Undervisningsministeriet afviser virus - ekspert fastholder kritik

Undervisningsministeriet har fået DK Cert til at gennemgå deres hjemmeside, og dommen er klar: Ingen Asprox-virus. Men sikkerhedsorganisationen CSIS, der selv har undersøgt sagen, når til en ganske anden konklusion: Der har været skudt virus ind på uvm.dk

To sikkerhedsorganisationer bedømmer sagen om virus på Undervisningsministeriets hjemmeside uvm.dk helt forskelligt. Ministeriets egen rådgiver DK Cert afviser den mulige infektion, mens den private organisation CSIS fastholder.

Efter Version2 kunne berette, at Undervisningsministeriets hjemmeside uvm.dk havde været ramt af den berygtede Asprox-virus, og ministeriet, jævnfør en mail fra dets kommunikationsafdeling, så ud til at bekræfte Version2.dk's historie, fik ministeriet travlt.

I første omgang med at kalde mailen fra kommunikationsafdelingen til Version2.dk for en fejl. Og dernæst allierede ministeriet sig med sikkerhedsfolkene hos den offentlige it-sikkerhedsorganisation DK-Cert.

Organisationen, som hører under Uni-C, der hoster uvm.dk, har de seneste dage gennemgået uvm.dk med en tættekam, og konklusionen er ifølge Uni-C soleklar: Pure virusfrifindelse.

Konklusionen er klar

Specialkonsulent Theo Tams, fra UNI-C, oplyser, at UNI-C og DK-CERT de seneste dage har gennemgået de sider, som version2.dk har angivet som mulig Asprox-ramte.

»Konklusion er klar - vi har ikke fundet spor af asprox-virus på de omtalte sider,« lyder den eneste kommentar fra Theo Tams, som Version2.dk må citere ham for.

Undervisningsministeriet har desuden set sig nødsaget til at offentliggøre en meddelelse på uvm.dk, hvoraf det blandt andet fremgår:

"Undervisningsministeriet har fået UNI-C og CERT.DK til at kontrollere de par sider, som skulle have været inficeret, og de har konstateret, at disse ikke har været ramt af virus. Der er heller ikke fundet spor af infektion på andre sider.

Det er altså fortsat helt sikkert at bruge ministeriets hjemmeside, og Undervisningsministeriet har ikke på noget tidspunkt haft kendskab til eller fortiet en virusinfektion - som ikke har fundet sted."

Alligevel kunne Version2 konstatere, at javascriptet, der er synonym med Asprox-virussen, optrådte i flere URL-sammenhænge under uvm.dk-domænet i forbindelse med opslag på forskellige søgemaskiner.

Mystiske URL'er

Gåden om de URL'er, som har optrådt i søgemaskiner, vil sikkerhedsekspert Peter Kruse ved virksomheden CSIS, der blandt andet rådgiver netbankerne om it-sikkerhed, gerne hjælpe med at opklare.

»Vores undersøgelser viser, at javascriptet ikke kun har optrådt i URL-sammenhæng, men faktisk har været injektet i kildekoden eller rettere i den bagvedliggende database,« forklarer Peter Kruse, der mener, at det netop er fordi, scriptet har været til stede på uvm.dk, at søgemaskinerne har indekseret dem.

Når Asprox sniger sig ind på hjemmesider, sker det som oftest ved at SQL-injekte usikre ASP-sider. Og det kan ikke umiddelbart have været tilfældet i Undervisningsministeriets, for uvm.dk kører på en AIX-platform og bruger ikke ASP. Men det udelukker ikke noget som helst i dette tilfælde, fortæller Peter Kruse.

Den bagvedliggende database

Han peger på, at det jo netop ikke er selve kildekoden, som bliver ændret, men derimod den bagvedliggende database, hvor informationer bliver hentet og præsenteres for websidens læsere.

