Det måtte jo skje, før eller senere.
På tirsdag forsøkte noen å hacke denne bloggen, og motivet er tilsynelatende pga. mine ytringer om StoppDLD.
Tidligere har bloggingen min ført til drapstrusler og grov sjikane, og nå under meningsutveksling om datalagringsdirektivet har bloggen min pådratt seg vreden av IT-nerder (I say that with love) som forsøker å kneble meg. En kikk gjennom loggene til bloggen min fra tirsdag er underholdende, skremmende, trist, og interessant alt under ett. Slike logger forteller en historie om hver person som besøker et nettsted, og historien fra tirsdag tilsier at en motstander av datalagringsdirektivet klikket i vinkel etter å ha lest at jeg kritiserte StoppDLD.
Det begynte på Twitter
12:49 den 10. november kommer det en besøkende via Twitter-siden min. Hele denne morgenen diskuterte Jon Wessel-Aas og jeg frem og tilbake angående hans påstand om at Helga Pedersen hadde stemplet han som ekstremist. Tydeligvis fanget dette interessen hos noen, og de bestemte seg for å kikke nærmere på meg, og klikke seg videre til bloggen min.
14:22 åpnet de både et innlegg om en faktasjekk av Tabloid om datalagring, og så et innlegg som var kritisk til StoppDLD. I løpet av 24 sekunder bestemte denne personen seg for at bloggen min måtte hackes.
Hvor er admin?
14:23 forsøker de å åpne gooding.no/admin på jakt etter innlogging til administrasjonsgrensesnittet for bloggen, men det feiler. Så prøver de gooding.no/administrator, så gooding.no/root, og endelig finner de fram til riktig adresse, standardadressen for WordPress.
14:26 kommer de inn på innloggingen til bloggen, og forsøker å ta seg inn. De begynner å utnytte glemt-passord-funksjonen men gjetter feil brukernavn mange ganger.
14:31 begynner de å prøve masse rart, som gooding.no/?action=test og gooding.no/?page=a. Etter hvert gir de opp med dette og leser litt mer på bloggen.
14:37 er de tilbake til å prøve gjette riktig brukernavn å sende nytt passord til. Etter noen forsøk til, drar de frem en bot som begynner å hamre med forespørsler, men finner fremdeles ikke frem til et gyldig brukernavn. De forlater bloggen.
17:15 er de så vidt innom forsiden på bloggen igjen.
18:04 er det på’n igjen! Nå forsøker de seg etter hvert med et såkalt SQL-injeksjonsangrep: “gooding.no/2009/11/) select * from user”. Fungerte ikke det heller, gitt. De gir opp og leser litt mer på bloggen.
18:09 begynner de å gå gjennom alle de vanlige rotkatalogfilene til WordPress: readme.html, install.php, plugins-mappen, wp-config.php, upgrade.php, license.txt, wp-cron.php, wp-config-sample.php, osv. Et febrilsk søk etter svakheter i systemet.
18:20 startet de med “kitchen sink”-metoden og bruker metoder som går etter sikkerhetshull i andre publiseringsløsninger. Hvorfor de tror at “gooding.no/?mosConfig_absolute_path=http://vg.no” kommer til å fungere er nesten ubegripelig. Desperasjonen etter å komme seg inn og ødelegge bloggen min har nådd et nytt nivå.
18:44 etter flere andre rare forsøk, er de tilbake til innloggingen for å se om de klarer å bryte seg gjennom på en eller annen måte. Så kommer de endelig fram til noe!
Glemt passord
18:50 gjetter de endelig et gyldig brukernavn å sende en glemt passord forespørsel for: admin. Wow. Godt jobba. Han gjør dette flere ganger, muligens i troen om at han kan utnytte en kjent WordPress-svakhet. Som ble fikset for en stund siden.
20:06 begynner en annen IP-adresse tilknyttet samme nettverk å fyre løs på gooding.no/wp-admin – en bot eller dvs. et program.
20:25 starter begge to adressene å gyve løs med et program (ikke nettleseren) mot glemt passord-funksjonen.
20:41 er angrepet over, etter en økt på over 40 forsøk på å gjøre et eller annet med glemt passord-funksjonen.
Knock, knock – who’s there?
Loggen lyver ikke – denne personen var fast bestemt på å komme seg inn i administrasjonen av bloggen for å gjøre et eller annet, og forsøkte på mange mulige måter å få dette til. Så hvem er det som gidder å bruke så mye tid på å ta seg inn på bloggen min? Det er snakk om timesvis i strekk med knoting og tilsynelatende programmering av et program som skulle gjøre det mulig å angripe mer effektivt.
