I februari i år hittade säkerhetsexperten beNi ett XSS-problem på Googles inloggningssida. Se en skärmdump på denna "säkra" SSL-sida kunde utnyttjas innan den tätades av Googles utvecklingsteam.
Google har enligt uppgift tackat beNi för hans upptäckt men han blev lite besviken på att man inte gjorde mer för honom. Jag förstår honom. Ett företag av Googles storlek borde kunna visa lite större uppskattning, mot de snälla hackers, som hjälper till att säkra deras applikationer helt av eget intresse.
Eftersom beNi inte kände sig nöjd med responsen från Google, väljer han nu att i framtiden inte kontakta dem innan han avslöjar fler brister.
Nu avslöjar han således bevis för hur en datorbrottsling skulle kunna komma åt alla kontakter i en användares Gmail-konto och även Google Authentication Token. Dessa finns att få tillgång till genom en sida som genererar ett prydligt XML-dokument. Riktigt skrämmande faktiskt. Om du är inloggad i Gmail så kan du prova att surfa till denna adressen så ser du själv.
BeNi fortsätter sedan med att visa hur dessa uppgifter kan utnyttjas. Till detta behövde han en ny XSS-brist hos Google. Läs mer på hans blogg för bilder och förklaring hur detta går till. Jag har även sparat en skärmdump på sista steget i demonstrationen, här ovan.
Så från och med nu vet vi att Gmail-uppgifter inte är säkra. Det räcker med ett litet XSS-hack för att komma åt alla Gmail-kontakter. Så när dett nu är allmänt känt så rekommenderar jag dig att vara försiktig med vilka länkar du klickar på som går till Google. Vid minsta tveksamhet om källans ursprung bör du inte klicka på länken.
Själv använder jag inte Gmail så mycket och har bara en kontakt där så det känns inte så farligt för mig. Men att även verifieringsnyckeln finns så lätt åtkomlig känns riktigt otryggt. Jag vill inte att någon ska kunna ta över min Google-inloggning och börja leka med mina Adsense-konton och andra tjänster som jag använder.
Månhus rapporterar att Expressen.se har gjort om designen på sin sajt men man är inte imponerade. Det påpekas att URL-strukturen har gjorts om och att många gamla adresser inte fungerar längre. Något som W3C rekommenderar att man inte bör göra.
Vidare kan man läsa hos Beta Alfa att den nya sajten inte är helt klar och att man siktar på att ha den färdig tills på tisdag. Efter detta ska man släppa nya delar och förbättringar. I kommentarerna kan man även läsa att man använder XHTML Strict fast sidan validerar ej. Och även att det numera finns en version anpassad för mobiler.
Vi har tidigare klagat lite på Expressens röriga design när vi skrev om Bildtkriget. Nu har man fått till ett något mer samlat intryck, även fast det är lite väl packat med information och för lite luft emellan. Enligt min personliga smak alltså.
I samma veva upptäckte vi även ett XSS-hål på Expressens sida. Den 23 februari mailade vi deras nyhetsredaktion för att meddela om bristerna. Vi fick tyvärr aldrig något svar så vi vet inte om detta kan ha varit till någon hjälp.
Nu är i alla fall sårbarheten fixat. Man har flyttat sidan. Kan också konstatera att de nya inloggningsfunktionerna håller en högre säkerhetsstandard.
Tidigare var det riktigt dåligt. Man avslöjade alldeles för mycket av sin interna struktur och det var lätt att förstå hur deras inloggningsfunktioner till bloggarna var uppbyggda. Här publicerar jag nu den XSS-attackvektor som jag fann på Expressen innan ombyggnaden.
Hoppas att det kan hjälpa andra utvecklare att inte göra samma misstag. Bristen var av väldigt vanlig typ och ledde till att vem som helst kunde köra egna Javascript på Expressens domän.
Det här blir man ju bara förbannad på. En lärare lämnade eleverna med en dator i några minuter. Barnen surfade själva in på en hemsida för hårvård. På hemsida råkade det finnas en länk till en sida med pornografiskt innehåll.
