Det har vært litt skriverier om norske websteder som er blitt hacket.
En konsekvens av hackinga er at du som bruker risikerer at din datamaskin kan bli overtatt og kontrollert av de kriminelle hackerne.
Jeg skrev om det den 31. mai etter at digi.no hadde en artikkel om hackinga.
Digis artikkel refererte igjen til en norsk bloggartikkel fra 29. mai som jeg også linket til:
http://oppdatert.blogspot.com/2008/05/norske-nettsider-er-fulle-av-virus.html
Jeg har skriblet litt ned på en slags engelspråklig blogg den siste måneden, noe "usystematisk":
http://www.matchent.com/wpress/?q=taxonomy/term/48.
Nå har problemet også fått oppmerksomhet fra Aftenposten, TV2, NRK og flere.
Aftenposten er sjøl blitt hacka en eller gang etter 19. juni. Jeg har ikke leita så grundig, men jeg kan ikke se at de nevner det i artikkelen. Her er en liten kodesnutt fra en av Aftenpostens sider den 24. juni (lettere modifisert av meg):
script%20src=http://www.pingbnr. com / b.js
Dette er "varemerket" til det kriminelle Asprox-botnettet og det første "trinnet" mot en hijacking av hjemmePC-er.
Det nevnes at 80 statlige institusjoner er blitt hacket, mens det andre plasser brukes uttrykket "offentlige" institusjoner.
Jeg har ikke helt klart å finne "80 statlige institusjoner" som er hacket, men drøssevis av "offentlige" finnes det.
Det er heller ikke bare kinesiske hackere som står bak dette.
Pr. dato ser det ut for meg som om det er en annen gruppe hackere som dominerer og som står bak de fleste hackingene nå.
Dette nettet av kaprede hjemmemaskiner kalles for the "Asprox-botnet". Ser ut som om det er russere/øst-europeere.
Sitat fra Aftenpostens artikkel:
Både Telenor og Nasjonal Sikkerhetsmyndighet (NSM) nekter å si hvilke offentlige nettsteder som har spredd datavirus. Dette kan nemlig føre til en alvorlig svikt i tilliten til de offentlige institusjonene. I tillegg er begrunnelsen at det vil innebære svært mye merarbeid.
Min tolkning: "Vi nekter å gi informasjon til brukere av norske offentlige websteder. Dermed vil mange av disse brukerne fremdeles være hacket og være en del av nettverket til kriminelle som bruker disse hackede personlige datamaskiner til sin egen vinning. Blant annet vil datamaskiner i Norge bidra til at andre brukere blir hacket."
Tilliten er i utgangspunktet svekket og svadaprat fra Telenor og "Nasjonal Sikkerhetsmyndighet" (hvem nå enn det er) bidrar ikke til å bedre den.
Noen av de sidene som er hacket og som har vært hacket er mulige å finne gjennom søk på nettet.
Hvem har vært hacket og hvem er fremdeles hacket?Lista under er langt fra utfyllende. Den er primært basert på Google-søk. Enkelte websteder som ble hacket i mai er nå forsvunnet fra oversikten etter at det er blitt "rydda opp".
Lista er derfor basert på kjappe søk pr. dato. "Mørketallene" er antakeligvis store.
Det kan være at noen av treffene på sidene under også er et resultat av et mislykka forsøk på hacking, søket gir resultater på feilmeldingssider.
Offentlige
Kommuner/fylkeskommuner
Har rydda opp:
Bø kommune
Søgne kommune
Halden kommune
Nord-Trøndelag fylkeskommune
Ytre Namdal v.g. skole (www.ytre-namdal.vgs.no/)
Grong v.g. skole (www.grong.vgs.no/)
Olav Duun videregående skole (www.olav-duun.vgs.no/)
Inderøy v.g. skole (www.inderoy.vgs.no/)
Meråker v.g. skole (www.meraker.vgs.no/)
Leksvik v.g. skole (www.leksvik.vgs.no/)
Mære Landbruksskole (www.mare-landbruk.vgs.no/)
Et litt interessant forhold her er at det ser ut til at AdCom har lagt sine kunders sider åpne for hacking gjennom dårlig arbeid.
Både Nord-Trøndelag fylkeskommune og de videregående skoler ser ut til å være laget av AdCom.
AdCom har, eller burde også ha vært oppmerksomme på dette i mai.
Mens det i googles cache finnes et eksempel på en hacket side hos Nord-Trøndelag fylkeskommune så seint som 22. juni.
AdCom sine egne sider når det gjelder avdeling Sortland er fremdeles hacket. Og har vært det flere ganger, sist en eller gang etter 25. juni. Dette er muligens eldre sider, men de er fremdeles tilgjengelige.
Jeg lurer litt på hva Adcom egentlig holder på med.
Statlige
Har rydda opp:
Direktoratet for nødkommunikasjon - dinkom.no. Infisert en gang i løpet av mai måned.
Ikke infisert lenger.
Kulturnett.no: Den statlige portalen til kultur i Norge på nett.
Fremdeles infisert og bør ikke besøkes:
Forsvarets personellservice. Kanskje ikke helt nøyaktig å klassifisere denne som statlig ut fra beskrivelsen: "... en fast organisert spareforening som betjener sine medlemmer, uavhengig av bo og tjenestested." Målgruppen er bl.a. ansatte i Forsvaret og Sentraladministrasjonen. Ikke akkurat hyggelig for Forsvaret om slike får sine PC-er infisert.
Infisert flere ganger med linker til kinesiske nettsteder. Aktiv link nå (29. juni): qq117cc.cn, med tilhørende javascript. Domenet ble registrert 25. juni, så hackingen er av relativt ny dato. I tillegg inneholder nettstedet linker til nettsteder som nå ikke er aktive lenger. Det aktive nettstedet qq117cc.cn ligger i Singapore. Til slutt vil du ende opp på nettstedet qq117cc.cn som vil forsøke å utnytte svakheter i eldre versjoner av flash og realplayer.
Det er muligens gjort forsøk på å rydde opp eller det er eldre sider som er hacket.
Skolenettet:
Selve hovedsiden til skolenett.no ser ikke ut til å være infisert nå, men det finnes sider på underdomener som er infisert.
Infisert flere ganger, sist mellom 25. juni og 28. juni en gang.
Andre "halvoffentlige"/finansiert med offentlige midler
FN (undp.no), har mer eller mindre "deaktivert" siden, men de infiserte sidene er fremdeles tilgjengelige via søk.
Det Kgl. Selskap for Norges Vel - ser ut til å ha ryddet opp.
Hirkjølen demonstrasjonsområde, delvis finansiert av Landbruksdepartementet (hirkjolen.no) - er fremdeles hacket.
Det norske Teater - ryddet opp.
Noen eksempler på andre som har vært eller fremdeles er hacket
Harstad Boligbyggelag - ryddet opp.
Handikapforbundet - fremdeles hacket.
Bjerke Travbane - fremdeles hacket.
ViaNova Systems AS - fremdeles hacket.
Euroticket - fremdeles hacket.
K-1 Distribution AS (Demoside av nettshop?) - fremdeles hacket
annonse.no - fremdeles hacket
Det norske Veritas - ser ut til å ha ryddet opp.
Finn.no - ser ut til å ha rydda opp.
InMedia (note: Joomla?)
En drøss med aviser, inkludert (ikke infisert lenger):
Aftenposten
Sunnmørsposten
Bergens Tidende
Stavanger Aftenblad
Adresseeavisa
Dagbladet
Lista er mye, mye lengre etter flere søk ved hjelp av Google.
Men som sagt: Google fanger ikke opp alt og noen som har vært hacket for en stund siden får man ikke treff på lenger.
Antallet hackede norske domener, både offentlige og private har vært/er antakeligvis svært høyt.
Og "Nasjonal Sikkerhetsmyndighet" vil helst stikke hodet en viss plass hvor sola aldri skinner (eller i sanden hvis du heller foretrekker det) og la infiserte hjemmebrukere utnyttes i kriminell virksomhet.
Tillitvekkende?
