Norske nettsteder sprer skadevare

- Vi har sett nettsider som har spredd skadevare, som har vært av de mest besøkte sidene i Norge. De har naturligvis potensiale til å spre virus bredt, sier Marie Moe, seksjonssjef for Norcerts operasjonssenter.

Den siste tiden har det tikket inn med meldinger om kompromittering av norske nettsider. Sikkerhetsmiljøet både her til lands, men også utenfor landegrensene, tar kontakt for å varsle Norcert om norske sider som sprer skadevare.

Hvem ønsker ikke Norcert gå ut med, men det er på det rene at en av de største nettavisene her til lands skal ha vært berørt den siste tiden.

- Vi får varsler om alt fra sider som er veldig små, for eksempel blogger som bare leses av et fåtall, til mer besøkte sider. Vi ser alle kategorier, vi varsler om dette slik at de som driver nettsiden kan rydde opp, sier Moe.

Nettbanktrojanere

Før sommeren var det hett med såkalt utpressingsprogrammer, som kidnapper filer på datamaskinen din og vil ha betaling for at du skal få tilgang til dem igjen, ifølge Norcerts statusrapport for andre kvartal. Men det er ikke lenger denne typen skadevare som regjerer.

- Det er ikke bare utpressingsvirus. I det siste har vi sett mye såkalte exploit-kit, som er en verktøykasse av forskjellige typer virus. Disse tar høyde for ting som hvilken nettleser som besøker den infiserte nettsiden, og hvilken programvare som er installert, for å skreddersy et angrep. Det er ofte nettbanktrojanere som blir installert av slike exploit-kit, sier Moe.

Når det er snakk om nettsider med mange besøkende, pleier Norcert å bistå direkte med å få fjernet ondskapen, men har ikke ressurser til å bistå på samme måte med mindre sider, eksempelvis små blogger.

- Vi varsler ikke kunden direkte, men webhotellet. Så er det opp til dem hva de gjør ut mot sine egne kunder. Det er forskjellig hvor flinke disse er. Noen får ryddet opp raskt, andre bruker lenger tid, sier Moe, som mener hosting-bransjen, dem som leier ut webhotell, må ta bedre ansvar på vegne av kundene.

Uoppdatert

Nettsidene blir hacket fordi de inneholder ikke-oppdatert programvare, det kan for eksempel være et sikkerhetshull i et Javascript, i publiseringsprogramvare som Wordpress eller Joomla som utnyttes. Leverandørene av slik programvare er som regel flinke på å rette opp slike hull og derpå gi ut nye, korrigerte versjoner av programvaren, men det hjelper lite om nettsidens eier ikke installerer disse korrigeringene.

- Det underliggende problemet er at de som drifter nettsidene ikke oppdaterer og tetter hull. Når vi forteller at de er kompromittert, pleier de gjerne å rydde opp i det ondsinnede scriptet, men så blir de infisert igjen fordi de ikke har fjernet selve kilden til problemet, nemlig sikkerhetshullet, sier Moe.

Angrepene som infiserer nettstedene skjer gjerne automatisk og kontinuerlig. Det foregår et automatisert tråling etter nettsider som inneholder hull, og hullene utnyttes uten at skurken trenger å trykke på tastaturet. Derfor vil nettsider ofte bli angrepet igjen om ikke programvaren holdes tilstrekkelig oppdater.t

- Det tyder på dårlige rutiner, der man ikke bruker ressurser på å vedlikeholde nettsiden. De som har nettsider bør føle et ansvar for å ikke infisere besøkende av nettsiden sin, og bør ha bedre rutiner for å unngå å bli hacket, sier Moe.

- Vi kjemper en slags evig kamp for å få begrenset spredningen av nettbanktrojanere.