Nu infekterades datorn med en så kallad trojan och mängder av nya fönster poppade upp med sexuellt innehåll. Den stackars läraren försökte febrilt stänga ner fönstren allt eftersom de kom upp nya. Många av er som läser detta har nog råkat ut för ungefär samma sak. I alla fall för några år sen innan webbläsarna började införa popup-blockerare.
Nu åtalas hon och riskerar ett maximalt straff på 40 års fängelse. Åtalar sidan menar att hon kunde ha slängt ett skynke över datorn och på så sätt skyddat barnen. Inte så lätt att tänka över detta om man inte är så datorkunnig och kämpar med att få bort elaka fönster, säger jag.
Så om du är lärare och bor i Eastern Connecticut, så rekommenderar jag dig att slå sönder monitorn så fort något liknande händer. Om du inte råkar ha ett skynke i närheten menar jag. Det blir bra mycket lindrigare att betala den räkningen än att riskera fängelse. Var det nån som nämde att det finns galningar i USA?
Under vår diskussion sa jag att det skulle vara intressant att veta hur säkerheten ser ut på den svenska webben. "beNi" som säkerhetsexperten kallar sig erbjöd sig att ta en koll på några sajter om jag skickade honom en lista. Jag tog några som var i färskt minne och har varit ganska aktuella på nätet det senaste.
Nu fick jag ett svar från beNi som har undersökt säkerheten på några av sidorna. Han orkade bara att undersöka DN, SvD och Twingly. De andra tre tyckte han laddade för långsamt för att han skulle orka jobba med dem (även fast han har en 6MBit-uppkoppling).
BeNi hittade en hel del osäkra sidor inom loppet av några minuter. Både DN och SvD innehåller luckor i säkerheten som man kan läsa i sammanställningen på hans blogg. Där finns även fem exempel på länkar som visar hur säkerhets-luckorna kan utnyttjas.
Exempel på säkerhetsluckor
De länkar han hittade på DN, SvD och Koll.se finns här under. Jag har även laddat upp skärmdumpar på hur sidorna ser ut när man besöker dem för tillfället. Observera att det inte är farligt att klicka på just dessa länkar. Men ser du några liknande länkar från en okänd källa så skulle jag definitivt avråda från att besöka dem.
Man kan alltså kontantera att Twingly klarade sig bra mot XSS-attacker. Sajten använder ASP.NET där mycket av skydden är inbyggda. Microsoft har som tur är insett att hoten är väldigt allvarliga och även gett ut speciella API:er som man kan skydda sina projekt med. Jag kommer att återkomma om dessa i senare artiklar.
För DN som använder Java och SvD som kör klassisk ASP gick det alltså inte så bra för i testet.
Utvecklare måste vakna
Det är lite pinsamt att se hur så här stora nyhetssajter inte har total koll på säkerheten. Webmasters måste vakna och förstå de nya hoten som hela tiden ökar mot webbplatser. Sajter med svagheter hotar inte bara den inre strukturen, utan själva grejen med cross-site-scripting är att det kan användas i attacker mot andra mål.
Uppdatering: Twingly indexerar XSS-länkar! Märkte just att en länk till det här inlägget dök upp på SvD. Det var inte min mening, men visar att Twingly inte verkar har något filter mot XSS. Eller så får vi hoppas på att de har kapat bort de sista querystringsen i länken. Hur som helst borde inte systemet godkänna den länk som jag kallar "säkerhetsproblem 5" här ovan. Att artikeln på SvD handlar om säkerhet och har överskriften "Jakten på trygghet gör oss otrygga" var ju endå lite ironiskt. Det visste nog inte vår tyska vän när han valde ut målet. Och jag hade inte sett innehållet när jag postade detta eftersom den riggade länken gömmer hela det riktiga innehållet. Nåväl, nu kanske SvD och Twinglys utvecklare får upp ögonen lite snabbare.
Uppdatering 2: Vi är glada att Primelabs (som utvecklar Twingly) har tänkt igenom XSS-hoten. Martins upplyser oss i kommentarerna om att deras system normaliserar urlerna innan de sparas. Vi vill också passa på att förklara att det inte är någon fara att surfa på någon av de webbplatser som har nämnts i denna artikel. Det finns dock en risk att utomstående sajter kan lägga ut länkar till DN och SvD som på något sätt kan vara ett hot mot säkerheten. Eller skicka länkar via email eller chatt-system. Det är också värt att påpeka att såna här sårbarheter är väldigt vanliga. Det visar inte minst det faktum att säkerhetsexperten beNi kunde hitta problem på två av de tre webbplatser han försökte med.
