Virus lurer på DMI's hjemmeside

Asprox har uopdaget sneget sig på ind Danmarks Meteorologiske Instituts hjemmeside. Så længe virussens skadelige javascript ikke bliver afviklet, er der ingen kendt fare ved vejr-siderne, forsikrer instituttet. Et problem, at scriptet overhovedet findes på siden, mener sikkerhedsekspert.

Asprox-virussen har også ramt hjemmesiden for Danmarks Meteorologiske Institut. Systemadministratorerne tager dog angrebet med omtrent samme sindsro, som feriefolket under parasollen nær kysten tangblå.

Asprox-virussen har ellers haft en særdeles kedelig sejrsgang hos flere engelske og danske myndigheder. Her har de besøgende risikeret at blive en del af Asprox-botnettet med nærmest alle former for digitale vederstyggeligheder. Endvidere var DMI ikke klar over smitten, før Version2.dk og Ing.dk kunne berette om den.

Virussens skadelige javascript ngg.js lod sig afsløre ved hjælp af Microsofts søgetjeneste live.dk. Hvorfra live.dk har linket fra, er også stadig en gåde for administratorerne af Danmarks mest brugte site, ifølge FDIM.

DMIs besindelse skyldes, at scriptet findes i forlængelse af en URL under verdensvejrfunktion. Helt præcist forbindelse med den polske by Szczecin.

Scriptet kunne faktisk ligeså vel have ligget under alle andre byer i verden, for i princippet kan alle oprette en hjemmeside med et link og ad den vej få Asprox-virusset skadelige javascript ngg.js til at indgå i koden på verdensvejrsiden. Mest vigtigt er, at scriptet tilsyneladende ikke afvikles.

»I dette tilfælde ødelægges højest afviklingen af det script, der bør afvikles, hvorimod det skadelige ngg.js ikke bliver afviklet. ngg.js findes ikke på vores sider eller servere, og som det fremgår af URL´en på search.live.com er scriptet placeret eksternt for dmi,« skriver DMI i en mail til Version2.dk.

»Det (ngg.js red.) inkluderes som en parameter i en søgning, der ikke bliver afviklet. Injectionen er altså ikke succesfuld.«.

Peter Kruse, sikkerhedsekspert hos CSIS, synes, at den udlægning af sådan en type SQL-injection er en anelse firkantet.

»Der er tale om en cross-site-scripting sårbarhed, hvor der ikke umiddelbart er nogen fare for brugere, der besøger siden. Det er under alle omstændigheder et problem. Jeg ved godt, at der kan være tusinder af årsager til, at scriptet optræder på siden, men det er typisk på grund af manglende script-tjeking,« siger Peter Kruse

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Christian Simony

Nu var jeg ellers i en kort periode så begejstret over, at der var kommet et nogenlunde nøgternt IT-nyheds-site, der levede op til sin mission.

http://www.version2.dk/artikel/72

Med fare for at blive blacklistet langt ind i næste årtusinde, så fristes jeg til at sige "Version 2 ... af Ekstrabladet.dk", når jeg ser ovenstående artikels overskrift og dens eklatante mangel på relation til indholdet.

Der lurer netop ingen virus på dmi.dk! den lurer andre steder, i links til dmi.dk Efter flere gennemlæsninger af artiklen, kan jeg stadigvæk ikke finde "ekspertens" udtalelse om, hvor stort et problem det er at script-stumpen fides på siden ... hvilket i og for sig er godt det samme, for der står jo netop i artiklen, at den bemeldte script-fil IKKE findes på siden.

Det var ikke hvad jeg havde ventet af et medie, fra vis mission-statement, jeg citerer:

"vil levere uafhængig information af høj faglig kvalitet. Synsvinklen er de professionelle brugeres."

