Fantasifulle oppslag i pressen
------------------------------
De siste dagene har det vært en rekke, tildels fantasifulle
_logo.svg.png){kind=logo}
oppslag i pressen omkring denne saken. Dette til tross for
at saken fremdeles er under etterforskning av Økokrim. Yes
Interactive AS føler det derfor riktig å komme med en
del presiseringer.
Overbevist om at sidene var flyttet til en egen server
------------------------------------------------------
Hendelsesforløpet er så vidt vi har kunnet kartlegge, og i følge
siktedes forklaring som følger. Doktor Online var under flytting
fra SOL til en av Riksnetts servere. Siktede jobbet med å utbedre
sikkerheten og funksjonaliteten på Doktor Online. Vedkommende var
overbevist om at sidene allerede var flyttet til en egen server
hos Riksnett, hvor Yes Interactive, og dermed siktede, hadde
tilgang. Dersom noe galt skulle oppstå, ville det dermed være mulig
å legge tilbake de slettede filene fra en backup i løpet av kort
tid.
Mangelfull sikkerhet fikk uante konsekvenser
--------------------------------------------
Resultatet ble riktignok av en helt annen dimensjon...
Dersom Telenors server hadde vært satt opp av en person med
et minimum av kompetanse innen sikkerhet og CGI programmering,
ville dette neppe ført til nevneverdig skade. Fordi Telenor
Nextel hadde gjort en alvorlig sikkerhetsbommert og hadde
mangelfulle sikkerhet på flere nivåer, fikk dette uante
konsekvenser for både Telenor Nextel, SOL og deres kunder.
Bedre infrastruktur kunne forhindret skaden
-------------------------------------------
De store konsekvensene saken har fått ville også ha vært
betydelig mindre dersom Telenor Nextel hadde benyttet en mer
adskilt infrastruktur og konsentrert seg om sikkerhet, fremfor
å plassere flest mulig kunder på en server. Når Telenor
tydeligvis også har hatt mangelfull kontroll med kunders
programmer som kjøres på denne maskinen, vil et uhell eller
innbrudd hos en enkelt kunde kunne få fatale konsekvenser for
samtlige kunder plassert på samme server.
En virkelig hacker kunne skjult sine spor...
--------------------------------------------
Yes Interactive AS understreker at våre medarbeidere har meget
høy kompetanse innen UNIX, datasikkerhet, web-utvikling og
programmering. Vi har derfor store problemer med å se at
siktede ønsket å slettet sidene med overlegg, uten å bruke
sine kunnskaper og fjerne alle spor.
...og loggene til Telenor gir ikke alle svar
--------------------------------------------
Måten Telenor logger aktiviteter på gir heller ingen teknisk
holdbare beviser på hva som har foregått. De ville trolig ikke
ha hatt noen mulighet til å spore opp en evt. hacker som har
villet skjule sin identitet. Det som har vært logget er maskinnavn,
noe som er mulig å forfalske. Logging av rene nettverks-adresser,
derimot, gir en sikker inidikasjon på hvor et innbruddsforsøk
kommer fra.
Anbefaler kunder å sjekke sikkerheten
-------------------------------------
Yes Interactive AS har i forbindelse med flytting av kunders
sider fra Telenor Nextels server anbefalt dem å ta en grundig
gjennomgang av sikkerheten. Dette har vi også gjort i forbindelse
med flytting av Doktor Online, da det etter vår erfaring har
stått dårlig til med sikkerheten fra Telenor Nextels side. Dette
har vært nødvendig for å imøtekomme de strenge sikkerhets-
krav Riksnett, Hjemmet Mortensen og Yes Interactive AS stiller.
Krever lite kunnskap i programmering....
----------------------------------------
Telenors uttalelse om at "kjennskap til skjulte parametere var
nødvendig" er direkte feil. Enhver med tilgang til Internett kan
fortsatt hente ned kildekoden til et av de omstridte programmene,
som pga. mangel på sikkerhet hadde gjort det mulig å slette
sidene. Dette kan hentes ned fra Telenors server, på følgende URL:
http://www.doktoronline.no/ta_i_mot_best.pl
...og sidene kunne vært slettet med èn URL
------------------------------------------
Inntil tirsdag formiddag var det også mulig å slette sidene ved å
skrive inn følgende URL i Netscape eller en annen web browser.
Forøvrig stikk i strid med Telenors tidligere forklaring om at det
var nødvendig med store kunnskaper og endring i script eller
HTML kode.
http://www.anonymizer.com:8080/http://www.doktoronline.no/cgi-bin/ta_i_mot_b
est.pl?7=+%3B+rm+-rf+%2F
Denne URLen ville i tillegg gjort det umulig å spore opp den som
utførte handlingen, selv med forsvarlig logging fra Telenor sin side.
Dette er forøvrig bevismateriale som tidligere er oversendt Økokrim.
På vegne av berørte kunder beklager vi
--------------------------------------
Yes Interactive AS er på vegne av den siktede de første til å
beklage alle konsekvenser dette har hatt for Telenor Nextels
kunder, og alle øvrige berørte parter.
Yes Interactive AS ønsker ikke å kommentere saken ytterligere, inntil
saken er ferdig etterforsket av Økokrim.
