Så (u)sikre er partiernes hjemmesider

Under Kommunalvalget kæmper partierne ikke bare om stemmer, men også uden at vide det om den bedste cybersikkerhed. Dansk Folkeparti, Alternativet og Enhedslisten har blandt andre problemer ifølge sikkerhedsekspert.

Foto: Iris. Fold sammen
Læs mere

Robothærene fiser hver dag rundt på det store internet og søger efter sårbarheder i alverdens hjemmesider. Selv kan du efterhånden købe et DDoS-angreb for helt ned til 5 euro, mens brugervenlige sider kan holde dig opdateret på de seneste nye måder at hacke på.

Cybersikkerhed er blevet et hot emne. Det ses tydeligst i regeringens seneste udspil til Forsvarsforliget, hvor der blev lagt op til en årlig tilførsel til Forsvarets cybermuskler på 150 millioner kroner. Samtidig har flere politikere, blandt andre Radikales Martin Lidegaard, været ude og kræve endnu flere penge til kampen mod cybertruslen fra særligt Rusland.

I vores egen lille andedam, er der kommunalvalg, men her snakkes der hellere om cykelstier, rådhusbryllupper og parkeringsafgifter end om cybersikkerhed. Det har ikke afholdt sikkerhedskonsulent i Dubex Keld Norman for i al stilfærdighed at lade partierne dyste ubevidst på uvant territorium.

”Jeg har taget alle partierne, og så har de ellers kæmpet helt retfærdigt mod hinanden om, hvor meget data, der kan lirkes ud fra deres hjemmesider, og hvor uheldigt, de er sat op. Og om de har beskyttet sig mod forskellige ting,” siger Keld Norman til Ingeniørforeningens teknologipodcast, Techtopia.

UFO-testen

I Keld Normans undersøgelse er valget skiftet ud med en UFO-test, og i stedet for stemmer kæmper partierne ud fra de til lejligheden konstruerede parametre: Udfordret opsætning, Flest sårbarheder og Overtrædelse af persondataforordningen (GDPR).

Keld Norman kiggede i sine stikprøvekontroller blandt andet på, hvor sårbare hjemmesider er over for de såkaldte DDoS-angreb, som er en betegnelse for en manøvre, hvor man bevidst overbelaster servere, så en specifik hjemmeside går ned. Derudover kiggede han på det CMS-system, som hjemmesiderne bliver styret af, og hvorvidt den data, der bliver udvekslet mellem bruger og hjemmeside, er krypteret.

Ifølge Keld Normans test er flere af partierne, Dansk Folkeparti, Enhedslisten og Liberal Alliance, sløsede med at opdatere enkelte tjenester tilknyttet deres hjemmeside såsom distributionen af nyhedsbreve. Det kan lyde harmløst, men ifølge Keld Norman er det netop sådan nogle små fejltrin, man skal passe på med.

”Der er nok en hel masse fejlrettelser og muligheder for at hacke de her plugins, som ikke er fikset. Og står man nu i en skarp valgkamp, og hackerne angriber – det kunne være fra Rusland, som vil have DF ned med nakken – så er det sådan nogle oplysninger her, de bruger for kunne slå til,” fortæller Keld Norman til Techtopia.

Windows for hackere

En af farerne ved at slække på cybersikkerheden er ifølge Keld Norman, at hacking er blevet både mere automatiseret og mere brugervenligt.

Der findes blandt andet et værktøj, der hedder Metasploit, der ligesom Windows er en grafisk brugergrænseflade – bare til et hackerprogram. Der kommer løbende opdateringer, så du altid har de nyeste måder at hacke en hjemmeside på. Det fortæller Keld Norman, der ser en høj grad af automatisering inden for hacking-branchen.

”Hvis man sætter en robot op som en hackerrobot, så kunne det være et værktøj, man brugte, som så fik sine hackermål fra søgemaskiner, og så begynder det hele at være meget automatiseret. Det giver noget af en kontrol på nettet, hvis man har sådan noget,” siger Keld Norman og påpeger, at det sandsynligvis er lignende installationer, som regeringer rundt i verden har kørende.

”Jeg har nogle honeypots, nogle falske maskiner, sat op på nettet, hvor jeg kigger på, hvad der flyder ind og ud af nettet. Og der kan jeg se, at meget af det, der prøver at hacke, er automatiseret,” siger han til Techtopia.

Hør blandt andet, hvem vinderne af Keld Normans UFO-test blev på Techtopia.dk eller direkte via iTunes.

Artiklen blev oprindeligt publiceret på IDA Universe.