Warcraft-tyve hacker Region Syddanmark

Region Syddanmarks hjemmeside er gentagne gange blevet udsat for virusangreb i de sidste to uger. Bag angrebet står rekvisit-tyve, som går efter World of Warcraft-brugere.

World of Warcraft-spillere i det sydlige Danmark skal passe på de ikke mister deres tryllesværd og andre genstande, når de besøger regionens hjemmeside.

I de sidste to uger har hjemmesiden været udsat for virusangreb, som har påvirket driften. Angrebet var ikke målrettet mod Region Syddanmarks hjemmeside, men var del af et større angreb, der gik efter det CMS-system, som regionen anvender. Det anslås, at omkring en halv million hjemmesider blev ramt, oplyser Region Syddanmark.

Formålet med de seneste angreb har været at skaffe sig adgang til pc-brugere, som deltager i online-spillet World of Warcraft, for på den måde at fravriste Warcraft-brugerne deres rekvisitter, som brugerne anvender i spillet. De virtuelle genstande sælges på det sorte marked, til spillere, som ikke kan klare sig på hæderlige vilkår.

Region Syddanmark er ved at skifte til et CMS-system, der ikke er sårbar over for den type angreb, som regionen har været udsat for. Men skiftet har lange udsigter.

Derudover mener regionens webchef Peter Bach Nielsen, at det er brugernes ansvar at beskytte sig mod web-virus:

»For den enkelte pc-bruger gælder det som altid om at have en opdateret sikkerhedspakke,« siger Peter Bach Nielsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Stig Johansen

Går det nogensinde op for folket, at det er 'webprogrammører' i samråd med det underliggende databasesystem, der udgør en sårbarhed i forhold til SQL injection.

Det har intet at gøre med valg af CMS system, udelukkende kvaliteten, eller mangel på samme.

Den dér:
....
Derudover mener regionens webchef Peter Bach Nielsen, at det er brugernes ansvar at beskytte sig mod web-virus:
....

Er squ rent ud sagt for langt ude.
Det er webchef'en ansvar, ikke at stille et websted til rådighed for den slags.

Og mht. denne her:
.....
»For den enkelte pc-bruger gælder det som altid om at have en opdateret sikkerhedspakke,« siger Peter Bach Nielsen.
.....

'Webvirus' ved jeg ikke hvad er?, men der er formentlig tale om den samme 'kineser', som har hærget den seneste tid.

For dem der evt. er interesseret i tingenes tilstand, og bekymrer sig om 'the lost battle' mellem de økonomisk kriminelle og antivirusfabrikanter, kan man søge efter et usenet indlæg i dk.edb.sikkerhed.virus fra 19 maj. kl. 23:13:22
Hvor jeg har postet kildekode til den slags 'ting'.
Bemærk, at der er tale om omsætning fra tal/beregninger, som kan ændre sig fra sekund til sekund.

DON'T underestimate your enemy!

  • 0
  • 0
Søren Brandbyge

Som daglig bruger af offentlige hjemmesider, og som mangeårig programmør og leverendør af web-baserede systemer, så krummer jeg hver gang tæerne helt om i nakken af dyb og inderlig skam, når en "webchef" kan komme med så nedladende bemærkninger.
Det er (dyyyybt suk) mere reglen end undtagelsen at møde den holdning blandt "ansvarlige".

Det der gør det ekstra grelt er, at lige netop offentlige sider, med væsentlige oplysninger (og på sigt) værktøjer for borgerne, burde vi kunne have TILTRO til var drevet og håndteret dybt professionelt, effektivt og som værende SIKRE!!! Mange offentlige web-sider leverer og håndterer fortrolige oplysninger og brugeren tilgår dem med større tillid end så meget andet. Risikoen og kravene så meget større.

Nu er det WoW-spillere der er målet, men begreber som "identitetstyveri", spambot-netværk og lignende lyner hen over den indre lystavle. Er en site åben for angreb så er angribere ikke så høflige et de "bare nøjes" med en enkelt målgruppe. Det er kun spørgsmål om (ekstremt kort) tid inden andre "gevinster" bliver høstet mens ladeporten er åben og den ansvarlige snorksover / smører skidtet af på brugerne.

Der ér muligt at lave sikre sider og systemer, og der ér muligt at overvåge, være proaktiv, at være hurtig reaktiv. Der ér ganske enkelt ingen undskyldning for at lade stå til, og det er så decideret uartigt at pege fingre ad brugerne.

Dygtige programmører og ansvarlige webudviklere laver sider og funktioner der ikke stiller særlige krav til brugerens sikring eller ekspertise udi net-sikkerhed.
Kort og godt: Prøv med en smule ansvarlighed til en afveksling. Det ville være klædeligt. Få det rettet NU!

  • 0
  • 0
Jan Skinnerup

Det er nok et level 37 magisk hack, der udnytter noget med noget dugfrisk spindelvæv, afkog af en selvdød flagermus og et level 20 "Feeble Mind" spell på brugerne af det pågældende CMS/website. ;-)

Alle brugerne i Region Sydjylland vil således snart få en overvældende trang til at sende deres WoW login oplysninger helt frivilligt til evil@hacker.com.

;-D

  • 0
  • 0
Stig Johansen

Hvis vi antager, at det er 'kineseren', der er på spil, så sker der følgende:

Botterne laver requests med forsøg på SQL Injection, alle steder, ikke målrettet mod nogen som helst.

Hvis du kigger i logfilerne, så kig efter requests hvor URI'en indeholder:
...DECLARE%20@S%20NVARCHAR(...osv.
Det er selve SQL'et, der forsøges kørt.

Det er ikke korrekt, at det er målrettet mod et CMS system, men derimod målrettet mod MS SQLServer.
Det er fløjtende ligegyldigt om det er det ene eller andet CMS, kodet i ASP/ASP.NJET eller PHP eller whatever.

Hvis man ikke koder databasehåndtering korrekt, og det 'slipper igennem', vil samtlige tekstfelter i samtlige tabeller i userspace få tilføjet et <script src="et.eller.andet.sted">
et.eller.andet.sted i denne kontekst er et high volatile sted, eller placeholder, fuldstændig lige som da Energi Midt blev brugt som placeholder.

Dette javascript kalder så forskellige andre scripts/iframes, som til sidst forsøger at udføre koden.

Der er altså ikke tale om at stjæle WoW effekter fra en Hacket hjemmeside, men at hjemmesiden bliver brugt til omdirigere til steder, der forsøger at installere keylogger/trojaner eller lign. på PC'en.

Jeg har nævnt mit tidligere indlæg i dk.edb.sikkerhed.virus, hvor den fulde kildekode til angrebsforsøget mod RealPlayer er postet.

Jeg har ingen interesse i at finde ud af hvad koden rent faktisk ville gøre, så det må du spørge et eller andet sikkerhedsfirma om.

Jeg har forsøgt at Google et link til det nævnte usenet indlæg:
http://groups.google.com/group/dk.edb.sikkerhed.virus/browse_frm/thread/...

Som sagt - svaret ligger i logfilerne, samt ovenstående kildekode.

  • 0
  • 0
Log ind eller Opret konto for at kommentere