adeneo
Medlem
Med litt fritidsproblemer i helgen fant jeg det for godt å sjekke litt sikkerhet på tilfeldig utvalgte norske nettsider, og resultatet var egentlig ikke uventet ganske begredelig, derav spørsmålet "er sikkerheten på norske nettsider for dårlig" ?
Litt mer informasjon om hva jeg mener;
Jeg brukte noen timer på å sjekke sikkerheten på de første 100 nettsidene jeg fikk opp på Google.
Google gir meg 10 resultat per side, slik at jeg gikk fort igjennom de første 10 sidene.
Søket var på noe så trivielt som "wp-content" for å få kun nettsider som kjører Wordpress, og ytterligere snevret inn til kun .no domener, samt en ting til, som jeg ikke opplyser om for at andre ikke skal få samme søkeresultater, men det er ikke søkt spesielt etter sårbarheter, kun vanlige WP nettsider.
Jeg er forøvrig ingen hakker (kanskje litt på hobbybasis), men følger med på hvilke plugins det er oppdaget sikkerhetshull i osv. og følger nok kanskje litt bedre med enn "folk flest".
Ved å se på kildekoden, var det 6 nettsider hvor det tok nærmest bare sekunder å finne utdaterte plugins, av disse brukte 2 nettsider WordFence, som beskytter en hel del, og jeg gidder ikke bruke tid på de, men bare går videre til neste side.
De 4 resterende lot meg fritt finne innloggingsinfo for databasen deres rett i nettleseren ved å dytte inn den "rette" URL'en.
2 av de faktisk gjennom eldre versjoner av Revolution Slider, som jeg trodde alle hadde fått med seg ikke var sikker lengre og må oppdateres?
Nå har selvfølgelig ikke jeg gått videre og logget inn i databasen deres, det ville være ulovlig, men med innloggingsinfo til databasen så hadde jeg ikke trengt å knekke hashen av passordet en gang, jeg kunne logget meg direkte inn i databasen og endret hashen for admin kontoen med en hash jeg selv har laget, og tatt kontroll over nettsiden og webhotellet deres i løpet av maks 3-4 minutter.
Nå skal ikke jeg gå så veldig innpå akkurat fremgangsmåter for hacking, det ville ikke være ulovlig å skrive om det, men vi får prøve å unngå å tilrettelegge for at andre gjør noe ulovlig, det var ikke det som var poenget.
PS: Ingen teknikker som kunne skade nettstedene ble brukt, ikke XSS og ikke SQLi med ting som "drop table" eller lignende, kun vanlige URL'er som dersom de er feil utformet har den bieffekten at nettsidene viser hele databasen eller innloggingsinfo til databasen.
Dette er på ingen måte ulovlig, ei heller å knekke hasher og lignende, så fremt man ikke bruker den informasjonen til å logge inn på andres nettsider og ødelegge noe, da vil det være ulovlig, noe jeg selvfølgelig aldri gjør.
4% av Wordpress nettsider funnet på et standard Google søk kan altså hakkes av en amatør i løpet av 3-4 minutter !
Vi har da allerede fått tilgang til 4 nettsider, utelukket 2 på grunn av WordFence som vi ikke gidder å rote med, samt at en av nettsidene pussig nok allerede var hacket og "defaced" med noe greier fra Iran, med Allah Akhbar og fengende persisk musikk, og den har helt sikkert blitt tatt ned av en bot, altså var den dårlig sikret.
Neste skritt var å sjekke etter SQLi (SQL-injection).
Jeg brukte noen minutter på hver av av de resterende 93 nettsidene, og på 22 av de fant jeg nesten umiddelbart querystrings ved å følge med på adressen i nettleseren min og bare trykke rundt i full fart på alle mulige lenker (querystrings er altså når det er et spørsmålstegn i lenken, som "?page_id=3").
På noen av sidene var permalenker slått på, som betyr at det er querystrings lagt til av diverse plugins, mens på andre var permalenker slått av, ikke at det egentlig spiller noen rolle, men permalenker gjør det generelt sett vanskeligere å finne et angrepspunkt for SQLi.
Ved så å prøve noen kjente triks med å provosere frem feilmeldinger ved å putte diverse rare tegn i adressefeltet i nettleseren, hadde 7 av nettsidene PHP/SQL feilmeldinger slått på (for Guds skyld, slå alltid av feilmeldinger).
Jeg har en maskin med Kali (Linux for "sikkerhetstesting", host, host) installert, og prøvde med noen automatiserte verktøy jeg ikke nevner navn på (det ville være for enkelt å følge), og fikk ned hele databasen på alle 7 nettsidene i løpet av noen minutter, med andre ord alle brukerkontoer og passord fra Wordpress, samt alt mulig annet.
