Jeg har et godt tilbud til dig!

Svar: Styrk din it-sikkerhed, 10% rabat indtil 2007

Lasse Kristiansen — Sun, 28 Dec 2008 20:09:40 GMT

Apropos sikkerhed...

Mikkel,

De sidste par gange jeg har forsøgt PPCWATCH.DK, har Google smidt en advarsel i fjæset på mig. Det ser umiddelbart lidt sløjt ud:

http://www.google.com/safebrowsing/diagnostic?site=http://www.ppcwatch.dk/&hl=da

Styrk din it-sikkerhed, 10% rabat indtil 2007

Mikkel deMib Svendsen — Thu, 16 Nov 2006 15:58:00 GMT

> Haha.. mon ikke PET og Rigspolitiet bliver lidt småsure på os

Nej, kun hvis det der laves er ulovligt. Og som sagt er der masser af "hacks" i marketingbranchen som ikke nødvendigvis bryder nogen lov. Søgemaskineoptimering, såvel som optimering af diverse revenue streams, er i bund og grund "hacking" i ordets bedste forstand. Det handler om at at bryde systemer ned, forstå dem og (mis)bruge dem til det yderste indenfor de givne (lovlige) rammer.

I søgemaskinebranchen er et "hack" ofte en helt ny måde at gøre et eller andet på - eller en hidtil uset skala eller varint af en eksisterende teknik. Dem der kommer først med dette nye hack kan få KÆMPE gevinster ud af det. En nummer 1 på Viagra giver vel let $50-100k om dagen. Og tilsvarende for topplaceringer på alt indenfor spil, den financielle sektor og meget mere. Dem der efterfølgende samler hacket op vil se en langt lavere gevinst af det. Jeg har set og deltaget i masser af den type hacks gennem de sidste 10 år.

Et eksempel på et sådan''t hack - og det er gammelt og ubrugeligt nu, så det kan jeg godt fortælle om, var dengang nogle smarte typer jeg kender fandt på at snyde hele DNS-systemet med falske domæner. Det var dengang DNS normalt var cachet 30 dage. De satte ekstremt mange sådanne "fake-domæner" op og brugte dem til super-aggressivt cloakede sider. Søgemaskinerne så dem vælte ind fra højre og venstre, men de kunne ikke stoppe dem, for de kunne ikke finde ud af hvor de kom fra - for det var helt falske DNS-records. Det er meget kort fortalt - og derfor, naturligvis, ikke en helt nøagtig og detaljeret korrekt beskrivelse. Men du forstår ideen ... Det var vist ikke ulovligt - og kun meget få folk har faktisk den dag i dag kenskab til at det skete :) Ham min ven der lavede det tjente et godt stykke over $4 milioner på det hack - og det er snart mange år siden.

Styrk din it-sikkerhed, 10% rabat indtil 2007

Michael Mortensen — Thu, 16 Nov 2006 15:08:00 GMT

Dato: 16-11-2006 15:13:11
Forfatter: Mikkel deMib
Der kan være mange grunde til at folk forsøger at eksekvere fremmed kode på et website. Hacking er nok det mest alvorlige, men der kan være mange andre årsager. Jeg har mest haft fokus på en af de nyere, og stigende, årsager: Markedsføring! - i meget bred forstand.

Jeg har oplevet meget i den retning, fra at folk placere links på andres websites, til at de fjerner vigtige elementer fra deres søgemaskineoptimering, og så til dem der skifter folks AdSense publisher ID ud med deres eget. I de fleste tilfælde opdager websiteejeren det slet ikke, med mindre de er særligt opmærksomme på den slags. Det sidste eksempel jeg så, var en kunde der tilfældigt opdagede at han var blevet hacket, men intet var gået galt ... troede han, lige indtil han opdagede at hans htacces file var blevet ''justeret'' så alle søgemaskinernes robotter fik en 301 til konkurrentens webite.

