NTNUs idrettsklubb hacket

Hørt om Nidaros Domers? Ikke så rart. Her kan du spille amerikansk football. Eller, hvis du er en jente, bli duskedame («cheerleader»). Og det ved teknologiuniversitetet NTNU i Trondheim. Ikke så mye å skrive om.

Men nå har idrettklubbens nettsted blitt hacket. Hackere har lagt ut alle påloggingsnavn med passord på nettet. Det er cirka 500 navn som er oppført på listen. Listen ble lagt ut 2. januar.

Informasjon på selve nettsted org.ntnu.no/domers/board.php er kanskje ikke så farlig, men det er godt mulig at mange bruker samme innloggingsinformasjon på andre, mer sensitive nettsteder.

Kjedelig

Klubbens president, Øyvind Rein, er ikke klar over at nettstedet er hacket når Computerworld ringer han.

- Nei, det visste vi ikke. Det er så utrolig kjedelig at noen holder på med dette og legger ut slik informasjon, sier han

- Har sikkerhet på nettstedet vært et tema for dere?

- Det er faktisk en gammel webside som vi ikke bruker lenger, vi har fått en ny. Men vi har da ikke klart å få gjort noe med den gamle. Kontoen ligger på NTNU sin server. Vi får ikke tilgang til å slette det, sier Rein.

Enkle metode

Ifølge sikkerhetsekspert Per Thorsheim handler det her om automatisert hacking, mest sannsynlig SQL Injection (SQLi). Ved å legge inn SQL-kommandoer i felter er det mulig å hacke nettsteder, når nettstedet feilaktig oppfatter det som en kode og ikke som harmløs tekst.

- Det er en type hacking som kan gjøres for å lure systemet. Her har man tatt ut det man kaller en usaltet MD5 hash verdi (algoritme som fungerer som krypteringsnøkkel, red.), i tillegg til mailadresse og brukernavn. og hash verdi, sier Thorsheim.

- Har dette noe verdi for noen?

- Vel, dette gjelder et amerikansk football-lag ved NTNU i Trondheim. Det er i seg selv ikke en stor risiko i det. Likevel skjer det alt for ofte, og de mer langsiktige konsekvensene kan bli betydelige

- Er dette vanskelig å gjøre?

- Denne er antagelig hacket gjennom en automatisert SOL-injection. Dette regnes som en av de vanligste og automatiserte måtene å hacke websider på, og det finnes en rekke verktøy som forenkler jobben.

Sårbarheter

- Hvordan kan man finne ut om et nettsted er trygt?

- Det er vanskelig for en bruker. Utfordringen ligger hos utviklere og de som drifter websidene. Det krever kontinuerlig utvikling og vedlikehold. Dette er en stor sikkerhetsrisiko, sier han.

Ifølge Thorsheim har alt for mange webutviklere for lite kompetanse på slike sårbarheter.

- Da gjør de feil ved implementeringen, sier han.

- Er det en spesiell type webside som brukerne bør holde seg unna?

- Per i dag kan ikke en vanlig bruker finne ut av det. Med mange webbaserte tjenester vet vi ikke hvordan passord blir behandlet. De sier ofte at de overholder personvern, men ikke hvordan.

Farlige passord

- Kan man se det på en webside om den er trygg eller ikke?

- Nei, det er ikke mulig.

Men det er ifølge sikkerhetseksperten noen få tommelfingerregler.

- Hvis du på noen tidspunkt ved registrering får tilsendt ditt eksisterende passord, da må alle alarmklokkene ringe. Også når du får et nytt passord på mail, men ikke blir bedt om å endre det med en gang, all grunn til bekymring. Vi foretrekker linker til en https webside for å skifte passord, eller engangskoder via alternativ kanal som SMS, sier han.

Etter at Computerworld har snakket med Nidaros Domers er den gamle websiden stengt. Listene med passord ligger stadig tilgjengelig på nett.