hvorfor det ikke lykkes.

Så for alle praktiske formål kan deres forsøg på defacement regnes som en gratis sikkerhedstest.

Mikael Boldt

Jeg administrerer jeg nogle små foreningshjemmesider og som selvlært autodidakt er det jo ikke lige let at gennemskue hvad der sker.

jeg bruger Wordpress og SimpleMachineForum, De blev lagt ned i weekenden 3 gange.

Det var godt at det var regnvejr i weekenden for, hvor tager det lang tid at slette alt, skifte brugernavne og passwords samt installere backup/friske programmer.

Jeg opdagede så at en af svaghederne ved webhotellet er, at de som standard tildeler samme brugernavn og adgangskode til FTP'en og Databasen, og CMS'erne forlanger ukrypteret brugernavn og adgangskode i en config fil.

Blot for at sige, at jeg tror ikke nødvendigvis på at det er via en usikker plugin, men brugen af kendte veldokumenterede CMS'er på et standard webhotel også kan skabe problemet

Lasse Boisen Andersen

Jeg har gravet lidt i det, og fundet et debatfora på nettet hvor de (åbenbart) kommunikerer frem og tilbage om de sites de har hacket.

Den originale side findes her:
http://www.bramjnet.com/vb3/archive/index.php/t-963808.html
En oversat version til engelsk her:
http://translate.google.com/translate?hl=en&sl=ar&tl=en&u=http%3A%2F%2Fw...

Som det kan ses er de formentlig oppe på 50 sider efterhånden.

Anonym

Det her er [i]script kiddies[/i]

sammenholdt med:

Peter Kruse har ikke noget konkret bud på

?
Hvis der er script kiddies, så burde man vel have mindst eet bud eller hvad?

Og hvad lever den her?:
<embed src="h t t p : / / up.baye5.net//uploads/files/baye5-e91318354d.rm" .....

Har silkeborgcity noget at gøre med baye5.net?

Don't underestimate your enemy!!.

Anonym

Jo, i skrivende stund smed jeg den lige op på virustotal, og responsen var:

File baye5-e91318354d.rm received on 2009.10.05 09:53:57 (UTC)
Current status: finished
Result: 0/41 (0%)

altså at det enten ikke er malware, eller det ikke er fundet (endnu).

(Har desværre ikke lige realplayer, så jeg ved ikke om det er reelt)

Anonym

At jeg ikke byder på hvad der er sket betyder ikke, at jeg nødvendigvis ikke ved hvad der er foregået her.

Hvis du virkelig [b]ved[/b] hvad der er sket, hvorfor fortæller du det så ikke?

Jeg kender da til en masse metoder, hvorpå man kan 'intervenere' på en website, men hvilken metode er brugt her?

Det gavner ikke sikkeheden at man tilbageholder oplysninger om de enkelte tilfælde - HVIS man altså [b]ved[/b] hvad der er foregået.......

Simon Hoxer

Hvorfor skal de altid sætte sig sådan nogle lattelige mål, "hacke alle danske sites". Mage til hjernebyld. Nu kan jeg ikke arabisk, men jeg ville da forslå dem, når de bliver træt af hackeriet, at de kan give sig til at skyde samtlige satellitter ned med AK47'ere.

Niels Jensen

Jeg er i hvertfald rimelig ligeglad hvilken undskyldning de bruger for deres vandalisering.
"Vi er en fredelig religion og nu skal i alle dø fordi nogen har stillet spørgsmålstegn ved det", gaaab.

Bortset fra det så er det da altid en god ide at få sikret sine sites. Hvis man sætter sig og tænker lidt over hvor stort internettet er, så syntes jeg nok det burde få folk til at holde tingene opdateret.

Hans-Michael Varbæk

Det er slet ikke unormalt at diverse script kiddies fra sådanne lande misbruger deres religion som forsvar mod at hacke hjemmesider, i det her tilfælde Danmark eventuelt pga. de stadigvæk ikke er kommet over Muhammed-krisen da nogle kulture bærer ekstremt meget nag.

Som regel gælder det for dem at blive "kendte" og eventuelt komme på en top 10 liste på Zone-H så de kan blære sig lidt indtil de har lavet så mange spor at de bliver fanget, problemet er bare at det er sjældent de bliver fanget pga. der vel reélt ikke er nogen IT-love i de lande?

Men måden de er kommet ind på er vel nok vha. Google Dorks og Milw0rm som det næsten altid er.