/C

  • 0
  • 0
#5 Stig Christensen

Med nogle få søgninger på google kom jeg frem til at det er nedestående site som er inficeret. Det er dem som linker til dmi.dk (med virus i url'en) og får Version2 til at tro at DMI har virus. :) Husk at ha' dit antivirus opdatere før et besøg!

http://ww w.google.com/search?hl=da&rls=com.microsoft%3Ada%3AIE-SearchBox&rlz=1I7GGLJ&q=polen+ngg.js+vejret+Szczecin&lr=

http://ww w.polen-stettin.dk/

  • 0
  • 0
#6 Deleted User

Jeg har redigeret i dine links Stig, da vi helst ikke vil have, at folk skulle klikke og uforvarende blive inficeret med en virus :)

Hvis man er interesseret i at besøge de ovenfor postede links, skal man blot copy/paste det til sin browser og fjerne mellemrummet mellem "ww w".

Men rådet gælder stadig: husk stadig at have antivirusprogrammet opdateret, hvis I skal besøge siderne!

Med venlig hilsen Julian Henlov, community builder, Version2

  • 0
  • 0
#7 Stig Johansen

hvor stort et problem det er at script-stumpen fides på siden ... hvilket i og for sig er godt det samme

Uanset hvoedan man fortolker artiklen, så synes jeg det er lidt farligt at indtage den holdning.

Man kan godt sætte sig ned og sige - ok selve scriptet er lagt på en anden placeholder, så hvad rager det mig ?

Endvidere var tagget tilsyneladende lagt in på et link (i select boxen) og ikke i html'et, og blev derfor ikke afviklet.

MEN det fortæller ikke desto mindre, at dmi tilsyneladende har/havde et sikkerhedsproblem.

Var der et hul? Blev det fundet? Er der flere?

  • 0
  • 0
#10 Stig Johansen

Scriptet findes ikke på siden. Det er en anden side som linker til dmi, med scriptet i linket.

Det var også min konklusion, selvfølgelig efter at have skrevet.

Søgemaskinernne følger jo også links så hvis der har været et link med eksempelvis: http://www.dmi.dk/dmi/index/verden/verdensvejr.htm?city=140048003&countr...; Sem er det der findes på Live.com, så følger msn bot'en dette link.

Problemet, eller DMI's fejl, er at de godkender denne URI (200 OK), hvorefter søgebot'en tror der er tale om en ny side, og ikke http://www.dmi.dk/dmi/index/verden/verdensvejr.htm?city=140048003&countr...

DMI burde returnere en 404 Not Found ved den slags.

Google er lidt smartere, for den sammenligner indholdet på tværs af de forskellige URI'er, så man ikke får alt for mange identiske sider.

Men hvis alle servere/systemer, ligesom DMI, er lige dårlige til at håndterer 'forkerte' URI'er, så kan vi se frem til en god gang forurening af søgemaskiner.

Det samme gælder for UVM, i dette link: http://us.uvm.dk/erhverv/lov/bek_vejl/index.htm?menuid=200560<script%20s...; er menuid ikke et tal, og burde også give en 404 Not Found.

Det er måske meget smart kund at benytte den delmængde af URI'en man har brug for, og discarde resten.

Men det åbner for en massiv forurening af søgemaskiner.

  • 0
  • 0
#12 Kristian Thy

DMI burde returnere en 404 Not Found ved den slags.

Øh, nej. Definitionen af 404 er "The server has not found anything matching the Request-URI", og det du sender med er en parameter, ikke en del af URI'en. Hvis du mener de absolut skal sende en HTTP-kode (<>200) selv om problemet ikke ligger i transportlaget, så skulle det vel være 500.

  • 0
  • 0
#14 Kristian Thy

Stig, synes du også det er en god idé at give en 404 som svar hvis man indtaster det forkerte password eller et forkert formatteret telefonnummer på en side? Det er jo ækvivalent.

Håndter problemer i transportlaget med HTTP-koder, og håndter semantiske problemer i applikationslaget. Tak.

  • 0
  • 0
#15 Stig Johansen

Vi behøver ikke være enige, men en 500 Internal Server error betragter jeg som en programmeringsfejl, og ikke en inputfejl.

Problemet med dmi er, at man får de rigtige data op med forkert input.

Søgemaskinerne får derved en 200 OK, og tror det er et rigtigt link.

Men så giv den en 400 Bad Request i stedet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere