torsdag den 26. februar 2009

Englands nationale lotteri website hacked

Hvis du spiller Lotto online, så glæd dig over, at du ikke spiller på den engelske pendant til Danske Spil - The National Lottery. Den berygtede rumænske hackergruppe har udført et dokumenteret SQL Injection angreb mod deres website. Danske Spils Sikkerhedschef siger, at de også har set lignende forsøg.

Man kan vist roligt sige, at det er held i uheld at det er den rumænske hackergruppe, med talsmanden "unu", som har dokumenteret SQL Injection sårbarheden hos The National Lottery. De har det nemlig med, at informere de ramte før de publicerer et hack.

I det givne tilfælde har gruppen igen dokumenteret deres SQL Injection angreb med grafik på HackersBlog - der viser en listning over databasens tabeller samt information om den administrative konto (brugernavn og MD5 kodet password). Se billederne her:



Et spillesite er spændende set med it-krimminelles øjne, da der uden tvivl er en stor omsætning fra et utal af håbefulde spillere. Websitens eneste formål er jo netop gambling, hvilket helt naturligt afleder brugen af penge.

Hackergruppen har da også specifikt markeret tabellen "tbl_users" som en indikator på, at der kunne trækkes personinformationer ud. De angiver ikke, om de rent faktisk har kunnet se tabellens indhold. Uanset om det har været muligt eller ej, så er det en katastrofe for The National Lottery.

I et worst-case scenarie, er det flere tusinde brugers informationer der vil kunne udnyttes. Personer, som garanteret også vil blive narret, hvis der dukkerede en e-mail op på vegne af spilleservicen med lovning om guld og grønne skove. Det er set før i andre sammenhænge.

Danske Spil har stor fokus på sikkerhed
Vores egen udbyder af Lotto, Quick, Oddset, Tips med mere - arbejder i samme kategori som The National Lottery. Her er der også en stor omsætning, hvilket man ved afleder stor opmærksomhed fra personer, der gerne vil tjene hurtige penge uden skelen til måden det gøres på.

"Penge har altid været det største motiv for kriminalitet og det vil nok ikke ændre sig. Så ja, selvfølgelig har der været nogen som har forsøgt at komme tæt på - og sådan vil det også være i fremtiden", siger Mickie Friebel, Sikkerheds- & Kvalitetschef hos Danske Spil A/S.

For Mickie Friebel er it-sikkerhed derfor en naturlig del af dagligdagen - som har sit udgangspunkt allerede på ledelsesniveau. Der foretages løbende risikoanalyser på alle projekter uanset om det er nye systemer, samarbejdsrelationer eller anden forretningsudvikling.

"Overordnet er vores tilgang Fortrolighed, Integritet og Tilgængelighed (FIT) og et væsentligt ledelsesmæssigt værktøjer hertil er risikostyring. Der foretages løbende overordnede risikovurderinger, herunder konsekvensvurdering og sårbarhedsvurdering, samt tilhørende justering til det tidssvarende risikobillede. Ud over dette arbejder vi efter WLA Security Control Standard, herunder også ISO27001, som er gode værktøjer til at at sikre den ledelsesmæssige del af sikkerheden", forklarer Mickie Friebel.

Uden Mickie Friebel vil gå i detaljer, så sikrer Danske Spil A/S at have et opdateret billede af omgivelserne ved at der abonneres på diverse nyhedsgrupper og benyttes flere forskellige adviseringsværktøjer, som mange leverandører tilbyder i dag.

Han bekræfter samtidig, at Danske Spil A/S jævnligt bliver testet for mulige sårbarheder, netop da trusselsbilledet kan ændre sig med meget kort varsel.


"Ja, Danske Spil A/S bliver jævnligt testet og med faste intervaller. Desuden bliver al software testet løbende under udvikling - og al ny software bliver funktionstestet, sårbarhedstestet og integrationstestet på et produktionslignende miljø, inden det ligges i drift. Når det ligges i drift, testes det igen for at sikre højst mulig kvalitet, sikring og oppetid for vores brugere", forklarer Sikkerheds- & Kvalitetschefen.