Hack et webhotel

Mange mindre virksomheder og velsagtens også mange private får deres webhoteller hosted ude i byen. Det er nemt, men er det også sikkert?

I praksis køber man en hostingydelse, fordi man ikke kan eller vil bruge tid på det selv. Det er altså for rigtig mange en black box, der bliver købt. Man vælger at stole på nogen, og man kan ikke kontrollere, om de rent faktisk også har et acceptabelt sikkerhedsniveau.

Det hænder, selv om det ikke sker så tit mere, at jeg også bliver nørd-nappet. Sidst, det skete, fik jeg lejlighed til at teste sikkerheden hos en hosting-leverandør. Jeg siger ikke hvilken en det var, men de er store nok til, at du har hørt om dem.

Nu er jeg ikke kvalificeret til at teste netværkssikkerheden, men det nemmeste er jo som regel også bare at gribe telefonen. Da havde jeg jo bemyndigelse til at gøre det, som jeg gjorde, så der var formelt set ikke tale om social engineering. Men forløbet havde selvfølgelig været det samme.

Ejeren af en enkeltmandsvirksomhed, havde fået en ny pc, og vedkommende kunne ikke længere hente e-mails fra sit mailhotel via pop3. Umiddelbart var der ikke noget, som så forkert ud, men min bekendte havde forlagt sine papirer, og da jeg ikke selv havde lavet installationen, valgte jeg at prøve at få oplyst passwordet på mailhotellet.

Jeg ringer op til hostingleverandøren:

XXX: Helpdesken
Jesper: Jeg ringer på vegne af YYY, som ikke kan få adgang til sit mailhotel, og som ikke kan finde sine papirer med passwords. Vil du hjælpe mig med at få oplyst passwordet?
XXX: Ja, selvfølgelig. Hvilket domæne drejer det sig om?
Jesper: mail.YYY.dk
XXX: Jeg sender dig nu passwordet.
Jesper: Øh, jeg kan jo ligesom ikke få adgang til serveren. Vil du ikke sende det til jesper@ZZZ.dk'
XXX: Jo.
Jesper: Tak.
XXX: Øh, kan du ikke sende mig en e-mail med forespørgslen? Jeg kan jo ikke sende det til hvem som helst.
Jesper: Jo. Er det i orden, at jeg gør det fra jesper@ZZZ.dk'
XXX: Det er fint. Jeg er jo nødt til at have et eller andet på skrift.
Jesper: Den er nu sendt.
XXX: Fint. Jeg sender nu passwordet.
Jesper: Det er modtaget. Tak for hjælpen.
XXX: Det var så lidt.

Det var essensen af dialogen, der var lidt længere, fordi der var nogle mindre problemer.

Jeg forstår jo godt dilemmaet. Enten kan leverandøren være formalistisk og yde en dårlig, men sikker kundeservice, eller også yder de en god, men usikker kundeservice.

Men det var bare for nemt til at være acceptabelt.

Men hvordan håndterer en leverandør den slags opkald, så de hverken kompromitterer sikkerhed eller kundeservice?

Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Morten Siebuhr

Hvis helpdesk-gutten ringer tilbage først, skal du også have stjålet telefonen førend det vil gå.

Alternativt kan han sende et brev med et nyt kodeord. (Breve kan også omdirigeres, men da Post Danmark er godt nok til OCES, går det vel også til en web-udbyder...)

Summa summarum, handler det om at lave out-of-band kommunikation den ene vej rundt.

  • 0
  • 0
#2 Mikkel Meyer Andersen

Det er et svært dilemma, men som minimum burde helpdesken have haft ringet direkte til kunden på det nummer, som de sikkert havde registreret, for at få bekræftet det.

Derudover burde der i det hele taget være mere fokus på det.

Det ville være bedre, at et nyt password så blev sendt direkte til kunden med posten (og ja, gerne uden det domæne, kodeordet hører til!). Jeg ved godt, at det naturligvis kan være problematisk i visse presserende tilfælde.

Det største problem er sandsynligvis, at det ikke har været udnyttet og medført stort tab, og derfor er hostingfirmaerne endnu ikke blevet tvunget til at overveje procedurerne ordentligt endnu.

  • 0
  • 0
#3 Jan Christensen

Ved oprettelse af web hotellet kunne kunden give et spørgsmål og svar. Ved sådan en forespørgsel skulle man så få stillet spørgsmålet, og give det rigtige svar. Det er selvfølgelig heller ikke 100% sikker.

Det sikreste er vel at sende informationen til kundens adresse?

