På kyberbedrag med David Bowie og Formmail

I forrige uke ble det avslørt hvordan BowieNet var blant de internettressursene som ble misbrukt av svindlere i en operasjon for å kapre brukernavn, passord og kontonummer. Andre som ble misbrukt var eBay, AOL Time Warner Inc og den amerikanske restaurantgruppen Harry Caray.

Tilfeldig valgte mottakere fikk en e-post med en bekreftelse på at de hadde bestilt en Microsoft Xbox og at de ville motta en faktura på 460,50 dollar. E-posten kom tilsynelatende fra eBay. For å trekke bestillingen måtte de klikke på en lenke til nettstedet "cancelorder.n2v.net". Derfra ble de sendt videre til et AOL-sted med noe som så ut som et offisielt eBay-skjema. Her ble de bedt om å oppgi kreditkortnummer, personnummer, telefonnummer mer mer. Når alle feltene var utfylt, og skjemaet var sendt av gårde, ble de automatisk dirigert til en nettside der det sto "Din bestilling er strøket".

BowieNet ble misbrukt for å få den opprinnelige e-posten til å se ut som om den kom fra eBay. Svindlerne utnyttet kjente sikkerhetshull i et utbredt gratis CGI-skript kalt Formmail. Det er skrevet i Perl, og er en lettvint måte å få et nettsted til å motta e-post på, ved å legge ut et skjema på nettstedet. BowieNet hadde en heller typisk Formmail-installasjon på sine servere.

Ifølge bakgrunnsinformasjon fra SecurityFocus - blant annet kjent som vertskap for Bugtraq - ble Formmail laget av tenåringen Matt Wright i 1995. En kraftig forbedret utgave kom 2. mai 1997. Denne versjonen (1.6) fikk en enorm utbredelse, og skal fortsatt være i utstrakt bruk. Formmail 1.6 ble kjent for svak sikkerhet, og i tiden fram til mars 2001 ble det klart at spammere var i stand til å misbruke Formmail-installasjoner til å distribuere store mengder spammail. Sikkerhetseksperter offentliggjorde beskrivelser av hvordan spammere aktivt silte Internett-servere på jakt etter sårbare Formmail-tjenester. Minst to instanser skal ha distribuert sikkerhetsfikser - som siden viste seg å ikke være fullt så tette som opphavene ville ha det til.

I august i fjor kom Formmail i versjon 1.9, og det ble advart mot å bruke tidligere utgaver. 23. januar i år offentliggjorde SecurityFocus en advarsel som beskrev hvordan også versjon 1.9 kunne misbrukes av spammere. Under visse forhold er det mulig å fjernstyre Formmail 1.9 på et annet nettsted og sende e-post med vilkårlig innhold til et vilkårlig antall adressater fra et fiktivt og vilkårlig valgt opphav.

Fra mottakersiden er det umulig å spore spammen til annet enn den misbrukte Formmail-installasjonen. Her kan en rekke faktorer spille inn og gjøre det vanskelig, for ikke å si umulig, å finne fram til det egentlige opphavet. Selv om serverloggene skulle være fullt ut intakte, hvilket gjerne oppfattes som usannsynlig, vil de, dersom spammerne opptrer bevisst, ikke gi annet en IP-adressen til en anonymiserende proxy.

I fjor sommer spådde Gartner Group at det ville komme masseran på Internett. Formmail peker seg ut som et sannsynlig ransvåpen. Moralen skulle være klar: Avinstaller Formmail.pl, og bruk noe annet.