BEDRIFTSTEKNOLOGI

JavaScript rapper passord fra Hotmail

På nettstedet Because-we-can demonstreres hvordan JavaScript nedfelt i e-post til en Hotmail-bruker, kan brukes til å generere et svar som avslører brukerens passord.

Eirik Rossen
25. aug. 1998 - 12:38

Hotmail er Microsofts gratis og universelle e-post-tjeneste, som lar deg lese elektronisk post gjennom en nettleser fra en hvilken som helst maskin. Alt som skal til er brukernavn og passord. Det er svært hendig hvis Internett-tilgangen fordeles på ulike maskiner, på jobb, på utdanningssted, hjemme eller på et bibliotek. Da har du én e-post-adresse for all privat post. Men hvis noen får tak i brukernavnet og passordet ditt, er ikke posten privat lenger.

Tom Cervenka i Because-we-can har selv meldt fra til den kjente Bugtraq-listen, og har lagt ut bakgrunnsmateriale om angrepsmetoden på sitt eget nettsted. Han beskriver framgangsmåten slik: En ondsinnet person sender en e-post-melding til en Hotmail-bruker. Meldingen har innfelt instrukser i JavaScript. Når Hotmail-brukeren åpner meldingen, kjøres JavaScript-koden. Den forteller brukeren at han er offer for en "time out", og må logge seg på Hotmail igjen. Straks dette gjøres, fanger koden opp brukernavn og passord, og sender disse i en egen melding til den ondsinnede.

Cervenka peker på at den ondsinnede kan gjøre en rekke ting med Hotmail-kontoen, blant annet endre passordet. Nye meldinger kan sendes i kontoinnehaverens navn, adresseboka er åpen for innsyn og gammel post kan leses, på jakt etter meldinger som for eksempel bekrefter brukernavn og passord til andre tjenester eller gjengir kredittkortnummer i kvitteringer for utførte innkjøp.

Den ondsinnede brukeren trenger ikke en gang en egen Internett-konto. Det holder med en fri konto hos for eksempel Geocities, og ødeleggende e-post kan sendes fra hvor som helst, også Internett-kafeer eller andre offentlige maskiner. Opplegget fungerer med enhver nettleser som kan kjøre JavaScript - det vil blant annet si både Microsoft Internet Explorer og Netscape Communicator.

Ifølge Wired News innrømmer Hotmail at koden virker, og det loves en fiks så fort som mulig. Cervenka sier han varslet Hotmail allerede fredag kveld. Tirsdag morgen var det ennå ingen advarsel på Hotmails nettsted. En mulig fiks vil sannsynligvis bestå av et filter som luker ut JavaScript fra alle innkommende e-post-meldinger.

Hotmail-brukere kan verne seg mot mulige angrep ved å la være å åpne e-post fra ukjente - ikke helt sikkert dersom en hacker allerede har kapret andres passord - og ved å innstille nettleseren på ikke å kjøre JavaScript

Cervenka antar at de fleste web-baserte e-post- og samtaletjenester vil kunne rammes av liknende JavaScript-baserte "trojanske hester".

Netscape tilbyr en gratis e-post-tjeneste gjennom Netcenter. Her står det foreløpig ingenting om noen potensiell risiko gjennom JavaScript

I Norge driver selskapet Net Solutions AS en tjeneste kalt Organizer Mailservice. Denne tjenesten er mer avansert enn den Hotmail tilbyr, siden den gir deg tilgang til din egen faste e-post-adresse fra en hvilken som helst maskin med nettleser og Internett-tilkopling. Daglig leder Karsten Ersland sier først at han ikke kjenner til JavaScript-angrepet mot Hotmail. Mens jeg ser over denne artikkelen kommer han tilbake på tråden og forteller at han har bedt en av programmererne i selskapet undersøke nærmere det som står på Because-we-can.

- Jeg har bedt ham komme tilbake til deg med en forståelig redegjørelse. Men konklusjonen er helt klar. Den måten vi håndterer JavaScript på, og den måten vi krypterer passord på, gjør at en slik framgangsmåte ikke vil kunne brukes mot Organizer Mailservice. Vi har lagt alle kluter til for sikkerheten, og er beviselig bedre enn Hotmail. Vi mener vår tjeneste er minst like sikker som å bruke eget mail-program. Men det er viktig å bruke tjenesten riktig. Alle operasjoner må gjennomføres og avsluttes etter oppskriften.

Det Tromsø-baserte nettstedet Salgsnett drev tidligere en tjeneste tilsvarende Hotmails. Denne ble lagt ned for noen måneder siden. Salgsnett fant det uhensiktsmessig å drive en gratis tjeneste i konkurranse med Microsoft, og valgte heller å utvikle nettstedets egentlig hensikt, som senter for elektronisk salg.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.