Under senaste veckan har ett mycket stort antal sajter i hela världen levererat elak programkod till sina besökare. Närmare bestämt ett script som försöker ladda flera olika exploits, såvitt jag kunnat se är samtliga inriktade på säkerhetshål i Internet Explorer.
Inget nytt i den delen, det handlar om hyfsat kända problem som ”bara” drabbar den som envisas med att använda Internet Explorer. Det som är intressant och skrämmande är mängden sajter som laddar scriptet för den intet ont anande besökaren.
Bland de drabbade hittar man sajter från FN, flygbolag och ambassader. Resesajter, privata sajter, forum och många andra. Kort sagt, sajter som man besöker utan att ha anledning att tro att de vill skada ens dator. Vid en snabb kontroll igår hittade jag ett helt gäng svenska sajter som drabbats.
Det de här sajterna har gemensamt är att de är databasdrivna. Det innehåll som visas för besökaren finns inte lagrat som HTML-sidor i textfiler utan ligger istället i en databas. Det gör att sajternas ”redaktörer” via ett administratörsgränssnitt enkelt kan uppdatera innehållet, lägga till artiklar eller ändra rubriker och texter.
Problemet är att om den illvillige hackern Filip Fjunmustasch lyckas ändra i databasen, så kommer hans ändringar att visas för sajtens besökare. Den snabbtänkte läsaren tycker nu förstås att den som äger sajten borde se till att Filip inte kan ändra i databasen. Det är så sant, men det är inte alla sajtbyggare som har tänkt så långt.
Bombmatta
Veckans angrepp är inte på något sätt riktat mot specfika sajter. Det är en bombmatta som lagts ut, praktiskt taget varenda sajt i världen har blivit utsatt för ett intrångsförsök men bara de sajter som varit sårbara har drabbats. Nu är det förstås inte fråga om en miljon kineser som manuellt suttit och besökt alla sajter i världen utan en programvara som systematiskt bearbetat alla sajter.
Den teknik som använts kallas SQL Injection och innebär att man som besökare på en websajt tillåts skicka ett SQL-kommando till sajten som glatt skickar det vidare till databasen utan att fundera över om det är klokt eller inte.
I de fall angreppet lyckats har javascript-kod lagts in i databasen och därmed visats för besökarna. De besökare som använt Internet Explorer har hämtat hem scriptet och i alltför många fall drabbats av elak kod som installerats i deras dator.
När jag skriver detta ser det ut att vara mer än 700 000 sajter som drabbats (en enkel google-sökning visar ett ungefärligt antal). Många systemadministratörer och webmasters torde ha slitit sitt hår de senaste dygnen. Hur många användare som fått sina datorer infekterade för att de besökt någon av dessa sajter vill jag inte ens tänka på.
Vad kan man då lära sig av detta?
Som användare kan du se till att inte använda en trasig webläsare. Oavsett vilken du föredrar ska du se till att den är uppdaterad, även en version som bara är några månader gammal kan innehålla säkerhetshål som Filip och hans kompisar redan hittat. Ett uppdaterat virusskydd hjälper också.
Om du varit med om att bygga någon av de drabbade sajterna så kanske du borde överväga att byta yrke. Eller om du trivs med det du gör, se till att lära dig allt du behöver för att göra ett bra jobb. Ta ansvar för vad du levererar.
Svenska bloggar om SQL Injection, hacking, hackerangrepp, Filip Fjunmustasch