Gamle hackere er gået ind i marketingbranchen, for der er forbandet gode penge at tjene, hvis du kan kombinere even til at manipulere med andres websites, og så hvordan de forskellige marketing og revenue kanaler fungerer. Og selv hvis man holder sig indenfor lovens rammer (hvilket stadig giver plads til en hvis type af simple ''hacks'' hehe), kan dygtige hackere virkelig tjene godt i denne branchen. Det er simpelthen flere penge i at ''hacke'' for marketing end at ''hacke'' for sikkerhed hehe

Hvad siger du, Michael, måske skulle vi lave en ''lille'' side-butik sammen en dag - jeg ved hvad der skal ''hackes'' og du ved hvordan man gør det. Selv indenfor lovens rammer kan man sagtens lave nogle millioner dollars om året, med den kombination! :) ... du siger bare til

Haha.. mon ikke PET og Rigspolitiet bliver lidt småsure på os Men ja, vi har skam også genskab til enkelte tilfælde hvor sådan reklamefusk (eller hvad man nu skal kalde det) har fundet sted. Dog er de aller største penge stadig hos "økonomiske hackere" som f.eks. bliver ansat til at udføre industrispionage eller stjæler virksomheders banknøgler.. disse kriminelle er dog heldigvis ret sjældne, hvilket de fleste virksomheder nok skal prise sig ret lykkelige for, især når man tager i betragtning hvor dårlig sikkerhed der er på mange danske websider.

Styrk din it-sikkerhed, 10% rabat indtil 2007

Mikkel deMib Svendsen — Thu, 16 Nov 2006 14:13:00 GMT

Der kan være mange grunde til at folk forsøger at eksekvere fremmed kode på et website. Hacking er nok det mest alvorlige, men der kan være mange andre årsager. Jeg har mest haft fokus på en af de nyere, og stigende, årsager: Markedsføring! - i meget bred forstand.

Jeg har oplevet meget i den retning, fra at folk placere links på andres websites, til at de fjerner vigtige elementer fra deres søgemaskineoptimering, og så til dem der skifter folks AdSense publisher ID ud med deres eget. I de fleste tilfælde opdager websiteejeren det slet ikke, med mindre de er særligt opmærksomme på den slags. Det sidste eksempel jeg så, var en kunde der tilfældigt opdagede at han var blevet hacket, men intet var gået galt ... troede han, lige indtil han opdagede at hans htacces file var blevet "justeret" så alle søgemaskinernes robotter fik en 301 til konkurrentens webite.

Gamle hackere er gået ind i marketingbranchen, for der er forbandet gode penge at tjene, hvis du kan kombinere even til at manipulere med andres websites, og så hvordan de forskellige marketing og revenue kanaler fungerer. Og selv hvis man holder sig indenfor lovens rammer (hvilket stadig giver plads til en hvis type af simple "hacks" hehe), kan dygtige hackere virkelig tjene godt i denne branchen. Det er simpelthen flere penge i at "hacke" for marketing end at "hacke" for sikkerhed hehe

Hvad siger du, Michael, måske skulle vi lave en "lille" side-butik sammen en dag - jeg ved hvad der skal "hackes" og du ved hvordan man gør det. Selv indenfor lovens rammer kan man sagtens lave nogle millioner dollars om året, med den kombination! :) ... du siger bare til

Styrk din it-sikkerhed, 10% rabat indtil 2007

Michael Mortensen — Thu, 16 Nov 2006 12:45:00 GMT

Nå, men nu hvor den lille ting er blevet opklaret, så videre med at få sikret jeres systemer. Som Mikkel deMib også siger, så er sikkerhed netop ikke statisk og det er præcis derfor, at det er vigtigt at få undersøgt ens sikkerhed regelmæssigt af nogle der har erfaring med det og har de fornødne evner der skal til. Uden dette gør man sig sårbar overfor eventuelle hacker-angreb, som potentielt kunne nedlægge ens side i timer, hvis ikke dage, hvor man så I al den tid udelukkende mister penge.

Så vi vil opfordre jer til at gå ind på https://www.zepcom.dk/services_sa.php og læse om vores sikkerhedsanalyser, og hvis der er nogle uklarheder, så skal I endelig bare sige til, så skal vi nok hjælpe med at forklare tingene på en nemt forståelig måde.

Styrk din it-sikkerhed, 10% rabat indtil 2007

Michael Mortensen — Wed, 15 Nov 2006 23:15:00 GMT

Vi har nu besluttet os for, at vi I morgen kontakter begge virksomheder og tilbyder abonnemt billigt, da det jo netop også er i vores interesse, at de rent faktisk følger vores råd. Og hvis de så ikke er villige til at købe disse ydelser, så må vi jo være tvunget til at fjerne referencerne og så eventuelt skrive at vi kan give oplysninger om visse refencer til potentielle kunder..

Styrk din it-sikkerhed, 10% rabat indtil 2007

Michael Mortensen — Wed, 15 Nov 2006 23:06:00 GMT

Dato: 15-11-2006 23:57:06
Forfatter: Mikkel deMib
> de får testet systemerne ordentligt og får fundet næsten alle huller og i hvert fald noget så simpelt som injections.

Det er altså ikke det jeg har oplevet. Jeg har desværre set flere eksempler på, at store sikkerhedsfirmaer IKKE har fundet de injections-fejl jeg har fundet på mine kunders websites. jeg har ikke erfaring med jeres arbejde, men det er egentlit også sagen uvedkommende. jeg er ikke ude efter at nakke nogle, eller hænge nogle ud :) Min interesse er nok ikke så meget anderledes end din - at websites bliver så sikre som muligt.

Det varmer jo vores hjerter :-). Det er altid dejligt at snakke med nogen der rent faktisk ønsker at forøge sikkerheden på internettet generelt.

Det skal selvfølgelig siges, at jeg ikke har tjekket op på alle vore konkurrenters arbejde, da jeg koncentrerer mig lidt mere om at få vores sikkerhedsanalyser gjort ordentligt ;-) Men det skal da ikke undre mig, at der er nogle virksomheder der ikke går testet ordentligt. Men det handler nok mest om, at de ansætter forkerte medarbejdere, som er mere eller mindre ligeglade med it-sikkerheden hos kunden. Hos Zepcom har vi meget få medarbejdere og alle er ekstremt ambitiøse og alle er fuldkommen it-sikkerhedsrettet.. nemlig fordi de altid har interesseret sig for emnet, også lang tid før de fik penge for det. Faktisk er jeg også personligt selv tidligere hacker.. dog ikke nær så berømt ;-)

Styrk din it-sikkerhed, 10% rabat indtil 2007

Michael Mortensen — Wed, 15 Nov 2006 23:01:00 GMT

Dato: 15-11-2006 23:52:08
Forfatter: Mikkel deMib
> En af de ting vi forsøger at få virksomheder til at forstå er, at sikkerhed ikke er statisk.

Helt enig! Og det er netop det problem jeg personligt støder ind i oftest. Websites som oprindeligt er blevet lavet sikre, men så tilføjes der en lille ting på en enkelt side, eller en ''ubetydelig'' detalje ændres, som ingen har tænkt over kan give problemer, og så er der pludselig en dør åben. Jeg ser det f.eks. meget ofte når der indsættes tracking scripts. Meget ofte indlæses sidens URL i koden og derved kan der injectes JavaScript, hvis ikke der er spærret for det effektivt.

Det er ikke nok at låse alle dørene, hvis man lader vinduet stå åbent :)

Jeg synes måske i burde overveje IKKE at reklamere med at I har sikkerhedstjekket bestemte firmaer - af sikkerhedsmæsige grunde. Dels fordi at det er en åben invitation til hackere - når jeg (omend jeg ikke egentligt vil påstå jeg kvallificerer mig til rigtig hacker) ser sådan noget kan jeg bare ikke lade være med liiiige at se om ikke jeg kan smute ind :) Og det kan jeg rigtig tit - næsten altid. Og dels er problemet jo, som du selv nævner, at jeres kunder ikke altid følger jeres anvisninger, eller holder sitet velsikret. Så ved at bruge jeres tidligere kunder som referencer vil jeg nok mene I øger risikoen for disse sites. Og det er jo ikke meningen :)

Hvis I forklarer dette til nye kunder, og i jeres markedsføring, tror jeg godt de fleste kan forstå, hvis I udelader referencer.

Faktisk undlader vi somregel referencer, netop lige præcis af den grund du nævner. Det er faktisk særtilfælde hvor vi vælger at sætte referencer op, så det at der kun står 2 betyder heller ikke, at vi kun har haft 2 kunder ;-). De fleste af vores kunder vil gerne have deres anonymitet, hvilket vi også for det meste opfordrer dem til. Faktisk står det endda i vores betingelser, at ingen oplysninger om tidligere kunder kommer ud medmindre andet er aftalt. Så jeg forstår godt hvordan du kunne misforstå det og tro vi ikke havde testet siderne ordenligt, og det vil skam også helt klart få nogle konsekvenser, fordi for mig at se har vi nu to muligheder:

1. Fjern referencerne
2. Få Amitech A/S og SPAMfighter til at indgå abonnementaftale (til så lav en pris som er nødvendig for at de vil)

Vi vil jo ikke have et ry for at være talenttløse, for det er nok det sidste jeg vil påstå vi er. Især når det kommer til vores berømte tidligere hacker. Så der skal helt klart gøres noget ved dette og jeg kan også sige, at vi har faktisk tænkt på det før.. at disse to kunders sider er så dynamiske, at de kunne give en del problemer for opfattelsen af vores analyser..

Styrk din it-sikkerhed, 10% rabat indtil 2007

Mikkel deMib Svendsen — Wed, 15 Nov 2006 22:57:00 GMT

> de får testet systemerne ordentligt og får fundet næsten alle huller og i hvert fald noget så simpelt som injections.

Det er altså ikke det jeg har oplevet. Jeg har desværre set flere eksempler på, at store sikkerhedsfirmaer IKKE har fundet de injections-fejl jeg har fundet på mine kunders websites. jeg har ikke erfaring med jeres arbejde, men det er egentlit også sagen uvedkommende. jeg er ikke ude efter at nakke nogle, eller hænge nogle ud :) Min interesse er nok ikke så meget anderledes end din - at websites bliver så sikre som muligt.

Styrk din it-sikkerhed, 10% rabat indtil 2007

Mikkel deMib Svendsen — Wed, 15 Nov 2006 22:52:00 GMT

> En af de ting vi forsøger at få virksomheder til at forstå er, at sikkerhed ikke er statisk.

Helt enig! Og det er netop det problem jeg personligt støder ind i oftest. Websites som oprindeligt er blevet lavet sikre, men så tilføjes der en lille ting på en enkelt side, eller en "ubetydelig" detalje ændres, som ingen har tænkt over kan give problemer, og så er der pludselig en dør åben. Jeg ser det f.eks. meget ofte når der indsættes tracking scripts. Meget ofte indlæses sidens URL i koden og derved kan der injectes JavaScript, hvis ikke der er spærret for det effektivt.

Det er ikke nok at låse alle dørene, hvis man lader vinduet stå åbent :)

Jeg synes måske i burde overveje IKKE at reklamere med at I har sikkerhedstjekket bestemte firmaer - af sikkerhedsmæsige grunde. Dels fordi at det er en åben invitation til hackere - når jeg (omend jeg ikke egentligt vil påstå jeg kvallificerer mig til rigtig hacker) ser sådan noget kan jeg bare ikke lade være med liiiige at se om ikke jeg kan smute ind :) Og det kan jeg rigtig tit - næsten altid. Og dels er problemet jo, som du selv nævner, at jeres kunder ikke altid følger jeres anvisninger, eller holder sitet velsikret. Så ved at bruge jeres tidligere kunder som referencer vil jeg nok mene I øger risikoen for disse sites. Og det er jo ikke meningen :)

Hvis I forklarer dette til nye kunder, og i jeres markedsføring, tror jeg godt de fleste kan forstå, hvis I udelader referencer.