Uppdatering 3: Nu har tydligen DN också länkat till denna artikel genom Twingly. Det kan jag inte riktigt förstå eftersom XSS-länkarna till DN inte verkar ha alls samma adress. Länken "Säkerhetsproblem 2" går visseligen till nån inloggningssida som innehåller id-numret för den artikel. Det visar att Twingly har rätt stor dynamik på systemet för att länka rätt. Det är artikeln "Över 70 döda i nya bombdåd i Irak" som länkar hit. Nu ser jag ett litet problem med Twingly tjänsten. Hur får man bort länkar man inte vill ska hamna där? Måste man anmäler man dem som olämpliga? Ett enklare tillhandagångssätt för att ta bort sina egna länkar hade underlättat. Om ni på DN som kollar på detta imorgon läser detta så får ni gärna plocka bort länken. Den är ju inte direkt relevant i det sammanhanget. Om ni vill läsa andras funderingar om Twingly och relevans på nyhetssajterna så kan ni ju alltid börja på BetaAlfa.
Uppdatering 4: Jag beslutade mig för att ta bort länkarna tills vidare. Detta så att utvecklarna ska kunna få tid att lösa problemen i fred. Tror inte att dessa länkar skulle kunna användas till att ställa till någon speciell skada. Ville mest visa att man kan hitta dem på de flesta webbplatser och visa ett verkligt exempel. Sen var jag ju inte heller först med att publisera länkarna publikt. Ifall DN och SvDs utvecklare (SvD har hört av sig och tackat för mitt tips) vill ha länkarna så kontakta mig på info [at] codeodyssey.se. Annars bör ni kunna hitta dem i er besökarlogg.
Uppdatering 5: SvD har fixat problemen på sin sajt. Grattis till att det gick så fort, det var imponerande! Jag har lagt fram dessa länkar igen i utbildningssyfte till andra utvecklare. Ett annat skäl till att jag vill ha kvar länkarna är att jag vill studera hur sökmotorerna kommer att reagera på dem. Kommer de till exempel fortfarande fungera i de cachade versionerna hos Google? Det ska bli intressant att följa vad som händer.
Uppdatering 6: Vi är glada att lägga märke till att DN nu också har fixat säkerhetsproblemen. Båda sajterna lyckades alltså täppa igen hålen på bara 1-2 dagar vilket är riktigt bra.
Fick ett varningsmail från leverantören av SSL-certifikatet på en webbplats jag har hand om. Mailet sa att det bara är 7 dagar kvar och det kändes lite stressande. Utan certifikatet slutar den säkra kassan att fungera som är så viktigt för e-handelsidan. Eftersom den person på webbhotellet som har hand om det i vanliga fall är på lång semester så fick jag ta tag i förnyelsen själv.
Det hela visade sig vara en rätt omfattande process med cirka 13 steg eller så. I min inkorg finns nu 5 stycken mail med info om verifiering och bekräftelse. Ett något mer udda steg var när jag fick ange telefonnummer och blev uppringd av en automatisk telefon. Där fick jag mata in ytterligare en säkerhetskod och även lämna ett prov på min röst.
Hur som helst gick hela processen väldigt bra och jag fick hela tiden välskrivna instruktioner. Här finns t ex ett exempel på hur man installerar SSL på en IIS-server. Många av de var på svenska men saknade dock rätt tecken-kodning så man fick gissa sig fram på ÅÄÖ.
Jag kan varmt rekommendera GeoTrust om du behöver ett SSL-certifikat. Det fungerar väldigt bra, även om säkerhetstänket har gått lite över styr.
Recension från en annan som lämnar ungefär samma betyg går att läsa här.
När man jobbar inom IT brukar man komma i situationer där användare klagar på att "internet är trasigt". Hehe, brukar nätverkssupportern skrocka, hela internet är väl endå inte paj? Du menar väl uppkopplingen till din dator.
Internet känns onekligen oförstörbart men det stoppar inte illvilliga terrorister från att försöka ta ner det. Igår skedde det allvarligaste försöket sedan 2002 och tre stycken av de 13 rotservrarna var ur bruk. Förövarna är okända och det blir nog lika svårt som förra gången att försöka spåra dessa. Man använde sig av ett stort så kallat zombie-nät (övertagna datorer) och riktade överbelastningstrafik mot de viktiga DNS-servrarna. Vi nämnde förresten för ett år sen att detta är det smartaste sättet att försöka ta ner hela internet.
DN skriver mer om det och lika så SvD. Genom den senare nyhetssajten hittade jag till Jan Kallbergs blogg som fortsätter att resonerar om vad som skulle hända om stater började kriga på nätet.
Det är ju givetvis väldigt allvarligt med nätattacker av detta slag men ändå inte lika farligt som verkliga krig. Något som skulle kunna det bästa vore väl om stater och terrorister fick en virtuell arena att kriga på, så de slapp störa oss övriga medborgare. Typ en egen ö på Second Life eller nåt.
IDG har tydligen också skrivit om attacken ser jag via min RSS-läsare. Deras hemsida kommer jag dock inte in på för tillfället. Är det internet som är trasigt nu igen, eller är det möjligen min uppkoppling eller IDG's server som spökar?
Listan riktar sig främst till "black-hat"-optimerare som kan använda sårbarheterna för att injicera sin egen kod på url:erna för webbplatserna, och på så sätt kunna lägga in egna länkar och nyckelord. För att spamma sökresultaten alltså. Bredvid varje adress finns PR-värdet utskrivet så de lätt ska kunna välja ut mål som lönar sig.
Listan visar just nu framför allt tyska adresser men även en dansk webbshop finns med. Inga svenska adresser än så länge. Att listan toppas av det kända säkerhetsföretaget Verisign är minst sagt lite oroväckande. Just denna sårbarhet har jag inte haft möjlighet att bekräfta eftersom man måste be om tillgång från sajtägarna.
Många av de andra säkerhetshålen fungerar dock och personerna som driver sajten visar exempel på sårbarheter med reklaminlägg för deras egna tjänster de erbjuder att förklara hur man stoppar säkerhetsproblemen.
Eftersom XSS-kod är vanlig javascript så är svårigheten att skilja på elak kod från den ordinära. Varje kodbit kan även skrivas med stort antal variationer genom att t ex använda hexdecimala tecken som försvårar identifiering ytterligare.
Så länge sökmotorerna fortsätter att indexera dessa övertagna adresser så kommer problemen att fortsätta. Det är inte heller många sajtägare som ännu har fått upp ögonen för denna typ av attack. Risken att bli avstängd från sökmotorerna är så stor om du har sårbarheter som dessa och en illvillig person börjar att utnyttja dem för att sprida eget innehåll som visas under din domän.
Uppdatering: Jag blev just kontaktad beNI som äger sidan jag skrivit om. På hans begäran har jag gjort en översättning av inlägget till engelska.
Silicon Valley företaget Trusted ID, lanserar nu tjänsten Stolen ID Search, där man kan göra sökningar på sitt kreditkortsnummer för att se ifall det har hamnat i orätta händer. De samlar dessa data i nätets mörkaste gränder där kriminella utbyter uppgifter, och säger sig ha över två miljoner kreditkortsnummer i sina register.
Man erbjuder även sedan ett år tillbaka IDFreeze som är en aktiv säkerhetstjänst där de hjälper konsumenter att skydda sin identitet och betalningsuppgifter mot en årsavgift på ca 600 kr.
Här på Code Odyssey jobbar vi mycket med e-handel och kommer ofta i kontakt med oroliga kunder som har frågor rörande säkerhet på internet. I dessa tider med nordeabrev och ett allt ökande nätfiske är det naturligt att många känner sig otrygga när de handlar på internet.
Ibland händer det att webbplatser vi jobbar åt blir måltavla för bedrägeriförsök, alltså att kriminella försöker använda stulna uppgifter. Oftast tar bankerna hand om detta men ibland får man rycka in som extra detektiv. Då kan Stolen ID Search vara ett bra verktyg att ha arsenalen.
