NRK Meny
Normal

Offentlige nettsteder kan brukes til å svindle eller angripe deg

Utdatert og sårbar kode på offentlige nettsteder gjør at ondsinnede aktører i verste fall kan svindle og lure deg med nettadresser du stoler på. Blir du lurt med en adresse fra det offentlige kan de også angripe datamaskinen din.

Nettsikkerhet og RetireJS (montasje)
Foto: montasje fra RetireJS og foto Espen Andersen / NRK

Dette viser en gjennomgang av nesten 9 000 domener eid av det offentlige som NRK har fått gjennomført i samarbeid med sikkerhetsrådgiver og utvikler Erlend Oftedal.

Undersøkelsen viser at 3 786 av nettstedene i NRKs liste over offentlig eide domener inneholdt utdaterte og sårbare versjoner av kjente kodebiblioteker.

Alle nettstedene er sjekket for bruk av utdaterte og sårbare versjoner av de mest utbredte javascript-bibliotekene på internett. JavaScript er et kodespråk som brukes mye for å lage mer avansert funksjonalitet på nettsteder.

Utnytter nettadresser folk stoler på

– Da kan i verste fall ondsinnede aktører lage en spesiell adresse til siden som de lurer brukere til å klikke på. Selv om man er oppmerksom på faren for nettsvindel kan man likevel trykke på den fordi adressen begynner med det riktige domenet. Da kjøres da angriperens javascript-kode når du åpner nettstedet, sier Oftedal til NRK.

En slik adresse kan for eksempel se ut som dette:
http://offentligetat.no/index.php?name=guest<script>alert('du har blitt hacket')</script>

Dermed med vil det virke som adressen går til etatens nettsider selv om den kanskje kjører skadelig kode.

Erlend Oftedal

Sikkerhetsrådgiver Erlend Oftedal sier at utdatert og usikker kode kan utnyttes av folk med ondsinnede hensikter.

Foto: Frode Nerbråten

– For en helt vanlig bruker vil det kunne se ut som man er på en troverdig side fra en offentlig etat?
– Ja, absolutt. Sannsynligvis vil de heller ikke engang merke at det skjer noe galt. For de som er ute etter å gjøre noe ondsinnet kan gjøre ting i det skjulte som for eksempel å sniffe brukernavn og passord fra dem som besøker den spesiallagde angrepsadressen. I verste fall kan det kobles opp slik at angriperen kan sitte og følge med direkte hva nettbrukeren gjør i sin nettleser under et slikt angrep. Da begynner det å bli virkelig skremmende, svarer sikkerhetsrådgiveren.

Å besøke nettsteder med slik sårbar kode er vanligvis ikke farlig hvis man bare surfer normalt inn fra forsiden til nettstedet. For den skadelige koden fra en angriper må legges inn i adressefeltet for å kunne utnyttes, og i mange tilfeller må en bestemt del av kodebiblioteket være brukt på nettstedet.

Likevel er det mulig dersom den som er angriper får legge inn innhold som kommentarer eller lignende, at også det å surfe innom siden føre til at den skadelige koden kjøres.

Over 100 sider kan utnyttes direkte

Oftedals gjennomgang viser dog at en del offentlig eide nettsteder også bruker så sårbar kode at det alltid går an å utnytte den i lureadresser.

Dette er sider som bruker sårbare utgaver av koden jQuery.prettyPhoto. Kode som er laget for å vise fram bilder penere på nettsider, men som i mange utgaver har alvorlige feil.
Over 100 nettsteder kjørte sårbare utgaver av denne koden.

Undersøkelsen viste også at flere nettsteder kjører kode som ikke har vært vedlikeholdt og oppdatert på flere år.

Servere i datasenter
Foto: Sigtryggur Ari / Reuters

– Jeg er litt overrasket at så mange nettsteder kjørte veldig gamle kodebiblioteker. Blant dem var det kode som ikke har vært oppdatert siden 2006, sier Oftedal.

– Hva tenker du om det?
– Dette kan være en indikator på hvor godt og sikkert drevet nettstedet er. Her ser vi at sider har utdatert og usikker kode fra så langt tilbake som 2006, og det kan være en indikator på at koden ikke har vært oppdatert siden da. Da kan man tenke seg at også andre deler av systemet kan være dårlig fulgt opp og ha flere sårbarheter, som kan være betydelig mer skummelt enn dette, sier Oftedal.

Utvikleren og sikkerhetsrådgiveren mener at mye av dette enkelt kan fikses.

– De som eier nettstedene bør bruke verktøy som kan avdekke slike svakheter og lignende utfordringer. Da kan de som er ansvarlige sjekke nettstedene jevnlig, og rette opp fortløpende, sier han.

Som utgangspunkt for denne saken er 11 926 domener eid av det offentlige i Norge sjekket med et slikt verktøy.

RetireJS er et verktøy som tar utgangspunkt i de mest utbredte JavaScript-bibliotekene på internett. Disse kodebibliotekene utvikles fortløpende og det blir oppdaget svakheter og sikkerhetsproblemer. Derfor bør nettsider som bruker slik kode også oppdateres jevnlig for å sikre dem mot eventuelle angripere som kan utnytte gammel og sårbar kode.

Difi: – Gode rutiner kan løse dette

Direktoratet for forvaltning og IKT (Difi) mener at offentlige virksomheter burde ha forsøke å finne slike feil selv.

Skjermdump fra norge.no

Difi arbeider for å bistå og koordinere arbeidet med IKT i det offentlige.

– Vi vil at virksomhetne skal ha gode rutiner slik at de avdekker slikt. Med gode rutiner vil man trolig avdekke behov for oppdateringer, og da kan de løse og fjerne slike problemer, sier fungerende seksjonssjef Caroline Ringstad Schultz ved seksjon for informasjonssikkerhet og datadeling i Difi til NRK.

Difi jobber med å hjelpe alle de ulike virksomhetene og etatene i det offentlige med å få på plass gode systemer og nødvendig kompetanse for å sikre nettsider og annet knyttet til datasystemer.

I informasjonssikkerhetsarbeidet mener de derfor at det er viktig med god styring.

– Difi er opptatt av at offentlige virksomheter skal ha god styring og kontroll på informasjonssikkerhet hos seg. Dette innebærer å ha gode prosesser internt, også på et teknisk nivå for å sikre at løsningene som brukes ikke er utdaterte, forteller Schultz.

Mange etater og mindre virksomheter styrer ikke datamaskinene bak nettsidene helt selv. De kjøper tjenester fra ulike IT-firmaer. Difi mener at sikkerheten likevel må ivaretas.

– Driftes og forvaltes løsninger internt i en offentlig virksomhet kan man velge å ivareta oppdateringsbehov selv, men det er også viktig at offentlige virksomheter stiller krav til vedlikehold av løsninger dersom man bruker eksterne leverandører, sier seksjonssjefen.