Styrk din it-sikkerhed, 10% rabat indtil 2007

Michael Mortensen — Wed, 15 Nov 2006 22:50:00 GMT

Jeg har tit opfordret kunder til at få testet deres sites, men jeg er holdt op med det da de test sikkerhedsfirmaerne laver alligevel ikke dur. Det er satme sørgeligt, for der er alvorligt brug for disse tests. Jeg føler mig bare ikke kvallificeret til at lave dem selv.

Nu skal du selvfølgelig tænke på, at it-sikkerhedsvirksomhederne, som f.eks. Amitech, kan kun rådgive, hvilket vi også gør. Men det er ikke altid virksomhederne rent faktisk følger det der bliver sagt. Enten fordi de ikke ved hvordan (og så ikke spørger om hjælp), fordi de ikke gider, eller fordi de udskyder det og glemmer det. Mange af vores kunder får simpelthen ikke ordnet det, indtil vi minder dem om det 2-3 gange.
Sådan er virkeligheden nu engang - det har intet med it-sikkerhedsvirksomhederne at gøre, for dem kan jeg ærligt sige, og det gælder ikke kun Zepcom, de får testet systemerne ordentligt og får fundet næsten alle huller og i hvert fald noget så simpelt som injections.

Zepcom har jo eksempelvis også en reel tidligere hacker, faktisk en af Danmarks bedste, som konsulent. Så hvor du, som du siger, ikke er særlig god hacker, så er han på alle måder god. Faktisk exceptionel! Problemet er bare igen, som jeg sagde før, at virksomhederne ikke altid følger hvad de rådgivet til + sikkerhed ikke er statisk, så hvis deres sider bliver ændret ofte, så vil siden ikke være sikker særlig længe, medmindre de får en abonnementydelse ind i billedet.

Styrk din it-sikkerhed, 10% rabat indtil 2007

Michael Mortensen — Wed, 15 Nov 2006 22:37:00 GMT

Svar til Mikkel deMib, undskyld forsinkelsen!

Nu har jeg selvfølgelig været utilgængelig hele aftenen. Så har ikke haft mulighed for at forklare disse ting. Dette gør jeg dog nu:

De huller du har set har vi opdaget. Det er nogle som de enten ikke har fået lukket, til trods for vores opfordring, eller nogle som er kommet siden vores analyse. I begge tilfælde (SPAMfighter og Amitech) er de blevet gjort opmærksomme på disse huller, men jeg kan skam godt forstå det ser underligt ud når vi fortæller siderne er blevet sikret af os, men i øjeblikket er usikre.
Jeg kan fortælle at sidst Amitech fik sikkerhedsanalyseret deres side var Februar 2006 og SPAMfighter var Maj 2006. Desuden har vi lige fornylig informeret Amino om adskillige fejl på forummet som også skal rettes.

En af de ting vi forsøger at få virksomheder til at forstå er, at sikkerhed ikke er statisk. Det er et dynamisk område der skal udvikles på, på lige fod med hvordan websiden bliver udviklet. Det vil altså sige, at det er nødvendigt at få lavet sikkerhedsanalyser rimelig regelmæssigt, især hvis man ofte får nye funktioner ind på ens systemer...

Jeg håber det forklarer nogle af tingene for dig.

Styrk din it-sikkerhed, 10% rabat indtil 2007

Mikkel deMib Svendsen — Wed, 15 Nov 2006 20:46:00 GMT

Jeg skal forsøge - men nu er ER jeg som sagt blot en glad amatør-hacker. Min viden på området er ikke Så fantastisk stor, så hvis andre har bedre, eller mere detaljerede forklaringer, så bare kom med dem :)

Jeg har skrevet et par artikler om XSS på min blog - dem kan du lige starte med at få:
http://www.demib.dk/xss-cross-site-scripting-157.html
http://www.demib.dk/cross-site-scripting-329.html

Cross Site Scripting (som normalt bare forkortes til XSS) handler grundlæggende set om at eksekvere fremmed kode i andres applikationer. Såvidt jeg ved har den slags fundet sted lang tid før Internet og World Wide Web kom frem. Men med Internet er det bare blevet meget lettere.

En webapplikation, eller bare et helt almindeligt website som f.eks. dette, er ofte indrettet til at kunne modtage forskelligt input fra brugerne. I en debat kan man oprette profiler, skrive indlæg, søge osv. Det som brugerne inputter eksekveres på serveren, o vises (som regel) på websitet i en eller anden form. Normalt er disse input beregnet til bare at være tekst, men det er sjældent at de er begrænset til dette. Lad os tage et simpelt eksempel på en søgeboks.

Når du søger vises der på resultatsiden ofte en tekst i retning af "du søgte på XXX". Så langt så godt. Men hvad nu hvis man ikke søger med et ord, men med en lille stump HTML-kode - f.eks. et link. Hvis søgeapplikationen ikke er beskyttet mod den slags, vil der så på søgeresultatsiden optræde et link der hvor dit søgeord ellers ville blive vist. Denne teknik bruges bl.a. af SEO-hackere som gerne vil have links fra sites, der ikke frivilligt vil linke til dem :) (der mangler dog lige et par vigtige elementer i denne beskrivelse for at det dur - det er med vilje jeg har udeladt disse tips)

Men det var så bare HTML-injection. Det meste HTML-injection er forholdsvist harmløst. Men, hvis man kan injected HTML kan man som regel også injecte JavaScroipt. Og så begynder det at blive farligt. Med et JavaScript inject kan man faktisk overtae hele browseren og blandt andet omskrive hele DOM''en i IE. Det betyder i praksis at du kan skabe din helt egen side på andres domæner! Perfekte phising! Men det kan også bruges til at opsnappe mange andre informationer - f.eks. læse folks cookies, passwords osv. Det er faktisk kun fantasien, og mængden af huller i et website, der sætter grænsen.

Og det var så JavaScript injections, som kan være slemme nok i sig selv. Endnu værre bliver det med SQL-injection. Med SQL injection manipuleres webformularer, der poster til en SQL-database, på en sådan måde at hackeren faktisk kan få adgang til selve databasen! Hvis databasen så ikke er ordentligt beskyttet kan hackeren herfra i princippet gøre hvad han vil - tømme databasen, læse det hele, ændre alting og virkelig fucke op i det.

En af de mere underholdende historer om XSS er historien om ham fyren der lagde MySpace ned (en af de første gange): http://fast.info/myspace/ - det er lidt nørded læsning, men virkelig sjovt. Læs også kode-detaljerne her, så vil du forstå meget mere om hvordan en XSS-hacker tænker.

ha.ckers.org har også en god artikel her, der oså inkluderer en masee tools til formatering af scripts: http://ha.ckers.org/xss.html

Denne artikel: http://www.technicalinfo.net/papers/CSS.html giver en god og lidt mere simpel introduktion til XSS. Også værd at læse.

Ellers så spørg hvis der er mere, så skal jeg forsøge at svare så godt jeg kan :)

Styrk din it-sikkerhed, 10% rabat indtil 2007

OriginalTaste — Wed, 15 Nov 2006 20:29:00 GMT

http://www.securiteam.com/securityreviews/5DP0N1P76E.html
http://blog.searchenginewatch.com/blog/060822-082140
http://asp-faq.dk/article/?id=95

Søg selv lidt på google.

Styrk din it-sikkerhed, 10% rabat indtil 2007

Kim Malmberg — Wed, 15 Nov 2006 20:06:00 GMT

Hej

Mikkel

Gider du skrive lidt mere om HTML-injections,SQL-injections, eller henvise til et link
Tak