28. mai kunne digi.no fortelle om et massivt hacker-angrep mot norske nettsteder.
- Det har tatt helt av den siste uken. Vi ser bare toppen av isfjellet, men har registrert over 50 nye infeksjoner de siste 2-3 dagene, sa Frank Stien, leder for Telenor Security Operations Centre (TSOC) den gangen.
Han la til at norske kommuner var overrepresenterte, sammen med noen enkeltbransjer.
To dager etterpå fulgte digi.no opp med en artikkel om at det dreide seg om hele 2.500 infiserte nettsider (ikke nettsteder, men enkeltsider), og at man enkelt kunne avsløre hvem ved å gjøre ett enkelt Google-søk.
Det er derfor en fallitterklæring for hele IT-bransjen at det denne helgen kom frem at 80 offentlige nettsteder sprer datavirus.
Lørdag 28. juni kunne Aftenposten fortelle at offentlige nettsteder er farlige, og når digi.no kontakter Frank Stien i TSOC, bekrefter han at det er samme hackerangrep det dreier seg om.
- Det er nøyaktig samme saken, sier Stien.
Han påpeker at det ikke er datavirus, men hijacking det er snakk om. For folk utenfor IT-bransjen er det imidlertid ikke så greit å holde de forskjellige ondsinnede angrepene atskilt. Poenget er uansett å få folk til å skjønne at dette er et problem som må taes alvorlig.
Det har tydeligvis ikke IT-bransjen selv skjønt, for det er de som jobber med drift som er ansvarlig for å rette feilene og tette sikkerhetshullene.
- Det har ikke slått inn. Det kan synes som at de ikke har skjønt alvoret, sier Stien til digi.no.
Han forteller også at det ikke bare er de offentlige etatene som slurver med sikkerheten. Private norske bedrifter er like ille.
- Dette er jevnt spredd utover, sier Stien.
Reaksjonene fra dem som har fått høre at de er infisert, har variert veldig. Fra de som gjør noe med det, til de som ikke bryr seg eller som sier de «skal se på det når de får tid». Andre mener det ikke er deres problem fordi «vi har satt ut tjenesten».
Et annet moment er at det ikke er nok å bare fjerne en infeksjon fra nettsiden, man må også tette sikkerhetshullet slik at det ikke skjer igjen.
- Det som skjer er at det kommer nye angrep hele tiden, sier Stien.
Det har kommet kritikk mot Telenor og NorCERT både fordi de ikke opplyser hvem det gjelder, og fordi det stilles spørsmålstegn ved om dette er NorCERTs oppgave.
Stien forklarer at deres jobb er å beskytte kundene sine slik at de ikke blir infisert når de besøker nettsteder, og at de ikke har noen myndighet til å pålegge andre å rette opp.
- Mange kan oppfatte hvis de får melding fra oss om at vi er ute og prøver å selge noe. Derfor kjører vi dette gjennom NorCERT, sier Stien.
Dessverre fører dette til at mange er infisert, og så lenge de ansvarlige IT-avdelingene ikke gidder å ta seg bryet med å sjekke og fikse sine servere, vil det fortsette å være et problem.
Stien mener det må en holdningsendring til for at situasjonen skal bli bedre.
- Det er ingen skam å bli hacket lengre. Det er en skam å ikke fikse det - Det er ingen skam å bli hacket lenger. Det er en skam ikke å fikse det, sier Stien til digi.no.
De som ønsker å ta tak, kan gå til en nyopprettet blogg der Telenor har begynt å legge ut sikkerhetsinformasjon. Stien er nøye med å presisere at den ikke er helt på plass ennå, men den inneholder nyttig informasjon for de som ønsker å ta tak.
- Det er et nettsted som vi ikke ikke har lansert ennå. Den er i prøvedrift, og det er et sted vi kommer til å legge inn teknisk bakgrunnsinfo, sier Stien.
Oppskriften er den samme som for litt over en måned siden. Søk etter infeksjonene på Google, og sett parametere så bare norske nettsteder vises.
Her er det viktig å presisere at nettstedene kan ha rettet feilen etter at Google indekserte nettsiden. Det holder derfor ikke å bare gjøre et Google-søk for å sjekke om et nettsted er infisert. Man må eventuelt gå inn på siden og se om det fortsatt er det.
Nå er det ikke bare eierne av nettstedene som er ansvarlig for problemene. Det skal også være flere publiseringssystemer som sliter med dårlige sikkerhetsløsninger, og med hull som ikke er fikset.
- Det er store aktører vi snakker om, sier Stien.
Stien vil ikke nevne navn, og han nøyer seg med å konstatere at alle bør sjekke systemene sine.
- Det må investeres tid og krefter. Skal man ligge på nett i dag, så følger det med et ansvar og det må tas alvorlig, sier Stien til digi.no.
Les også:
- [19.09.2008] 316 norske nettsteder hacket siste måned
- [27.08.2008] Faren over etter virus-spredning på MSN.no
- [29.06.2008] Krever åpenhet om datavirus
- [28.06.2008] 80 offentlige nettsteder sprer datavirus
- [30.05.2008] Ett Google-søk avslører hvem som er infisert
- [28.05.2008] Massivt hacker-angrep mot norske nettsteder