  • 0
  • 0
#4 Anders Christensen

Som andre nævner ringer man enten til en af de godkendte kontaktpersoner kunden har angivet ved oprettelse, eller også sender mail en mail til en af de godkendte kontaktpersoner. Eller i "værste fald" et brev.

Man sender naturligvis ikke en mail med brugeroplysninger om domænet xyz.tld til en mailkonto på abc.tld, medmindre adressen hører til en godkendt kontaktperson.

  • 0
  • 0
#5 Jesper Laisen

Hvis helpdesk-gutten ringer tilbage først, skal du også have stjålet telefonen førend det vil gå.

Hvordan ved helpdesken, at det er det rigtige nummer, han ringer tilbage til?

Jeg kan være flyttet. Nogen kan have meldt en adresseændring.

Alternativt kan han sende et brev med et nyt kodeord

Som du nævner, kan post omdirigeres midlertid. Ville du opdage det, hvis din post var omdirigeret midlertidigt, og blev leveret manuelt af en anden lidt senere? Evt. dagen efter?

  • 0
  • 0
#7 Jesper Laisen

kontaktpersoner

Også en forbedring, men hvor mange? Og hvad er reglerne for at skifte dem?

Med en sådan foranstaltning er vi desuden i gang med at kræve nedetid, indtil kunden får fat i sin godkendte kontaktperson. Dvs., vi vælger en forringet kundeservice.

  • 0
  • 0
#8 Daniel Gertsen

i mange tilfælde af denne slags, har jeg selv kontaktet kunden på kundens registrerede telefonnummer, eller bedt om at modtage en fax fra kundens registrerede fax-nummer.

Det har indtil videre tilfredsstillet alle, og har givet ret hurtig service.

Det der med at registrere et spørgsmål og et tilhørende svar mener jeg er en kilde til usikkerhed. Ofte vil man jo vælge et spørgsmål man er sikker på at kunne svare på senere, og så er det pludselig kun et spørgsmål om at finde dét svar. Spørgsmål/svar mener jeg er en af de mest usikre "accepterede metoder" der findes idag.

  • 0
  • 0
#9 Morten Siebuhr

Hvis helpdesk-gutten ringer tilbage først, skal du også have stjålet telefonen førend det vil gå.

Hvordan ved helpdesken, at det er det rigtige nummer, han ringer tilbage til?

Du har vel givet dem et nummer, da du blev kunde ?!?

Jeg kan være flyttet. Nogen kan have meldt en adresseændring.

Hvis du flytter uden at fortælle dem det, tror jeg de vil blive ked af de ubetalte regninger ;-)

Helt givet - mulighederne er uendelige...

Alternativt kan han sende et brev med et nyt kodeord

Som du nævner, kan post omdirigeres midlertid. Ville du opdage det, hvis din post var omdirigeret midlertidigt, og blev leveret manuelt af en anden lidt senere? Evt. dagen efter?

Sikkerheden omkring post & telefon er ikke stor, de mange muligheder taget i betragtning.

Men hvis du kræver sikkerhed ud over dette, koster foranstaltningerne mod dette mere end hvad de fleste privatkunder kan betale.

Hvis du får dine ting hostet på en GxP-server med niveau 1 server-rum og hele pivtøjet, vil eks. NNIT mon ikke sikre sig mod dette? Men prisen bliver vel også derefter...

Som med meget (al?) sikkerhed, er det en opvejning af besværet for dig selv mod sikkerheden. Hvis du aldrig tænder for din computer er den temmelig ubrugelig - men 100% sikker...

  • 0
  • 0
#10 Jesper Laisen

i mange tilfælde af denne slags, har jeg selv kontaktet kunden på kundens registrerede telefonnummer, eller bedt om at modtage en fax fra kundens registrerede fax-nummer.

Jeg betaler for et år ad gangen for mit webhotel. Jeg ville næppe få noget at vide, hvis nogen meldte adresseændring og nyt telfonnummer i mit navn.

Efter passwordet er oplyst, kan adresse og telfonnummer ændres tilbage.

Men tricket er vel snarere aldrig at oplyse et password, men altid give et nyt. Så skal den rigtige kunde nok reagere, når han ikke længere har adgang.

  • 0
  • 0
#12 Henrik Kramselund Jereminsen Blogger

Det er jo sådan set ligegyldigt om der laves så mange krumspring, når folk opdaterer deres websites med FTP og henter posten med POP3. Password sendes som klar tekst og derfor kan alle der er i nærheden på trådløst netværk lytte med.

Sikkerheden skal være afbalanceret, så en masse krumspring i denne sag er spild af tid som jeg ser det.

  • 0
  • 0
Log ind eller Opret konto for at kommentere