mboost-dp1

newz.dk

Forsvarets og FE’s hjemmeside ramt af sikkerhedsfejl

- Via InterN0T - , redigeret af Net_Srak , indsendt af MaXe

Ifølge den uafhængige gruppe InterN0t Security Team, der føres an af Hans-Michael Varbæk, har forsvaret.dk og fe-ddis.dk (Forsvarets Efterretningstjeneste) indeholdt sikkerhedshuller i flere måneder, uden at de er blevet opdaget.

Varbæk har prøvet at kontakte de ansvarlige bag siderne ved blandt andet i en mail at beskrive fejlene. Efter en periode på over syv dage måtte han dog konstatere, at fejlene stadig eksisterede.

Her hos newz.dk har vi fået en ekspert til at kigge nærmere på de oplyste fejl, og han kan bekræfte, de eksisterer, men understreger også, at de ikke er kritiske, idet de ikke tillader adgang til private data.

Fejlene, der er af typen “Cross Site Scripting”, og som kan klassificeres som “Non-Persistent Injection”, er mere af pinlig natur, når man tænker på, hvilke hjemmesider der er tale om, de var på.

Fejlene er nu blevet rettet.





Gå til bund
Gravatar #1 - ty
6. maj 2010 12:02
Ak og ve
Gravatar #2 - terracide
6. maj 2010 12:04
Flere af forsvarets hjemmesider har længe lidt af SQL-injection svagheder og andre exploitz.

Men indrømmer de at have hacket forsvaret?
I så fald bevæger de sig på tynd is...
Gravatar #3 - Hubert
6. maj 2010 12:26
terracide (2) skrev:
Flere af forsvarets hjemmesider har længe lidt af SQL-injection svagheder og andre exploitz.

Men indrømmer de at have hacket forsvaret?
I så fald bevæger de sig på tynd is...


Nu behøver man jo ikke udnytte fejlen for at se at der er en fejl...
Gravatar #4 - terracide
6. maj 2010 12:37
#3:
Så du gætter dig til at fejlen er der...eller skal du rent faktisk sende fata, til et site du ikke har retmæssigt adgang til, prins Hubert? :)
Gravatar #5 - webwarp
6. maj 2010 12:39
Glad for at newz filtrerede indlægget, så de nåede at få det løst først.. De såkaldte censurede links krævede jo ikke meget fantasi for at regne ud hvordan skulle udnyttes...

Derudover er det jo nok mere lige deres omdømme for omverdenen mere end noget andet, der er et problem.. De har dog ikke lige systemerne koblet så sammen, så destruktionskoderne til den lille havfrue er gemt på samme server...
Gravatar #6 - mireigi
6. maj 2010 12:40
terracide (2) skrev:
Flere af forsvarets hjemmesider har længe lidt af SQL-injection svagheder og andre exploitz.

Men indrømmer de at have hacket forsvaret?
I så fald bevæger de sig på tynd is...


Preventiv hacking bør ikke kunne straffes, såfremt man kan bevise at man ikke har gjort noget skadeligt, eller delt sin(e) metoder med andre end ens mål.

Det svarer lidt til at en venlig person tager i dørhåndtaget på en bil der lige er blevet parkeret, ene og alene med det formål at informere ejeren om at han/hun har glemt at låse bilen.

Man gør en god tjeneste, men mange bliver sure over det fordi de tolker det som "indbrud". Tåbelig reaktion der bunder i at opdagelse af fejlen er afhængig af en handling der ofte tolkes som forkert/kriminelt.
Gravatar #7 - terracide
6. maj 2010 12:44
#6:
Desværre for dig er jura ret ligeglad med dine (påståede) intentioner, husk på de journalister der f.eks er kommet i fedte fadet ved at købe narko...de ville vise hvor let det var, men loven er ligeglad.

Og mener du at "whitehat" skal kunne bruges som undskyldning for "blackhat"....og hvem skal afgøre om de er tale om "whitehat" eller "blackhat"?
Gravatar #8 - NioBe
6. maj 2010 13:12
Mon ikke den lille fejl er blevet rettet? Tror at det kunne have været meget være.
#9 - 6. maj 2010 13:42
Håber bare det viser at de er pisse ligeglade med deres eksterne sites.... og ikke hvor gode de er til deres fag....

De bruger dem forhåbenlig kun til PR/HR etc...



Er jeg den eneste som syndes fe-ddis.dk(Fetiz.dk) er lidt sjovt.......
Gravatar #10 - sterne
6. maj 2010 15:19
Alle har fejl på deres hjemmesider, om man er NASA, eller militæret.

Nu tror jeg så heller ikke at angrebsplaner, spionlister mv. lige ligger på deres hjemmesider og mon ikke forsvaret ligesom så mange andre firmaer lejer sig ind på webhosting.

Sjovt nok synes jeg at kunne huske, at selv news.dk blev "hacket" for et år siden og 5000 logins blev offentliggjort. Den flinke "sikkerhedsEXPERT" Hans-Michael Varbæk alias internoob, fik da vist også sin egen hjemmeside hacket for 2 uger siden - så er det ikke god skik lige sikre sin egen server først inden man peger fingre af andre?????
Gravatar #11 - p1x3l
6. maj 2010 15:49
lol terra .. man ka godt se om døren er åben uden at gå ind ... før når du går ind det indbrud/indtrængen
Gravatar #12 - Chaser
6. maj 2010 16:06
Må jeg starte hacker/cracker debatten nu ?????
Gravatar #13 - eliasr
6. maj 2010 17:19
#12 :D

#tera, såfremt at der ikke et tale om misbrug af fejlene, så tror jeg næppe at det holder i en retssag. At bruge sin viden til at navigere på et site, er ikke mere ulovligt en at se efter en nøgle til en bil under kofangeren.

der imod, at bruge nøglen til indtrængen, er ulovligt.