Disse verktøyene lager og prøver URL'er med diverse "kommandoer" integrert for å vise databasen, ikke noe annet.
Et godt eksempel er dersom en gyldig lenke er noe sånt som "http://nettside.no?user=3" så prøver man kanskje "http://nettside.no?user=3 AND 1=1", som kan være en injection dersom en nettside mangler totalt sikkerhet.
Nå er passord hashet i Wordpress, men det er som standard kun MD5 hashing kjørt gjennom noe som heter phpass, og det kan enkelt knekkes med Hashcat, John the Ripper eller lignende, som selvfølgelig er inkludert i Kali.
En kjapp test med noen ordlister og seks skjermkort som bråker som en traktor (GPU er raskere enn CPU), og i løpet av 20 minutter var passordet til adminkontoen for 5 av 7 nettsider funnet, som jeg selvfølgelig ikke testet å logge inn med, det ville være ulovlig.
De resterende 2 passordene kunne sikkert også vært funnet ved å bruke litt mer tid, det er som regel ikke noe problem å knekke hashene, har man først fått tak i hashene og brukerkontoene så er sikkerheten allerede brutt.
Ytterligere 7% av norske Wordpress sider kunne altså hakkes i løpet av en halvtime.
Ettersom jeg kun fikk ned databasen fra 7 av 22 nettsider valgte jeg å prøve de resterende 15 i noe som heter Havij, et vanlig Windows program jeg sjelden bruker, og helt fullstendig uventet fikk jeg ned databasen til ytterligere 3 av sidene ved å kun klikke på en knapp (?).
Altså totalt 10 sider, eller 10%, kunne hakkes med SQL injection i løpet av 15-30 minutter.
Inkludert den siden som allerede var hakket av en Iraner med fremragende musikksmak, var det mulig å få admintilgang til rundt 15% av Norske nettsider som kjører Wordpress i løpet av toppen en halvtime per side.
Flere av disse sidene var satt opp av profesjonelle byråer, og en av nettsidene tilhører en større nasjonal forening med en del brukerinformasjon i databasen, og denne siden hadde "nesten" adminpassordet til hele databasen postet på forsiden, og som tok 1 minutt å finne, . Skremmende!
Jeg laget så kjapt et script (vel, det tok et par timer) som kjørte en scan med WPscan og Metasploit på de 85 nettsidene som var igjen.
Da begynner det å bli litt mer avansert, men fortsatt på "script-kiddie" nivået, og bare 5 av nettsidene hadde ingen kjente hull.
Altså totalt var det sikkerhetshull i 95% av nettsidene som ble testet.
Det betyr ikke nødvendigvis at det er enkelt å hakke en slik nettside, dette var kun en scanning etter feil på sikkerheten som potensielt kan utnyttes.
Noen av disse hullene er også ting som XSS eller CSRF som ikke er så veldig interessante ettersom det som regel tar lengre tid og mer kunnskap å utnytte de, samt at det også er hull som kan være tettet av andre plugins, slik som WordFence eller lignende.
En kontrolltest med Arachnid fant alvorlige sikkerhetshull i 42 av de resterende nettsidene.
Jeg ville tippe rundt halvparten av de 85 nettsidene kunne hackes i løpet av et par timer per side, uten at jeg vet sikkert, det er grenser for hvor mye tid jeg har til overs.
Alt kan hackes dersom man bruker nok tid og ressurser på det, men nivået på sikkerheten på Norske nettsider ser generelt ut til å være helt elendig, kun 5 av 100 nettsider så ut til å være sikre mot godt kjente angrep i Metasploit databasen.
Dette er vel egentlig fullstendig uakseptabelt ?
Nå vet ikke jeg hvordan tallene ville vært for nettsider fra andre land, sikkert ikke noe bedre, og det er forståelig at ikke alle kan følge med på alt mulig innen sikkerhet, slik at Olsen i 4B som lager hjemmeside for borettslaget er til dels fritatt, men som nevnt var de fleste av disse norske nettsidene satt opp av profesjonelle norske byråer, og en av sidene jeg fikk tilgang til tilhørte faktisk et norsk web-byrå som reklamerte med billige Wordpress nettsider ?
Dette ble fire ganger lengre enn jeg hadde tenkt til å skrive, men kanskje det kan få mange av de som driver å setter opp slike nettsider til å lære seg et minimum om sikkerhet på nett, eller i det minste installere en av de kjente plugins'ene for sikkerhet.
Bare det å få opp meldingen "Din aktivitet på denne siden har blitt begrenset av WordFence ... slem gutt ... osv" gjør at jeg, og sikkert de fleste andre også, bare går videre til den neste på listen, og derfor virker det mot de aller enkleste angrepene.
