Pinligt sikkerhedshul rammer statens Netsikker.nu-kampagne

Et sikkerhedshul har gjort det muligt at afvikle Javascript hos brugerne af it-borger.dk, der driver netsikker.nu-kampagnen. Kun et lille problem, undskylder kontorchef.

I disse dage løber IT- og Telestyrelsens Netsikker.nu-kampagne af stablen, der skal gøre danskerne mere bevidste om sikkerhed på nettet.

Men noget kunne tyde på, at styrelsen har glemt at tage sin egen medicin.

Indtil tirsdag har it-borger.dk, der hoster kampagnens hjemmeside www.netsikker.nu, nemlig haft et sikkerhedshul, der gjorde det muligt at afvikle Javascript i brugerens browser.

»This is a Proof of Concept that External Javascript can be loaded,« stod der således på den dialogboks, Version2 blev præsenteret for som dokumentation for hullets eksistens. Version2 har undladt at skrive om hullet, før styrelsen har haft mulighed for at lukke det.

Den ansvarlige kontorchef for It-borger.dk, Michael Bach Petersen mener, at der er tale om et mindre hul og påpeger, at styrelsen straks gik i gang med at lukke det.

»Der er ingen eksterne, der har manipuleret med data, og samtidig har sitet ikke kunnet kompromitteres til skade for dem, der er gået ind på It-borger.dk,« siger han gentagne gange til Version2.

Og det har han principielt ret i, siger manden bag opdagelsen af hullet, Hans-Michael Varbæk fra non-profit organisationen intern0t.net, der på frivillig basis leder efter huller i hjemmesider ? uden at udnytte dem til ulovligheder.

»Han har ret i, at det ikke er sitet, der bliver kompromitteret. Det er derimod brugerens sikkerhed, der bliver det,« siger Hans-Michael Varbæk.

Sikkerhedsbristen er et såkaldt Cross Site Scripting-hul (XSS-hul), der gør det muligt at indlemme små bidder Javascript i URL'en, der eksempelvis kan bruges til at lede intetanende brugere ind på andre hjemmesider med skadelig kode ? paradoksalt nok i den tro, at de befinder sig på netsikker.nu.

Med den rette kombination af en godtroende bruger, et klik for meget og for eksempel en forældet Flash-afspiller kan sikkerhedshullet således resultere i, at brugeren får alskens malware installeret ved at surfe på det, han tror er netsikker.nu.

»Og mit gæt er, at de mennesker, der føler behov for at gå ind på netsikker.nu, i forvejen ikke er dem, der holder allermest øje med, om der står noget mistænkeligt i URL'en,« spekulerer Hans-Michael Varbæk videre.

At det netop er It-borger.dk, der som vært for netsikker.nu-kampagnen er fundet huller i, finder Michael Bach Petersen beklageligt.

»Det er selvfølgelig ærgerligt, men det er vigtigt at pointere, at det er meget svært at sikre hjemmesider 100 procent mod den slags, og så er der som sagt tale om et mindre problem, som vi omgående har taget os af,« siger kontorchefen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Thomas Stig Jacobsen

Jeg synes at netsikker.nu burde overveje hvilket signal det er de udsender.

Nu ved jeg ikke hvem som har stået inde for de sikkerhedsmæssige kvaliteter for siden men de burde have meget røde ører lige nu.

Derudover synes jeg ikke at Michael Bach Petersen tager problemet seriøst nok. Vi har med en side at gøre som skal lære dets besøgende om netsikkerhed så derfor bør dennes sikkerhed være endnu strammere for at kunne opretholde et troværdigt image.

Jeg ville ikke blot se på dette "mindre problem" men tager et kig på sidens generelle sikkerhed all-over.

  • 0
  • 0
Log ind eller Opret konto for at kommentere