Artikel top billede

(Foto: Computerworld)

Alt om DATA under angreb

Sidste efterår blev Alt om DATA sat under beskydning. Ondsindet kode blev listet ind på webserveren, hjemmesiden blev kompromitteret, og mailen brød sammen. Panikken bredte sig. Hvad var der sket? Dette er første kapitel af fire om et hacker-angreb, alle webfolk kan lære meget af.

Af Aksel Brinck, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Der er hektisk aktivitet på Alt om DATA’s redaktion denne tirsdag i slutningen af oktober. Uden for vinduerne myldrer biler, lastvogne og diverse tog forbi i en stadig strøm og bidrager til fornemmelsen af aktivitet og fremdrift. Netnyheder skal skrives og publiceres, artikler skal færdiggøres til de trykte medier, skribenter og testfolk skal instrueres, og bag mødelokalets glasvægge holder salgsfolk møde med en ny kunde. Det er en almindelig dag. Med almindeligt, organiseret kaos.

10 meter længere nede ad gangen sidder Alt om DATA’s webmaster Henrik og overvåger driften af hele mediehusets mange servere og websider. Der hersker tilsyneladende den sædvanlige ro i teknikrummet. Stille. Kun anes en summende lyd fra trafikken udenfor og fra serverrummet. Webmasteren kigger rutinemæssigt driftsloggen igennem. Alt kører, som det skal. Han tager et smut ind på Google for at se, hvordan webmedierne performer og taster ”audio.dk” for at tjekke, om alle ændringer er kommet med efter den nys overståede flytning af mediehuset.

”Dette website er muligvis blevet hacket”.Han tror ikke sine egne øjne. Det må være en fejl. Han genindlæser siden, men beskeden er den samme. Google må tage fejl, tænker han højt for sig selv. Men i løbet af de næste timer går det efter en intens analyse af websitets kode op for ham, at Google ikke har misforstået noget. At der er noget galt: audio.dk’s hjemmeside – og de andre contentsider på mediehusets domæner såsom Alt om DATA – er blevet hacket. Det er sandt!

På jagt efter den skjulte fare
Webmasteren går systematisk til værks. Og snart går det op for ham, at der er sket noget, som han aldrig tidligere har oplevet med mediehusets websider: Der er lagt en stor mængde links ind i header-koden. Henrik er en erfaren it-tekniker, og han forstår med det samme, hvad der er sket. Han er ikke i tvivl om, at her er det it-kriminelle, der er på spil. De har skaffet sig adgang til webserveren og har invaderet websidernes kode.

Årsagen er ikke så vigtig lige nu. Det kan være, at de vil bruge Audio.dk til at linke brugere videre til andre sites, som skal angribes og ”lægges ned”. Den slags angreb er kendt som DDoS-attacks (distributed denial-of-service), og hensigten kan være politisk eller et forsøg på presse penge ud af angrebne sites. Ideen med de mange links kan også være at sikre en kanal til udsendelse af spam-mails, tænker Henrik. Det skal senere vise sig at være den mest sandsynlige målsætning med invasionen af audio.dk.

Det er med andre ord ikke Audio-hjemme-siderne, der er målet for angrebet. De it-kriminelle vil blot ”låne” webserverens power til at fremme deres formål. Mange andre webservere verden over er uden tvivl blevet ramt af den samme ”exploit”, som man kalder denne type uønsket kode.

Webmasteren kontakter straks derefter webserverens host, Netgroup, der kan bekræfte, at der er usædvanlig høj cpu-aktivitet på serveren, et typisk tegn på, at den er sat på arbejde i uønskede kræfters tjeneste. Netgroup skal senere komme til at spille en stor rolle i redningen af mediehusets webserver og de mange hjemmesider.

Der er tale om en såkaldt ”unmanaged server”, hvor hostingfirmaet ikke foretager en løbende overvågning, men hvor det er overladt til kunden. Men nu går både Netgroup og Alt om DATA’s webmaster i gang med en foreløbig redningsaktion.De skadelige koder bliver fundet og slettet, og webmasteren ser frem til at få alt på plads igen. Han er fortrøstningsfuld. Skulle alt gå galt, har han både en backup at falde tilbage på, samt en lokal udgave af webserverens indhold liggende. Han har følelsen af at være på rette vej. Snart vil han kunne konstatere, at redningsaktionen lykkedes, og at alt igen er, som det skal være, tænker webmasteren. Og samtidig ved han, at abonnentdatabasen ikke er ramt. Den ligger på en helt anden server.

Skjulte kommandoer slipper udenom
Hvad han ikke har mulighed for at se på det nuværende stadie, er, at exploiten har plantet nogle såkaldte bash shells på webserveren – nogle kommandoer, der kan udløse bestemte handlinger. Men lige nu ligger de i dvale og venter på besked om at træde i aktion.