Men man måste påpeka att det gäller att vara väldigt försiktig på nätet. I vanliga fall skulle vi inte rekommendera att skriva in några uppgifter på någon liknande tjänst. Stolen ID Search verkar dock vara riktigt seriös och eftersom man endast skriver in själva kortnummret så är det ingen fara. För att använda ett kort i bedrägerisyfte behöver ju skurkarna ha fullständiga uppgifter så som personuppgifter, säkerhetsnummer och giltighetsdatum.
Släktforskningstjänsten Geni har under de första dagarna som man haft uppe sin betaversion blivit omåttligt populär och har fått stor uppmärksamhet. Personligen gillar jag verkligen sajten och har haft mycket roligt tillsammans med min familj när alla släktingar har poppat upp under veckan.
Tjänsten har dock haft en hel del problem. Man hade inte räknat med den stora tillströmningen av användare och sidan har stundvis legat nere. De har varit ganska bra på att hålla användarna informerade via den officiella bloggen men inte på när det gäller alla problem. Många användare har nämligen råkat ut för att hela deras släktträd har raderats. Inte allt för kul när man har spenderat tid på att mata in all data. Detta har man inte bett om ursäkt för eller ens nämnt i bloggen.
Att vissa typer av familjerelationer inte är möjligt att mata in har också klagats på som att t ex att det inte går att mata in homosexuella par, adopterade barn eller andra annorlunda familjeförhållanden. Men detta är ju inget man direkt kan klaga på tycker jag, det är ju faktiskt en beta vi har att göra med. TechCrunch sammanfattar fadäserna och länkar till kommentarer från användare som råkat ut för strul.
Något som jag tycker är lite allvarligare är säkerhetsaspekten, hur säkra är våra uppgifter egentligen? Är det smart att skriva in för mycket information på sajten som t ex ens mammas namn som barn. Detta är ju en ganska vanlig säkerhetsfråga på banktjänster.
Jag gjorde häromdan en ganska skrämmande upptäckt när jag av en slump sökte runt på sajten (läs kommentarerna till det tidigare inlägget jag skrev om Geni). Hittade en publik xml-fil innehållande url:er till användares bilder och kunde lätt bläddra igenom dessa. Jag har kontaktar Geni angående detta men ännu inte fått något svar. Förhoppningsvis var det bara testdata jag hittade.
En sak är jag säker på i alla fall, de bilder man laddar upp är absolut inte säkrade för insyn. Alla bilder ligger på publika adresser. De har i och för sig ganska krångliga URL:er men det är nog inte omöjligt att hitta ett mönster i dessa och på så sätt kunna se andra användares bilder.
På förstasidan av sajten står det så här:
Geni is private and sequre: only the people in your family tree can see your tree and profile
Så Geni's uttalande får man ta med lite sanning i modifikation, dina bilder är INTE säkra!
Hur som helst tror jag inte dessa små bakslag kan stoppa sajtens framgångar. Vi kommer nog snart få se hur de har tänkt att tjäna pengar på dessa data.
Idéen med med släktträdet är genial och det kommer nog efterföljare som vill utmana på området. ZOOF.com är ett exempel på en sådan, som också precis har börjat att erbjuda användare testkonto, och de är givetvis också i beta-läge. jag har inte provat på tjänsten ännu men att de erbjuder tjänsten på 35 olika språk, svenska inkluderat, är imponerande.
Den norska webbläsarleverantören Opera meddelar nu att man släpper en patch som tätar igen säkerhetshålet i Adobes insticksmodul för PDF-filer. Ett bra initiativ eftersom det hjälper till att skydda de användare som ännu inte har uppdaterat till Acrobat Reader version 8.
Har ännu inte sett någon respons från de andra stora leverantörerna av webbläsare, hoppas att de också inser vikten av att hjälpa till att täta igen detta farliga hål.
Operas patch innehåller bara 5 rader kod, och stoppar javascript att fungera vid filändelsen .pdf:
opera.addEventListener('BeforeJavaScriptURL', function( e ) { var pathname=unescape(self.location.pathname.toLowerCase()); var hash=unescape(self.location.hash.toLowerCase()); if( pathname.indexOf('.pdf')>-1 && hash && hash.indexOf('javascript:')>-1 ) e.preventDefault(); }, false);