TL;DR - 15 av 100 norske Wordpress nettsider kunne enkelt hackes av hvem som helst på under en halvtime, 95% hadde kjente sikkerhetshull.
Litt mer informasjon om hva jeg mener;
Jeg brukte noen timer på å sjekke sikkerheten på de første 100 nettsidene jeg fikk opp på Google.
Google gir meg 10 resultat per side, slik at jeg gikk fort igjennom de første 10 sidene.
Søket var på noe så trivielt som "wp-content" for å få kun nettsider som kjører Wordpress, og ytterligere snevret inn til kun .no domener, samt en ting til, som jeg ikke opplyser om for at andre ikke skal få samme søkeresultater, men det er ikke søkt spesielt etter sårbarheter, kun vanlige WP nettsider.
Jeg er forøvrig ingen hakker (kanskje litt på hobbybasis), men følger med på hvilke plugins det er oppdaget sikkerhetshull i osv. og følger nok kanskje litt bedre med enn "folk flest".
Ved å se på kildekoden, var det 6 nettsider hvor det tok nærmest bare sekunder å finne utdaterte plugins, av disse brukte 2 nettsider WordFence, som beskytter en hel del, og jeg gidder ikke bruke tid på de, men bare går videre til neste side.
De 4 resterende lot meg fritt finne innloggingsinfo for databasen deres rett i nettleseren ved å dytte inn den "rette" URL'en.
2 av de faktisk gjennom eldre versjoner av Revolution Slider, som jeg trodde alle hadde fått med seg ikke var sikker lengre og må oppdateres?
Nå har selvfølgelig ikke jeg gått videre og logget inn i databasen deres, det ville være ulovlig, men med innloggingsinfo til databasen så hadde jeg ikke trengt å knekke hashen av passordet en gang, jeg kunne logget meg direkte inn i databasen og endret hashen for admin kontoen med en hash jeg selv har laget, og tatt kontroll over nettsiden og webhotellet deres i løpet av maks 3-4 minutter.
Nå skal ikke jeg gå så veldig innpå akkurat fremgangsmåter for hacking, det ville ikke være ulovlig å skrive om det, men vi får prøve å unngå å tilrettelegge for at andre gjør noe ulovlig, det var ikke det som var poenget.
PS: Ingen teknikker som kunne skade nettstedene ble brukt, ikke XSS og ikke SQLi med ting som "drop table" eller lignende, kun vanlige URL'er som dersom de er feil utformet har den bieffekten at nettsidene viser hele databasen eller innloggingsinfo til databasen.
Dette er på ingen måte ulovlig, ei heller å knekke hasher og lignende, så fremt man ikke bruker den informasjonen til å logge inn på andres nettsider og ødelegge noe, da vil det være ulovlig, noe jeg selvfølgelig aldri gjør.
4% av Wordpress nettsider funnet på et standard Google søk kan altså hakkes av en amatør i løpet av 3-4 minutter !
Vi har da allerede fått tilgang til 4 nettsider, utelukket 2 på grunn av WordFence som vi ikke gidder å rote med, samt at en av nettsidene pussig nok allerede var hacket og "defaced" med noe greier fra Iran, med Allah Akhbar og fengende persisk musikk, og den har helt sikkert blitt tatt ned av en bot, altså var den dårlig sikret.
Neste skritt var å sjekke etter SQLi (SQL-injection).
Jeg brukte noen minutter på hver av av de resterende 93 nettsidene, og på 22 av de fant jeg nesten umiddelbart querystrings ved å følge med på adressen i nettleseren min og bare trykke rundt i full fart på alle mulige lenker (querystrings er altså når det er et spørsmålstegn i lenken, som "?page_id=3").
På noen av sidene var permalenker slått på, som betyr at det er querystrings lagt til av diverse plugins, mens på andre var permalenker slått av, ikke at det egentlig spiller noen rolle, men permalenker gjør det generelt sett vanskeligere å finne et angrepspunkt for SQLi.
Ved så å prøve noen kjente triks med å provosere frem feilmeldinger ved å putte diverse rare tegn i adressefeltet i nettleseren, hadde 7 av nettsidene PHP/SQL feilmeldinger slått på (for Guds skyld, slå alltid av feilmeldinger).
Jeg har en maskin med Kali (Linux for "sikkerhetstesting", host, host) installert, og prøvde med noen automatiserte verktøy jeg ikke nevner navn på (det ville være for enkelt å følge), og fikk ned hele databasen på alle 7 nettsidene i løpet av noen minutter, med andre ord alle brukerkontoer og passord fra Wordpress, samt alt mulig annet.
Disse verktøyene lager og prøver URL'er med diverse "kommandoer" integrert for å vise databasen, ikke noe annet.