Følgende fakta fikk jeg av loggen:
- IP-adressen var fra Institutt for informatikk hos Universitetet i Oslo, spesifikt maskinene anakin og kniven
- Operativsystemet til brukeren var Linux, 64-bits, Ubuntu
- Nettleseren var Firefox 3.5.5
- Språket til nettleseren var stilt inn på en-US (amerikansk engelsk)
- Bot’en som ble brukt kjørte på rammeverket Python med urllib 1.17
Følgende ting er trygt å anta om hackeren gitt omstendighetene:
- De følger enten meg eller Jon Wessel-Aas på Twitter
- De studerer eller jobber ved Ifi, UiO
- De er tilhenger eller medlem av StoppDLD
Var dette nok informasjon til å finne ut hvem dette kunne være?
Jakten på en hacker
Med en gang jeg så at IP-adressen tilhørte Ifi hos UiO tenkte jeg med en gang på en som jeg har skrevet veldig kritisk om allerede: Gisle Hannemyr, lektor ved Ifi. Nei, tenkte jeg, det kan da ikke stemme, han hadde aldri vært så dum. Jeg begynte å følge sporene videre, og ledet meg ikke til Hannemyr.
Listen hos StoppDLD inneholder informasjon om hver person som melder seg på, og jeg hadde merket tidligere at en del av dem noterte at de var studenter eller ansatte ved Ifi. En kort liste av personer som var medlemmer av StoppDLD og tilknyttet Ifi gikk kjapt å sette sammen. Neste stopp: Twitter.
Fantes det noen som var på listen jeg lagde over StoppDLD/Ifi-medlemmer og som også fulgte Jon Wessel-Aas? Ja. Én person.
OK, greit, denne personen er medlem av StoppDLD, følger Jon Wessel-Aas på Twitter, og er student ved Ifi – men er det nok bevis? Google er virkelig en god venn, you know? Jeg forsøkte å koble han opp mot de andre faktaene jeg hadde om hackeren min: Python, Ubuntu, og ‘en-US’ som språk på PCen.
I slutten av september skrev han et blogginnlegg om et prosjekt han holdt på med, som brukte blant annet… Python. Hva med Ubuntu eller Linux? Joda, han har lagt igjen spor av seg på Internett om det og. Han la igjen en bugrapport om Ubuntu tidligere i år som viser at han har akkurat samme versjon som hackeren brukte. Ikke bare det, men der står det også at han bruker amerikansk engelsk som standardspråk på PCen sin: «LANG=en_US.UTF-8». Ikke uvanlig det, men nok en ting som stemmer overens med det vi vet om hackeren.
Driftsansvarlig hos Ifi har sagt at de skal sjekke opp i dette, og kom med et par opplysninger. Verten som hackeren brukte for det meste (kniven) var en som titalls brukere er innom hver dag, og den andre (anakin) er det mange brukere tilknyttet konstant siden det er en loginserver. Det kan ha vært flere om beinet, men ingenting i loggene tilsier dette, og det er ingen andre hos Ifi enn denne personen som stemmer overens med faktaene jeg har om hackeren.
En trist vending i debatten
Hva skal man si? Er motstandere av datalagringsdirektivet blitt så desperate at de nå ser seg nødt til å hacke bloggene til folk som taler dem imot? Loggene lyver ikke – dette var et bevisst og kalkulert forsøk på å ta seg inn i bloggen min av en meningsmotstander. Er en debatt om datalagringsdirektivet nødt til å bli så stygg, at man prøver å kneble motstanderen? Det er også noe spesielt ironisk ved hele situasjonen..
Men dette er jeg vant til, folk som ikke tåler det jeg skriver, og gjør sitt beste for å skremme meg, kneble meg, og ødelegge for min ytringsfrihet. Drapstrusler, sjikane, hacking – hverdagen til mennesker som tyr til andre midler enn ord for å stanse mine ytringer.
Jeg håper StoppDLD tar avstand fra slike taktikker og eventuelt fjerner denne personen som medlem hvis det viser seg at han var den som forsøkte å hacke bloggen min. Er jeg 100% sikker på at det var han? Nei, selvfølgelig ikke, jeg sitter ikke på perfekte bevis mot denne personen.
Navnet på personen hadde jeg tenkt å gå ut med, men har ombestemt meg fordi bevisene ikke er “bulletproof”, selv om de er ganske tydelige. Jeg har tatt kontakt med personen via e-post og venter fremdeles på svar om et lite sett med spørsmål. Driftsavdelingen på Ifi tar nok også kontakt med ham i løpet av dagen hvis de har noen logger som påviser at det var han som holdt på med dette. Hvis det er noen som har tips om denne saken, kan de gjerne legge igjen en kommentar her, eller ta kontakt med meg på Twitter.
Merk at jeg sa motstandere gjør dette, ikke bare én. Bloggen min ble nemlig forsøkt hacket igår, også. Fra Trondheim.
Noe informasjon i dette innlegget har blitt fjernet i påvente av presisering fra UiO.