Kort sagt bruges Milw0rm til at finde huller / exploits i web applikationerne med og så bruger de specielle Google søgninger (gd0rks / Google D0rks) på hjemmesider som har den version eller som kører det system som er usikkert.

Jeg har endnu ikke set nogen af disse individer benytte advancerede metoder, de mest kendte er SQL Injection, Remote File Inclusion, Bruteforcing (af f.eks. FTP), og nogle få flere metoder. Jeg tvivler stærkt på at disse individer ville nogensinde kunne nå lige så langt som de rigtig slemme hacker-grupper som næsten ingen har nicknames på, f.eks. : zf0, r3m og anti-sec. (Anti-Sec er en længere historie og var mere end bevægelse end en hacker-gruppe men dennes navn blev misbrugt til at hacke imageshack osv..)

Men det her er så et emne som vi kan blive ved med at diskutere og som det allerede er sagt, så er der logs over deres besøg i access log'en hvis hoster'en eller firmaet har husket at sætte dette til. Det er de færreste script kiddies som faktisk formår at slette deres logs 100%, medmindre de får hjælp selvfølgelig.

Log'en vil dog sandsynligvis ikke kunne bruges til særligt meget da det sandsynligvis er web eller "single-proxies" de har brugt, eller "chain-proxies" hvis de har været rigtig smarte.

Til gengæld kan man altid prøve at infiltrere deres netværk, det er der nok større held med. Det kræver dog som regel ufine metoder, i kan jo spørge om i må låne CIPAV af FBI? :-)

Morten Busch Jensen

IDA har en tur til Dalum kloster og ville lige tjekke seværdighederne ud. Gik derfor ind på hjemmesiden: http://www.dalumkirke.dk/. Der var også arabisk musik og tekst.
Ringede til dem for at høre om de var klar over angrebet. Det var de, men siden kører stadig. Er det ikke normalt at lukke siden ned, indtil man har renset ud...????

Janus Pedersen

Hacker bør ikke bruge deres energi på sådan noget pjat. Men samle deres kræfter på noget med mere udfordring i. Helt ærligt må det være alt for nemt at hacke Internet sider, hvorfor ikke finde en rigtig udfordring?

Hvis det var et ønske at fjerne alle de web- sites som bliver Hacket, ville det være meget nemt at lave et script som oploadet det site som blev hacket. En metode kunne være at indsætte nogle tjek nummer på siden. F.eks. 3 steder på siden. Herefter oprettet et script som undersøger om disse tjekmarks findes på siden. Hvis disse tjekmarks ikke findes oploades siden igen efter måske 10 minutter.

På den ene side er det dejligt at Hackere skaber arbejdspladser over hele verden, og på den måde brødføder rigtig mange mennesker. Men på den anden side er det også synd at der anvendes så meget energi og så mange penge på at bekæmpe sikkerhedsbrister som kunne være brugt bedre på andre områder.

Jeg har det lidt med dette som med reklamemails (Spam). Det er ikke noget der får mig til at købe disse produkter eller stemme på en bestemt gud. Det tror jeg også de fleste mennesker ved, så der må være en anden grund end at udbrede religion. Men hvilken grund?

Er det for at teste sikkerhed? Men hvorfor skal dette testes? Og hvis man finder en fejl bør dette så ikke aflønnes? (med andet end en straf). (En ansættelse ved et sikkerhedsfirma aflønnes)

Er der noget der er sure over en medie skabt krise med nogle tegninger? Hvorfor lige disse tegninger og ikke alle de andre onde ting som sker?

Niels Larsen

De lande den slags kommer fra skal da pilles af internettet, med mindre de selv aktivt bekæmper den slags.

Det kan da ikke have sin rigtighed, at vi skal spilde vores tid på grund af nogle utilpassede unge mennesker.

Vi lukker af for piratsites, så må vi vel også kunne spærre for trafik, der udgår fra islamistiske lande og organisationer.

Peter Jespersen

Øeh, det er temmeligt svært - det var rent faktisk hele meningen med selve strukturen af internettet - at det skulle være så svært som muligt at slå ud. ARPA-Net var et militært projekt og en reaktion på den kolde krigs eskalering, blandt andet i skikkelse af Sputnik. Med ankomsten af mobile forbindelser er det blevet stort set umuligt.

Se på Iran og rent faktisk til en vis grad Kina - her er det rent faktisk ikke lykkedes for myndighederne at lukke af.

Og nej "vi" lukker ikke af for piratsites - ISP'en lukker af for DNS oversættelser til disse steder, hvilket tager omkring 5 min at omgå. Webstedet kører ufortrødent videre.