Abonnenterne blev ikke ramt

Alt om DATA’s abonnenter blev ikke påvirket af hackerangrebet. Ingen data blev kompromitteret, ødelagt eller videresendt. Årsagen er, at abonnementsdatabasen er helt adskilt fra webserveren, også i fysisk forstand. Den administreres af en selvstændig virksomhed, som er specialiseret i abonnementshåndtering. Dette firma har intet databasefællesskab med hverken Audio Medias hostingselskab eller med Audio Media selv.

I mellemtiden er det gået op for Henrik efter dialog med Netgroups erfarne teknikere, hvad der er årsagen til den højest uventede besked på Google og de mange uønskede kodelinjer på mediehusets websider.

Mediehusets websider er som cirka 25 procent af alle verdens hjemmesider bygget op ved hjælp af content management systemet Wordpress. Systemets popularitet skyldes blandt andet muligheden for nemt at udvide funktionaliteten med såkaldte plugins. Der er plugins til kontaktformularer, til polls, til nyhedsbreve, til kommentarfelter og mange andre ting. Disse plugins er skabt til at fungere i Wordpress, og de kan opfattes som en slags genvej til funktionaliteter, som det ellers vil koste mange programmeringstimer at bygge.

Men der er ikke kun fordele. Og det er det, der rammer Audio.dk den dag i oktober. Wordpress er et open source-miljø, hvor plugins skabes og udbydes af programmører fra hele verden. Miljøet er delvist kontrolleret, men udviklerne har eksempelvis ingen pligt til at opdatere deres plugins, og her ligger en alvorlig sikkerhedsrisiko, forklarer Jens Højgaard og Niki Jensen fra Netgroups Unix-team. De deltog begge to i den kommende redningsaktion.

Plugins, der ikke er opdaterede, eller ikke er kodet på den rigtige måde, kan ende med at fungere som adgangsport for ondsindede angreb, forklarer de.

Komplekse websites som eksempelvis altomdata.dk rummer en lang række plugins. Som med så mange andre lignende hjemme-sider er funktionaliteten på sitet udviklet gennem knopskydning, hvor plugins er blevet tilføjet løbende gennem årene. På det tidspunkt, hvor det enkelte plugin er blevet lagt ind på sitet, har det måske været nyt eller nyligt opdateret. Men med tiden har de mange rettelser af sitet og nye plugins – lagt ind af forskellige udviklere – sløret overblikket over selve sitet, og det har så ikke længere været muligt umiddelbart at se, hvilke plugins der har været benyttet, og om de bliver løbende sikret gennem opdateringer. Webmasteren gør det helt rigtige ved som det første at lede efter og fjerne de koder og links, som er lagt ind på sitene, men efter konsultering med Netgroup er han ikke længere i tvivl om, at der skal en langt mere radikal løsning til for at sikre, at webserveren ikke igen skal fungere som hackerværktøj. På nuværende tidspunkt håber han at have stabiliseret sitet, men han er klar over, at det ikke er til at vide, om al uønsket kode er elimineret. Hele sitet må derfor bygges op fra bunden igen.

Men ligesom situationen synes at være lidt afdramatiseret, og der er tid til at tænke på næste strategiske skridt (ikke mindst at få pillet audio.dk og altomdata.dk-domænerne ud af internettets blacklister, så de ikke fremtræder som ”muligvis hacket” i Googles snippet), opstår der en ny situation.

Fra redaktionen og administrationen i mediehuset indløber der besked til it-afdelingen om, at man i stigende grad har mailproblemer. Man kan ikke længere afsende mails. Modtagerne fortæller, at de ikke modtager de mails, de forventer at få, eller at mails fra audio.dk ender i spamfiltret.

Fra at være et problem isoleret til websites på domænet, er nu også den vigtigste kommunikationskanal til og fra huset blevet kompromitteret.

Situationen er alvorlig. Hvorfor er nu også mailen blevet ramt? Webmasteren har en anelse, og i samarbejde med hostingfolkene hos Netgroup går han igen i offensiven for at forsvare audio.dk mod det overvældende angreb.

Derfor fortæller vi denne historie

I de senere år har vi set spektakulære og voldsomt kostbare hackerangreb på store virksomheder – herunder en mastodont som rederivirksomheden A.P. Møller Mærsk. I efteråret var det så mediehuset Audio Media, der kom til at opleve, hvor kritisk sikkerhedssituationen er blevet på nettet. Vi har valgt at fortælle historien om det voldsomme angreb på vores webserver, og hvilke konsekvenser det fik, fordi vi mener, at åbenhed er det stærkeste våben mod de kriminelle kræfter, der hvert sekund året rundt forsøger at undergrave den centrale infrastruktur, som nettet har udviklet sig til at blive. Og fordi, vi mener der er masser af lærdom i netop den kritiske situation, som Alt om DATA og audio.dk endte i. Vi fortæller historien i fire kapitler. I dette nummer handler det om selve angrebet. Her er planen for de følgende numre: Artikel 2: Redningsaktionen sættes i gang (nr. 7, 25. april). Artikel 3: Sitet er genetableret – det kan vi lære (nr. 9, 7. juni). Artikel 4: Netgroup – interview om sikkerhedsberedskab (nr. 11, 19. juli)