07 September, 2009

FOR-THE-LULZ!!!



Et hacker-forum i Australia, kalt "r00t-y0u.org", har vært under etterforskning av australsk politi i det siste. Politiet sier det er mistanke om en kriminell hacker-kultur på rundt 5000 medlemmer.

Men det latterlige med hele situasjonen, er hvordan politiet brukte den aktuelle teknologien (som de påstår hackerne misbruker) selv i etterforskningen.

Det som skjedde så er hovedsaklig grunnen til hvorfor hackere blir negativt omtalt i media. Spesielt i artikkelen som er linket i slutten av dette innlegget, hvor den aktive hackeren fra forumet, blir omtalt som "den" og "det", selv om det fremgår i politi-forklaringene at det tydeligvis er snakk om en mann.

Politiet hadde i forbindelse med nettopp slike saker opprettet et såkalt "stand-alone" system som kjørte med SQL-database og PHP (web-scripting). Hackeren som er omtalt i artikkelen, benyttet såkalt "SQL-injection" (som betyr å injisere ikke-autentisert data inn i en database, som regel PHP-skripts), for så å hente frem skriptkoden og benytte XSS ("Cross Site Scripting", som regel brukes dette for å hente frem intern-sensitiv kritisk informasjon ut mot det offentlige Internett) for å hente frem intern data, ut mot offentlig visning.

Grunnen til at dette i det hele tatt var mulig, var fordi den ansvarlige for dette "stand-alone" systemet, ikke hadde satt SQL passord. Databasen var totalt åpen for fritt og fullt innsyn.

Jeg holder med hackeren i at det blir for dumt når oppdragskritisk informasjon ikke engang blir beskyttet tilstrekkelig nok til at slike sikkerhetsbrudd utelates. "Ja, vi vet at det er åpent, men det er klart merket opp at det er ulovlig å aksessere denne informasjonen dersom man ikke er autorisert"

Nå har vi jo faktisk veldig bra eksempler på dette hjemme i kalde Norge også. Husker noen "krisen" når politiets og tollvesenets nasjonale IT-systemer nærmest kræsjet p.g.a. et enkelt Windows-virus tilbake i Mars-April i år?

FFS...

Link til engelsk artikkel:

0 kommentarer :

Post a Comment