Det er ikke denne vej du skal bekæmpe crackere.

Kristian Christensen

Det kræves kun at der samarbejdes mellem forskellige lande og deres DNS. Hvis du ikke kan benytte en anden DNS server (f.eks hvis der lukkes af til alle kendte DNS ud over ISP'ens egen så er den ged barberet og du hænger på den DNS din udbyder stiller til rådighed.

Og så gad jeg godt se dig omgås den (med mindre du så vil til at skrive IP adresser ind i din browser)

Det burde da være muligt hvis forskellige lande lukker for størstedelen af trafik der kommer fra de IP'er f.eks Iran benytter. Selv mobile bredbånd skal dog stadig have en gateway så Internettet kan sagtens lukkes af for omverdnen. Det er jo begrænset hvor mange udgående linjer et land har.

Hans-Michael Varbæk

Det kræves kun at der samarbejdes mellem forskellige lande og deres DNS. Hvis du ikke kan benytte en anden DNS server (f.eks hvis der lukkes af til alle kendte DNS ud over ISP'ens egen så er den ged barberet og du hænger på den DNS din udbyder stiller til rådighed.

Og så gad jeg godt se dig omgås den (med mindre du så vil til at skrive IP adresser ind i din browser)

  1. Man installerer ISC BIND / Named. (eller hvad man har lyst til.)
  2. Man sætter denne op til at fungere som "resolver".
  3. Man sætter sin computer (stub-resolver) op til at bruge sin navneserver.

Det er hvad der kræves for at omgå alt DNS-blokering. ISP'erne kan altså ikke bare lukke af for at kunderne ikke må bruge port 53 globalt fordi man har lige så meget ret til at køre sin egen navneserver derhjemme som at køre en web-server.

Janus Pedersen

Jeg syntes ikke at man bør begrænse de sider som Hacker og andre benytter til at skrive budskaber på, derimod er det uforståeligt at vi ikke for længst automatisk kan opdatere og rense vores websider så disse ikke udsættes for hærværk. Det at skabe sig adgang til en webside hvor man ikke har ret til at være, må og er da det nemmeste i version. En computer sættes til at gætte et kodeord eller der anvendes en teknik til at angribe en webserver således at man kan logge på serveren.

Alt arbejdet bliver udført af en computer. Der er jo ikke en person som sidder og skrevet noget sejt kode eller bryder koder eller på andre måder gør noget matematisk sejt. Det er blot et program der anvendes og hvad så? Måske et stort script der er lavet til formålet.

Om man kan lukke for sider, er det et sjovt spørgsmål. For prøv en gang at søge på de forbudte tegninger, så kommer alle de forbudte tegninger frem. Men under selve krisen var det ikke særlig nemt at finde disse tegninger. Her måtte tages andre midler i brug blot for at se disse tegninger og selv danne sig en mening om selve denne media / politiske skabte krise.

Hvis PET eller andre med myndighed ikke vil have noget på Internettet kan dette fjerens på mange måder. I Danmark har vi Terrorpakken og denne pakke kan anvendes til mange formål, også at fjerne hjemmesider som ikke er i overensstemmelse med denne lov.

Jeg er med på at teknisk kan det være svært at fjerne muligheden for at kunne kontakte en webside, hvis denne f.eks. hostes i udlandet og ligger under noget dække. Men f.eks. kan google pålægges at de ikke kan søge siden frem og de store DNS kan også på lægges at de ikke skal vise en bestemt side.

Tilbage til de Hackere der hygger med at ødelægge hjemmesiders indhold. Jeg tror ikke på det er religion der driver værket, men tror at det er et dække for hvad der sker under overfladen. Det er jo set før at porno er brugt for at dække over Hack sider. Prøv f.eks. http://www.astalavista.com/ Det er selvfølgelig et argument for at man ikke kan lukke sider. Men denne side gør ikke noget ulovligt i sig selv. (Tror jeg ikke).

Hvorfor er det så sjovt at bryde sikkerheden og skrive noget på en andens hjemmesiden! Det forstår jeg ikke helt. Jeg tror gerne Hackre vil overtage en masse PCere og bruge disse til et større angreb eller til at sprede Vira og derved få mange PCere på samme tid at kontakte en bestemt adresse og på den måde stresse en bestemt server i knæ og derved overtage denne server. Men igen hvorfor? Er det drenge- streger eller ligger der noget mere bagved?

Log ind eller Opret konto for at kommentere