De voorbeelden die ik gaf zorgen dat een hacker een PC met Windows met Internet Explorer kan overnemen nadat de computer een besmette site heeft bezocht en het besmette plaatje of scriptje heeft geladen.

Vandaag blijkt dat ook de nieuwste versie van OS X voor de macintosh, versie 10.4 alias Tiger, ook vatbaar is voor een speciaal aangepast plaatje. Hoewel de hacker geen controle krijgt over de bezoekende macintosh, kan het inlezen van zo'n plaatje wel de Apple browser Safari  en andere applicaties zoals de Finder en Voorvertoning crashen. Het probleem zit blijkbaar in de gemeenschappelijke Image Display engine ImageIO, die met zulke plaatjes crasht en alle applicatie die ervan afhankelijk zijn, volgen dat voorbeeld. Na het bezoek kunnen de applicaties zonder problemen weer worden opgestart.

Browsers zoals Firefox, Mozilla, Netscape en Camino die gebaseerd zijn op de Gecko engine gebruiken ImageIO niet en zijn onkwetsbaar voor deze exploit.

Macintosh gebruikers met Tiger kunnen met Safari het weblog van de uitvinder van dit probleem bezoeken. Ten overvloede: PAS OP: deze link bezoeken met Safari zal Safari, Voorvertoning, en de Finder laten crashen.

Defaced

Vanmorgen bleek een site van een leverancier van een klant van mij "defaced" te zijn, door iemand die claimde uit Turkije te komen. De site draaide op het open source systeem Mambo, waarin regelmatig problemen worden gevonden. Belangrijkste reden daarvoor is dat Mambo niet ontwikkeld is met veel aandacht voor veiligheid en dat het heel veel gebruikt wordt, waardoor hackers en hackertjes zoals script kiddies veel aandacht hebben voor dit systeem.

Een andere systeem waar ik vaak problemen mee heb gehad is PHPbb, een forum oplossing geschreven in PHP en MySQL.

Het blijkt toch heel moeilijk voor veel programmeurs om in PHP en MySQL een flexibel en toch veilige oplossing te schrijven. Vooral systemen die een paar jaar geleden kleinschalig zijn begonnen, toen veiligheid nog niet zo'n groot probleem was en hun makers enthousiaste hobbyisten, blijven vaak kwetsbaar omdat de gemeenschap de stap niet maakt naar een nieuw ontwerp gericht op veiligheid.

Slimme hackers

Hoewel defacing van vervelend is en afbreuk doet aan de naam van een organisatie zijn script kiddies meestal geen groot probleem. Alle bezoekers zien meteen dat de site niet de normale is en waarschuwen de eigenaar.

Een groter probleem wordt het als de hacker in kwestie wat slimmer is dan de gemiddelde schreeuwlelijk. Zo'n hacker kan dan bijvoorbeeld kwaadaardige code installeren die hem toegang blijft geven tot de website, bijvoorbeeld door usernames/wachtwoorden van iedereen die inlogt te verzamelen. Een andere mogelijkheid is het opzetten van een deel van de website voor eigen gebruik om bijvoorbeeld illegale software op te slaan. Dit nieuwe adres wordt uitgewisseld met vriendjes en het bedrijf betaalt voor het netwerkverkeer en opslagruimte.

Tot slot worden er regelmatig problemen met javascript code, of gevonden in browsers, met name Internet Explorer. Niet lang geleden bleek bijvoorbeeld dat het mogelijk was een JPG-plaatje te maken dat als het door Internet Explorer werd ingelezen, een hacker toegang gaf tot de totale PC. Oplettende lezertjes zien de mogelijkheden al. Een hacker vervangt op een bestaande site een belangrijk plaatje door een gemanipuleerd jpg-plaatje met hetzelfde uiterlijk en krijgt op die manier toegang tot de PC's van alle bezoekers. De beheerder van zo'n site met wel erg oplettend zijn om te zien dat zijn plaajte vervangen is door een ander.

Update: Deze post stond nog geen vijf minuten op mijn site toen ik bij webwereld een artikel las, waarbij gemanipuleerde ActiveX code binnen Internet Explorer een PC open zet voor een hacker. En zoals hierboven beschreven, duikt deze code inderdaad op bij normale websites, waar hackers blijkbaar toegang toe hebben.

Oplossing

De beste oplossing is om een goed en veilig webplatform met veilige componenten te gebruiken. Mambo, en veel andere oplossingen, zowel open source als closed source zijn niet veilig en kunnen alleen voor eenvoudige dingen worden gebruikt door beheerders die de site goed in de gaten houden op manipulatie. Helaas kiezen bedrijven met wenig kennis juist voor dergelijke eenvoudige systemen met als gevolg dat een dergelijke site onbetrouwbaar is.

Verder is het noodzakelijk zeer regelmatig te updaten. Vrijwel ieder CMS of ontwikkelplatform heeft een announce mailing list waar nieuwe updates en secrity problemen worden gemeld. De systeembeheerder van uw bedrijf moet zich daarop abonneren om op de hoogte te blijven. En als er een probleem is, update dan de site snel voordat een hacker uw site heeft gevonden.

Maar ook de bezoeker heeft een eigen verantwoordelijkheid. Update de browser waarmee u werkt altijd als de maker ervan aangeeft dat er een veiligheidsprobleem is. Gebruik ook het liefste veilige browsers. Helaas is Internet Explorer 6 een browser die veel veiligheidsproblemen kent. Op dit moment is Firefox een betere keus. De browser kent minder veiligheidsproblemen, die bovendien vrijwel nooit zo ernstig zijn als in Internet Explorer en altijd heel snel worden opgelost.