VG Nett misbrukt av hackere

VG Nett misbrukt av hackere

Først ble en gammel feil utnyttet for å spre falsk antivirus. Så smalt det i serveren.

Å google fraser som "site:vg.no free young girls" eller "nude girls + reisebrev" er ikke særlig utbredt. Det kan driftssjef Audun Ytterdal i VG Nett være glad for.

Tirsdag opplevde han alle it-folks store skrekk: Å bli utnyttet av datakriminelle, eller hackere om du vil.

- Å kalle det et hackerangrep er å trekke det ganske langt, forteller Ytterdal.

- Men det var noen veldig kreative folk som fant en bug i programvaren. Det var ganske kult.

Falske lenker

Det som skjedde, var at noen lagde en rekke sider med modifiserte lenker som gikk til VG Nett. Disse lenkene ble indeksert av Google, og kanskje også andre søkemotorer.

Ved å google heller rare fraser, fikk man dermed opp lenker til VG Nett som i realiteten ikke var lenker Norges største nettavis stod for, men falske lenker laget av kriminelle.

Det bakmennnene hadde funnet ut, er at man kan få VG Nett-sider til å oppføre seg annerledes om man legger inn spesiell kode i url-en. En type cross-site scripting.

Om man gikk inn på de muterte url-ene, fikk man opp VG Netts artikler, men også advarsler om at man hadde virus og beskjed om å installere diverse falsk antivirusprogramvare fra amerikanske nettsider.

Mer om det tekniske kan du lese på Ytterdals blogg.

Kunne gått værre

- Det var kreert som sql, med mye tekst bak "id=". I stedet for å dytte ting inn i databasen, dyttet de det ut på siden. Det er forsåvidt slemt, sier Ytterdal, som mistenker at bakmennene bruker automatiske verktøy for å utnytte sikkerhetshullet.

Heldigvis måtte man google heller merkelige ting for å få opp de falske lenkene, og ifølge tallene Ytterdal sitter med, skal ingen faktisk ha blitt sendt til disse url-ene.

Det skumleste er med andre ord at dette i det hele tatt var mulig, og at de kriminelle sannsynligvis kunne gjort langt verre ting med koden.

- Hadde de "injecta" data inn på våre sider, kunne det blitt mye verre, sukker driftssjefen.

Sikringen gikk

Det var Watchcom som oppdaget misbruket. Hvor lenge det har pågått vet man ikke ennå, men koden som har blitt misbrukt er fra julen 2007.

- Det er fryktelig dumt, det er vår feil at de hadde denne muligheten, innrømmer Ytterdal.

Feilen ble ifølge han fikset etter ti minutter, og nå skal hele koden gjennomgås.

En ulykke kommer sjeldent alene, og senere på dagen falt en av VG Netts servere hos Ventelo ut. Dette var på grunn av en sikring, og hadde heldigvis ingenting med hacking å gjøre. Dermed måtte Ytterdal skuffe sultne journalister fra NRK, som troppet opp hos nettavisen, sikre på å ha fått årets hackerscoop.

- Jeg ble litt bekymra for å si det mildt, smiler Ytterdal.

- Det gikk kaldt nedover ryggen min. Men så viste det seg bare å være kode som var dust.