Angrepp mot det fria ordet
Angrepp mot media är alltid ett angrepp på det fria ordet, yttrandefriheten och till slut också mot demokratin. Denna nättidning och systersajten ”firmabok.intre.se” har återigen angripits genom hackningsförsök. Det skall först sägas att vi saknar hackerkunskaper. Det vi lärt oss hur man skyddar sig har vi lärt av en expert på området.
Så här gör de och så här stoppas det
Den/de som ligger bakom detta har försökt att logga in genom att ange en php-kod som kan få inloggningskoden att godkänna hackaren och som inloggad kan ta över tidningen. Väl där inne kan jag stängas ute från att komma in och hackaren kan i lugn och ro skriva om alla inlägg eller helt enkelt förstöra tidningen helt. Metoden kallas för ”SQL injection” och går ut på att utnyttja en svaghet i systemet genom att i inloggningsrutorna skriva in exempelvis ’ OR ’1’=’1. Det som skrivs in i inloggningsrutorna går genom en ”WHERE”-sats och med hjälp av den inskickade (injection) ordet ”OR” jämförs 1 mot 1 som returnerar svaret ”TRUE” alltså att inloggningen stämmer och hackaren är inne. Så här kan meddelandet som skickas till databasen och godkänns se ut: SELECT username FROM usertable WHERE username = ’’ OR ’1’=’1’ AND password = ’’ OR ’1’=’1’. Som med allt annat kan detta stoppas på olika sätt. Det vanligaste är att man lägger till escape-tecknet \ till tecknet ’ och blir då så här: \’. Med den metoden ser meddelandet till databasen ut så här: ’’ OR \’1\’=\’1\’. Escapetecken i koden är egentligen till för att strängar skall läsas korrekt där det annars kan förväxlas. Exempelvis kan inte denna sträng läsas av php-motorn på servern: ’jag gick ut för att ’stjäla’ mat’. Det går inte läsas därför att ciationstecknen är fler än två. Strängen kan inte läsas om citationstecken omsluts av andra citationstecken. Det löser man genom att lägga till escapetecknet \. Då blir koden så här: ’jag gick ut för att \’stjäla\’ mat’. Man kan enkelt utryckt säga att citationstecknen neutraliseras där escapetecknen finns och strängen kan läsas. Genom att lägga till sådana escapetecken till citationstecknen i inloggningsförsöket ser php-motorn inte längre en fungerande kod utan bara en textsträng som vilken annan sträng som helst och returnerar svaret ”FALSE” och inloggningen misslyckades. Det denna eller dessa hackare använt sig av är följa:
\’-1\’ or \’97\’=\’97’ och \’1′ och ’\\’|dir\’ och \’../..//../..//../..//../..//../..//../..//../..//../..//windows/win.ini\’ och \’${@print(md5(acunetix_wvs_security_test))}\’ osv. Lägg märke till alla \ Det är escapetecken som neutraliserar injection-koden och får tolken att läsa detta som ofarliga strängar.
Cross-site scripting
De/den försöker också med Cross-site scripting (XSS). Som jag skall förklara en annan gång hur det går till.
Lallande dårar
Det som skiljer hackare från vanligt folk är att hackare inte förstår när något inte lyckas och fortsätter, likt en lallande dåre, att försöka logga in med samma kodsnutt flera gånger. Den/de som denna gång försökt logga in har gjort det 807 gånger med samma kodsnutt. Det säger lite om hur de är funtade
Risken finns att de lyckas stoppa det fria ordet en liten stund
Risken finns att hackarna i ett obevakat ögonblick lyckas hacka sönder även denna tidning och på så vis stoppa det fria ordet en ytterst liten stund. Men en sådan seger och de är förlorade. Vi och tidningen däremot kan aldrig bli förlorare. Några ögonblick efter ett sönderhackande och vi är igång igen som vanligt. Databasen är inte värt ett skit då allt som finns i den redan står i nättidningen och alla mailadresser som angetts i kommentarfälten är falska. Dörren de kämpar för att slå in är redan öppen, det är bara att läsa nättidingen så har de alla uppgifter. Ibland är det smartaste att bara läsa.
Vi vet var angeppet kommer ifrån
Angreppet går genom servern ”Mullvad” med adressen ”se2x.mullvad.net” och IP-nummret ”46.21.99.29”. Servern står hos och ägs av GleSYS Internet Services AB i Falkenberg. De är väldigt trevliga och tillmötesgående. De säger att de har stort hopp om att hitta ingående ip-nummer då de fått flera hundra exakta tidsangivelser när signalerna lämnat servern hos dem. Förra gången kom ett av angreppen från ett abonnemang på ComHem, det angreppet utreds just nu av polis.
Detta är enda gången jag vill uttrycka: Jävla pack