Så hvis de har fundet et username og password i en database via deres site, er det ikke noget der er ulovligt før man misbruger den information.

Gravatar #14 - Hubert
6. maj 2010 17:31
eliasr (13) skrev:

Så hvis de har fundet et username og password i en database via deres site, er det ikke noget der er ulovligt før man misbruger den information.


Jeg er ret sikker på at det er ulovligt i det øjeblik de vælger at bruge informationen. Men hvorvidt man kan bruge god/ond tro her er jeg faktisk ikke helt klar over.
Gravatar #15 - nezz_dk
6. maj 2010 19:11
<joke>
som de ville have sagt i Beredskabsstyrelsen er sitet sikkert hostet på en windows server så det er der problemet ligger.
</joke>
Gravatar #16 - gmD
6. maj 2010 20:11
#9
Forsvarets efterretningstjeneste (FE)
Danish Defence Intelligence Service (DDIS)
Gravatar #17 - T_A
6. maj 2010 20:55
Well nu er det jo en "ikke kritisk" sårbarhed og der er jo bare deres eksterne webserver ikke en adgang en intern hemlig database.
Ser selvfølgelig ikke godt ud men rolig nu.
#18 - 7. maj 2010 05:48
gmD (16) skrev:
#9
Forsvarets efterretningstjeneste (FE)
Danish Defence Intelligence Service (DDIS)


Jeg sætter ikke spørgsmålstegn ved meningen med navnet... Syndes bare altid det er komisk når organisationer har domæner som lyder anderledes når det udtales....

Havde selv tænkt på at lave et selskab der hed S-Corp….. Meeen nu er jeg ikke den vilde pimp… eller fan af Ford...
Gravatar #19 - el_barto
7. maj 2010 08:38
Herregud. Deres hjemmesider indeholder jo ikke vigtige data som kan kompromitteres. Who cares?
Gravatar #20 - arne_v
12. maj 2010 17:51
#17 & 19

Som jeg læser traceroute så er de hostet hos TDC hosting.

Ligesom arnes garage pizzaria.
Gravatar #21 - arne_v
12. maj 2010 18:57
#13

https://www.retsinformation.dk/Forms/R0710.aspx?id...


Stk. 2. Med bøde eller fængsel indtil 1 år og 6 måneder straffes den, der uberettiget skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem.

Stk. 3. Begås de i stk. 1 eller 2 nævnte forhold med forsæt til at skaffe sig eller gøre sig bekendt med oplysninger om en virksomheds erhvervshemmeligheder eller under andre særligt skærpende omstændigheder, kan straffen stige til fængsel indtil 6 år. På samme måde straffes de i stk. 2 nævnte forhold, når der er tale om overtrædelser af mere systematisk eller organiseret karakter.

§ 263 a. Med bøde eller fængsel indtil 1 år og 6 måneder straffes den, der uretmæssigt erhvervsmæssigt sælger eller i en videre kreds udbreder en kode eller andet adgangsmiddel til et ikke offentligt tilgængeligt informationssystem, hvortil adgangen er beskyttet med kode eller anden særlig adgangsbegrænsning.

Stk. 2. På samme måde straffes den, der uretmæssigt videregiver et større antal koder eller andre adgangsmidler som nævnt i stk. 1.

Stk. 3. På samme måde straffes den, der uretmæssigt skaffer sig eller videregiver en kode eller andet adgangsmiddel som nævnt i stk. 1 til

1) et samfundsvigtigt informationssystem, jf. ­§ 193, eller

2) et informationssystem, der behandler følsomme oplysninger, som er omfattet af § 7, stk. 1, eller § 8, stk. 1, i lov om behandling af personoplysninger, om flere personers personlige forhold.

Stk. 4. Sker den i stk. 1-3 nævnte videregivelse m.v. under særligt skærpende omstændigheder, er straffen fængsel indtil 6 år. Som særligt skærpende omstændigheder anses navnlig tilfælde, hvor videregivelsen m.v. sker i særlig stort omfang eller indebærer særlig risiko for betydelig skade.


I min fortolkning (jeg er ikke jurist), så læses det som:
- brug SQL injection til at logge ind som admin på newz.dk => op til 18 måneders fængsel
- brug SQL injection til at logge ind som admin på forsvaret.dk => op til 6 års fængsel
- post metoden til at hacke newz.dk på newz.dk => op til 18 måneders fængsel
- post metoden til at hacke forsvaret.dk på newz.dk => op til 6 års fængsel

De enten har overtrådt loven eller været meget tæt på.

Det er meget svært at påvise en sikkerheds fejl uden at se et eller andet som man ikke burde have adgang til.

Og loven kræver ikke at informationerne skal være vigtige eller at de skal have været brugt for at det er strafbart.

Gravatar #22 - terracide
12. maj 2010 21:53
Så er der vist en del folk der skal til at rette deres ratings i denne tråd...

Terra - Uvidenhed er et dårligt grundlag at rate på, kiddos :)
Gravatar #23 - reefermadness  
13. maj 2010 07:10
I det mindste var det jo ikke et persistent XSS exploit.. (Ikke også mandalae? :)
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login