Et godt eksempel er dersom en gyldig lenke er noe sånt som "http://nettside.no?user=3" så prøver man kanskje "http://nettside.no?user=3 AND 1=1", som kan være en injection dersom en nettside mangler totalt sikkerhet.
Nå er passord hashet i Wordpress, men det er som standard kun MD5 hashing kjørt gjennom noe som heter phpass, og det kan enkelt knekkes med Hashcat, John the Ripper eller lignende, som selvfølgelig er inkludert i Kali.
En kjapp test med noen ordlister og seks skjermkort som bråker som en traktor (GPU er raskere enn CPU), og i løpet av 20 minutter var passordet til adminkontoen for 5 av 7 nettsider funnet, som jeg selvfølgelig ikke testet å logge inn med, det ville være ulovlig.
De resterende 2 passordene kunne sikkert også vært funnet ved å bruke litt mer tid, det er som regel ikke noe problem å knekke hashene, har man først fått tak i hashene og brukerkontoene så er sikkerheten allerede brutt.
Ytterligere 7% av norske Wordpress sider kunne altså hakkes i løpet av en halvtime.
Ettersom jeg kun fikk ned databasen fra 7 av 22 nettsider valgte jeg å prøve de resterende 15 i noe som heter Havij, et vanlig Windows program jeg sjelden bruker, og helt fullstendig uventet fikk jeg ned databasen til ytterligere 3 av sidene ved å kun klikke på en knapp (?).
Altså totalt 10 sider, eller 10%, kunne hakkes med SQL injection i løpet av 15-30 minutter.
Inkludert den siden som allerede var hakket av en Iraner med fremragende musikksmak, var det mulig å få admintilgang til rundt 15% av Norske nettsider som kjører Wordpress i løpet av toppen en halvtime per side.
Flere av disse sidene var satt opp av profesjonelle byråer, og en av nettsidene tilhører en større nasjonal forening med en del brukerinformasjon i databasen, og denne siden hadde "nesten" adminpassordet til hele databasen postet på forsiden, og som tok 1 minutt å finne, . Skremmende!
Jeg laget så kjapt et script (vel, det tok et par timer) som kjørte en scan med WPscan og Metasploit på de 85 nettsidene som var igjen.
Da begynner det å bli litt mer avansert, men fortsatt på "script-kiddie" nivået, og bare 5 av nettsidene hadde ingen kjente hull.
Altså totalt var det sikkerhetshull i 95% av nettsidene som ble testet.
Det betyr ikke nødvendigvis at det er enkelt å hakke en slik nettside, dette var kun en scanning etter feil på sikkerheten som potensielt kan utnyttes.
Noen av disse hullene er også ting som XSS eller CSRF som ikke er så veldig interessante ettersom det som regel tar lengre tid og mer kunnskap å utnytte de, samt at det også er hull som kan være tettet av andre plugins, slik som WordFence eller lignende.
En kontrolltest med Arachnid fant alvorlige sikkerhetshull i 42 av de resterende nettsidene.
Jeg ville tippe rundt halvparten av de 85 nettsidene kunne hackes i løpet av et par timer per side, uten at jeg vet sikkert, det er grenser for hvor mye tid jeg har til overs.
Alt kan hackes dersom man bruker nok tid og ressurser på det, men nivået på sikkerheten på Norske nettsider ser generelt ut til å være helt elendig, kun 5 av 100 nettsider så ut til å være sikre mot godt kjente angrep i Metasploit databasen.
Dette er vel egentlig fullstendig uakseptabelt ?
Nå vet ikke jeg hvordan tallene ville vært for nettsider fra andre land, sikkert ikke noe bedre, og det er forståelig at ikke alle kan følge med på alt mulig innen sikkerhet, slik at Olsen i 4B som lager hjemmeside for borettslaget er til dels fritatt, men som nevnt var de fleste av disse norske nettsidene satt opp av profesjonelle norske byråer, og en av sidene jeg fikk tilgang til tilhørte faktisk et norsk web-byrå som reklamerte med billige Wordpress nettsider ?
Dette ble fire ganger lengre enn jeg hadde tenkt til å skrive, men kanskje det kan få mange av de som driver å setter opp slike nettsider til å lære seg et minimum om sikkerhet på nett, eller i det minste installere en av de kjente plugins'ene for sikkerhet.
Bare det å få opp meldingen "Din aktivitet på denne siden har blitt begrenset av WordFence ... slem gutt ... osv" gjør at jeg, og sikkert de fleste andre også, bare går videre til den neste på listen, og derfor virker det mot de aller enkleste angrepene.
TL;DR - 15 av 100 norske Wordpress nettsider kunne enkelt hackes av hvem som helst på under en halvtime, 95% hadde kjente sikkerhetshull.
Sist redigert: