Computerworld News Service: Websites som Twitter udgør i stigende grad mål for hackere, der planter skadelig software på dem for at inficere computere, påpeger en ny undersøgelse af sårbarheder ved webapplikationer.
Sociale medier er et af de mest ramte områder, viser en undersøgelse af hacking-tilfælde i første halvår af 2009. Undersøgelsen er del af den seneste Web Hacking Incidents Database (WHID) rapport, som udkom i sidste uge. I 2008 var statslige websites de mest ramte.
Sociale netværk udgør "et miljø rigt på mål, hvis man tæller antal brugere," forklarer Ryan Barnett, som er leder af application security research hos Breach Security, der er en af rapportens sponsorer - der også inkluderer Web Application Security Consortium.
Twitter er blevet angrebet af adskillige orme, og andre sociale netværk såsom MySpace og Facebook er også blevet udnyttet til at distribuere malware. Dette sker ofte ved at en inficeret konto begynder at oprette indlæg på det sociale netværk med links til andre websites, der er rigget til med skadelig software.
Stoler blindt på links
Brugerne er her mere tilbøjelige til at klikke på disse links, da de stoler på deres venner og kontakter og ikke nødvendigvis kan se, at kontoen, der offentliggør de skadelige links, er blevet hacket.
Andre data i undersøgelsen fortæller mere om selve angrebenes form. Det mest almindelige angreb er SQL-injektion, hvor en hacker forsøger at "indsprøjte" kode i webbaserede formularer eller URL'er for at få backend-systemer såsom databaser til at køre denne kode.
Hvis der ikke er tilstrækkelig med godkendelsesprocedurer for dette input - og den skadelige kode derfor ignoreres - kan det resultere i et data-sikkerhedsbrud.
Andre brugte angrebsmetoder inkluderer cross-site scripting og cross-site request forgery, hvor en skadelig kommando udføres, mens offeret er logget på et website.
WHID-rapporten viser, at den mest almindelige motivation for hackere stadig er at få websites til at bryde ned. Rapporten inkluderer dog plantningen af malware på et website som nedbrud, hvilket ellers også kunne pege på økonomiske motivationer.
Hackede computere kan bruges til at sende spam, foretage distribuerede denial-of-service-angreb og til at stjæle data.
"I sidste ende forsøger hackerne at tjene penge," konkluderer Barnett.
Oversat af Thomas Bøndergaard
