Slik skjedde datainnbruddet hos Telenor

Hendelsesforløpet som utløste den omfattende slettingen av filer på Telenor Nextels Internett-servere natt til søndag 6. april, tyder på at skadeverket var forsettlig.

Det som er skjedd, er etter det Digi.no får opplyst fra systemutvikler i Telenor Nextel, Espen Vestre, følgende:

Mannen som i dag er siktet for forholdet, gikk inn på debattsiden i webstedet Doktor Online. Her lot han som han skulle skrive et svar på et innlegg, og fikk opp webstedets svarside.

Han brukte nettleserens menyvalg for "View Document Source", slik at han fikk sidens html-kode fram på sin skjerm. Denne koden kopierte han til en html-editor på sin maskin.

Koden avslørte blant annet skjulte parametre hvis hensikt var å utløse hendelser som Telenors servere til slutt ville oppfatte som en beskjed om å opprette en ny fil for debattinnlegget. Den siktede manipulerte disse parametrene slik at betydningen ble endret fra "opprett fil" til "slett filer". Han lagret den manipulerte web-siden lokalt og lastet den inn i sin nettleser. Nettleseren viste da en side som var helt identisk med den opprinnelige svarsiden i Doktor Online, bortsett fra de skjulte parametrene som endret virkningen av det å trykke på sidens "submit"-knapp – fra å opprette en fil for et debattinnlegg til å slette alle tilgjengelige filer.

Vestre mener denne framgangsmåten tyder på at hensikten nettopp var å slette filer.

– Mannen trykket på "submit"-knappen to ganger med et kvarters mellomrom, antakelig fordi han ikke merket noen respons første gang han sendte den forfalskede debattsiden avgårde. Dette framgår av loggen, som ikke ble slettet sammen med web-sidene.

Vestre mener dette styrker antakelsen om forsett. Han vil ikke spekulere noe om motivet. Vestre viser til at vedkommende hadde tilgang til skriptene før han satte i gang slettingen, og at han derfor må antas å kjenne til sikkerhetshullet som gjorde det mulig å endre de skjulte parametrene.

– Det hadde nok vært mulig for en kyndig person å finne fram til den rette måten å endre parametrene på, uten å kjenne skriptene på forhånd, men det hadde krevet mye prøving og feiling, sier Vestre.

Hvis Vestres versjon er riktig, tyder det på at sikkerheten rundt Telenor Nextel har vært bedre enn det man kunne frykte på bakgrunn av de første opplysningene om saken. Da virket det som om man kunne sende UNIX-kommandoer direkte til serveren bare ved å skrive dem etter et semikolon bak en tekststreng i søkevinduet på Doktor Onlines søkeside.

To ting står klart:

  • Det skal ikke være mulig å manipulere html-koden på en web-side slik at en "opprett fil"-handling gjøres om til en "slett filer", selv om det skulle fordre kjennskap til interne skripter
  • Om en Telenor-kunde ønsker å gi sine webstreifere anledning til å utføre ødeleggende kommandoer på systemnivå, skal ikke dette automatisk undergrave sikkerheten til andre Telenor-kunder.
Til toppen