»Vi kan se, at der er flere underleverandører til indholdet på uvm.dk Og underleverandørerne kan sagtens være sårbare overfor eksempelvis SQL-injektion, som så er landet på Undervisningsminiteriets webside,« siger han.

Ifølge CSIS, så har det skadelige script været injektet på flere af Undervisningsministeriets hjemmesider, hvilket også kan støtte tanken om, at det er et bagvedliggende system, er blevet ramt.

»Det kunne eventuelt være et CMS system eller en ekstern indholdsleverandør,« siger Peter Kruse.

CSIS bekræfter dog, at scriptet nu er fjernet fra siderne igen.

Systematisk fjernelse

»Alle de artikler, hvor scriptet har været injektet, er helt systematisk blevet renset,« siger Peter Kruse.

Rensningen får ham til at konkludere, at nogen af de involverede omkring uvm.dk har været helt bekendte med problemet.

»Det tyder i hvert fald på, at man har fjernet scriptkoden i tavshed. Og ja, det kan vi faktisk dokumentere. Flere sider havde scriptet injektet ned i indholdet på selve siderne,« siger han og tilføjer:

»Jeg er bekymret for, at der lige nu er nogen ved Undervisningsministeriet, som har travlt ved håndvasken i stedet for at fortælle, hvad i virkeligheden er foregået,« siger Peter Kruse.

CSIS har rettet henvendelse til DK Cert for at oplyse om CSIS' research, men har ikke haft held med at få fat på den ansvarlige hos den offentlige sikkerhedsorganisation.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Rune Broberg

... at stort set alle de hjemmesider som version2/ingenøren og hr. Peter Kruse har ment har været inficeret med asprox de sidste par dage har vist sig at være fuldstændigt rensede?

Og at det eneste spor øjensynligt har været en søgemaskine - i flere tilfælde faktisk den samme søgemaskine, live.dk, et Microsoft-produkt der formentlig kører på en platform der netop er den, der har været sårbar overfor virusen?

Jeg synes det virker som nogle noget tynde påstande om virus man kommer med her. Og det virker udpræget som et reklamestunt fra CSIS' side.

  • 0
  • 0
#2 Peter Valdemar Mørch

Det virker bestemt som vrøvl fra ende til anden. En meget lignende historie fra for et par dage siden:

http://www.version2.dk/artikel/8000?nyhedsbrev og http://ing.dk/artikel/89837

Udfordring til Peter Kruse og Version2:

Fortæl os nogen detaljer. Hvad præcis er der i disse links som skulle udgøre nogen som helst form for sikkerhedsrisiko? Hvad består denne risiko i? Konkret / Faktiske strenge...

Og til Version2: Giv os nogle flere kilder der er bekymrede og som har set de "farlige" data...

  • 0
  • 0
#3 Simon Thyregod

Der er ikke tale om en SQL injektion, men blot en lidt usikker håndtering af parametre i webkoden. Prøv f.eks. at skrive følgende i din adressebar:

http://www.version2.dk/artikel/8021%20%20%20%20%20%20%20%20%20%20%20%20%...

Hvis man herefter åbner kildekoden (View Source/Vis Kildekode) for websiden, kan man finde ordet "Hacked" i kildekoden, selvom Version2 aldrig har været hacket.

Jeg tror det samme er tilfældet for UVM.dk og flere andre sider. Hvis en ondsindet person placerer ovenforstående link på en hjemmeside, vil en søgemaskine indeksere den angrebne side med ordet "Hacked". Ordet "Hacked" kan evt. erstattes med et længere script, men der er ikke tale om en kompromittering af siden eller databasen.

Hvis CSIS' søgemaskine gennemsøger en ondsindede hjemmesider med et sådan link, vil siden fremstå som hacket, og jeg tror herefter de fejlagtigt har antaget at det er en SQL injektion.

  • 0
  • 0
#4 Thomas Lønskov Luther

Al det postyr der har været omkring denne asprox virus lyder næsten til at skyldes at nogen har set et link på live.com (og/eller live.dk). Blot fordi der fra en søgemaskine er et link der indeholder det skadelige kode, gør da ikke det til et problem for target siden. Hvis ikke Kruse kan komme med konkrete beviser for at det skadelige kode rent faktisk HAR været på de pågældende hjemmesider, så mister han/de godt nok gevaldig meget troværdighed og får det næsten til at virke som om de har behov for at profilere sig selv.

Hvis nu jeg laver et link til csis.dk der indeholder virus'en (eller det der bør kalde virusen), er det så csis.dk der har et problem? Nej vel....

  • 0
  • 0
#5 Hans Peter Nielsen

Det lader til, at der er stor forvirring omkring denne sag (og sagen om DMI).

Så vidt jeg har forstået er problematikken følgende: 1) Ved at ændre værdien af en parameter på en side hos UVM, kan/kunne man få siden til at vise indholdet af parameteren. Det er faktisk ikke unormalt at finde sider, der blot spytter en GET-parameter ud på samme side. Som ovenstående debattør demonstrerer, er det ironisk nok også tilfældet for denne side på v2.dk.

2) Hvis man i denne parameter satte en tekst-streng, der inkluderer et javascript fra en anden side, kan man derfor få siden til at afvikle pågældende javascript.

3) Dette er et problem på en side som fx uvm.dk, da nogle brugere måske har sænket sikkerhedsniveauet for domænet eller vil svare OK til en evt. advarsel fra browseren.

4) Problemet vil alene opstå, hvis man havner på siden via et ondsindet link. Hjemmesidens almindelige brugere vil aldrig nogensinde blive eksponeret for virussen på denne måde.

Eksemplet kan forhindres ved at validere indholdet af parameteren, så man kun accepterer forventede værdier - og blokerer for skadelig kode.

Undervisningsministeriet har derfor muligvis været skyldig i ikke at validere deres input-parametre, og derved åbne op for potentielle virusangreb via ondsindede links. Det fremgår ikke, om den indsatte kode kunne afvikles hos en uheldig besøgende, eller om det - som i tilfældet hos DMI - "blot" blev indsat et sted i HTML-koden, hvor det ikke gjorde skade. Det kunne egentlig være rart at vide.

Min konklusion: UVM har aldrig haft virus på deres systemer. UVM har måske haft sider, der indsatte kode fra GET-parametre uden at de blev valideret. Kode, der potentielt kunne indeholde et skadeligt javascript.

Når Peter Kruse påstår at der har været reel SQL-injektion, synes jeg man bør fremvise dokumentation. Fortæl hvilke sider, det drejer sig om, hvordan den påståede injekterede kode ser ud og hvor den fremgår.

Ovenstående er som sagt min opfattelse af hele polemikken og hvis jeg har misforstået noget, er folk mere end velkommen til at rette.

  • 0
  • 0
#6 Søren Larsen

Hvorfor har så mange så travlt med at afvise alt ? Er der nogen der er bekymrede for at miste besøgende og handel ? Der er stadigvæk ca. 10.000 danske sider der er inficerede, og antivirusdetektionen er skræmmende dårlig. Hvad med lige at vågne op. Det her er et enormt problem, som ingen åbenbart vil erkende eller tage sig af. Dem der har forstand på tingene råber op, og bliver sat i skammekrogen af flere der ikke aner hvad de snakker om.

Iøvrigt så fungerer Asprox også ved bannerinjektioner, og nogle af detektionerne kan stamme herfra, men så langt fra alle.

  • 0
  • 0
#7 Rune Broberg

Er det bare mig, der har særdeles kortlevet hukommelse, eller er der blevet ændret i ordvalget i starten af den her artikel? Som regel kan man jo se den slags på at der bliver sat et "sidst redigeret"/"opdateret"-timestamp ind, men jeg kan ikke lige finde det her...

  • 0
  • 0
Log ind eller Opret konto for at kommentere