Jeg har tidligere erfaret store sikkerhedsproblemer i computersystemerne på Aalborg Universitet. Måske burde jeg skrive blogindlæg der diskuterer hvorvidt det er funktionelt at have shell access som Apache-brugeren, at alle kan liste alles passwords, omend krypterede, og så videre. Når man taler med de sikkerhedsansvarlige, fås svaret “det er ikke en fejl, men en feature”.
Andre studerende på Aalborg Universitet, må endelig sige til, hvis de ønsker vejledning i at benytte nogle af de særlige features computersystemerne understøtter.
Nå, det kan komme senere. I dag var det to helt nye problemer der triggede.
For det første har mailserverne været brugt til spamming, fordi ansatte på universitetet giver deres login væk til fremmede. Sådan en hændelse bør man naturligvis forvente af en almindelig bruger, der bliver udsat for scamming, phising osv.
Men hvorfor er det tilladt at sende uendelig mange mails ud, med typisk blacklistede ord og emner? Og sende mails via universitetet fra alle mulige IP’er i verden (mails ud af huset naturligvis). Det er da standard at tjekke alt udgående for spam og skidt, mindst lige så hårdhændet som det indgående, for at undgå situationer som denne.
Det er en normal sikkerhedsprocedure at systemet skal undre sig og reagere, hvis sådan noget pludselig sker. Og hvor naturligt er det at lektorer og professorer pludselig sender bunker af mails afsted om sexpiller, hurtige pengelån, eller ligefrem med virus i?
Jeg håber de sikkerhedsansvarlige står frem og fortæller hvad de gør for at beskytte os brugere i fremtiden.
Men det var nu det mindste.
Så vidt jeg kan se, er minimum http://esn.aau.dk/ kompromitteret. Måske dybere end det også.
Går man ind på http://esn.aau.dk/masters/, og kigger på destinationerne på “Description” linksne, ender de på index.php?id=http://braidsout.com/rootlab.jpg?
rootlab.jpg er et ondsindet script, der bl.a. er nævnt her, hvor det står på listen over scripts til web-angreb eller trojan/worm-relateret.
Måske er det “bare” en injection sårbarhed i det Typo3 der kører bagved (I så fald er der nogen der har glemt at holde det opdateret!), men det kan lige så godt være meget dybere, hvor selve maskinerne er kompromitterede. (For at vende tilbage til spam-episoden, så giver mail-login forresten samtidig adgang til ssh-login der).
Udfra googles cache er linksne ændret d.27. august 2008. Det vil sige at der er gået flere døgn, før det offentliggøres at siden er hacket. Hvorfor har den sikkerhedsansvarlige ikke reageret? Der må være noget Intrusion Detection System, der har råbt højt. Er der tjek på hvem der logger ind, og hvem der ændrer hvad, på hvilke sider? Og er der nogen der nogensinde læser de vigtige logfiler?
Det er også bemærkelsesværdigt at kompromitteringen sker så tæt på studiestart, hvor http://esn.aau.dk/ er ekstra meget benyttet af alle de studerende, for at finde semestersider, studieaktiviteter og lignende.
Nu de to hændelser ligger så tæt på hinanden, er det da muligt der er sammenfald. Det skal dog siges at nyheder om spam-misbruget ikke fortæller hvilken afdeling af universitetet det er sket i. Men sikkerhedspolitikkerne er vel fastlagt ens i alle afdelinger? Det hører vi nok om.
De sikkerhedsansvarlige skal naturligvis også huske at de features med at alle brugere kan liste alles logins, sandsynligvis også er benyttet af de hackere der bl.a. sendte spam via de ansattes konti.
Jeg ser frem til en god redegørelse for hvad der er sket, og endnu mere hvad der skal ske i fremtiden, således at sådanne hændelser ikke gentager sig.
Tak for at gøre os opmærksomme på problemet. Vi har fjernet orme-linket ved at rydde TYPO3s cache, hvilket tyder at der har været udnyttet en fejl i TYPO3, som vi lige nu arbejder på at finde.
Det var HUM (en anden IT-addeling) der var uheldige med at en bruger hoppe på en fordansket phising-mail. De 2 hændelser har ikke nogen relation.
Lækkert Per. Det er godt at se der sker noget hurtigt, når man en sjælden gang råber op
Pingback: Aalborg universitet hacket igen, igen | Weblog for Lars Sommer
Pingback: Aalborg universitet hacket igen, igen, igen | Weblog for Lars Sommer