SIKKERHETSHULL: - Om denne informasjonen havner i feil hender kan det bety katastrofe, sier skoleeleven til Dagbladet om sikkerhetshullene han har avdekket hos både norge.no og riksadvokaten.no. Foto: Nina Hansen / Dagbladet
SIKKERHETSHULL: - Om denne informasjonen havner i feil hender kan det bety katastrofe, sier skoleeleven til Dagbladet om sikkerhetshullene han har avdekket hos både norge.no og riksadvokaten.no. Foto: Nina Hansen / DagbladetVis mer

Her bryter hackeren (18) seg inn hos Riksadvokaten

Det tar få minutter å bryte seg inn hos både Riksadvokaten og Norges offisielle nettsted.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): En torsdag ettermiddag viser skoleeleven hvordan han på et par minutter kan bryte seg inn hos både norge.no, riksadvokaten.no og flere andre nettsteder.

- En baby kan gjøre det, sier han med flir, i den koselige stua et sted på Østlandet.

Mens storebror bryter seg inn i Norges aller helligste, løper smilende småsøstre rundt i ivrig lek.

Lettvint Metoden skoleeleven bruker er en form for såkalt SQL-angrep. Han kartlegger sider som er bygget opp med en viss struktur.

Ved hjelp av et kodespråk får han opp om det foreligger feil - menneskelige tastefeil - i sidenes struktur og oppbygning.

Om det foreligger slike feil kan han bruke programvare som kan lastes ned på nettet til å bryte seg inn. Avhengig av hva slags programvare han bruker kan han enten bare hente ut informasjon - eller gå inn og redigere sidene.

Tenåringshackeren hevder han kan hente ut innloggingsinformasjon, brukernavn og passord eller personopplysninger fra databasene.

Menneskelig feil I norge.no's tilfelle sier han at det bare er en enkelt tastefeil i oppbygningen som gjør at han kan bryte seg inn. Tenåringen sier han ikke har vonde hensikter, og at han bare vil opplyse om alvorlige sikkerhetsbrister.

- Men om feil folk får tak i dette, da vil det være katastrofe, sier hackeren til Dagbladet.

- Har du tjent penger på dette?

- Et lite firma har lovt meg en Samsung Galaxy Tab for at jeg avdekket feil hos dem. Det var bare en belønning, sier han.

Jobber alene - Kalles ikke det utpressing?

- Jeg gjør ikke dette for å presse noen for penger, jeg vil bare avsløre feil.

Tenåringen sier han opererer alene, og at han ikke er en del av noe miljø som driver med organisert hacking. Men han hevder det er mange i Norge som kan bruke informasjonen han finner til skadelige formål.

- Hvis jeg bare finner en eneste feil vet jeg at jeg kan bryte meg inn, gjennom å utnytte feilen, sier han.

Undersøker - Riksadvokaten har vært i kontakt med de som drifter vår hjemmeside på Internett for å undersøke om det er behov for å øke sikkerhetsnivået. Saken vil bli fulgt opp herfra, sier førstestatsadvokat Ingunn Fossgard til Dagbladet.

- For ordens skyld tilføyes at det kan være straffbart å skaffe seg tilgang til lagrede data - selv om formålet i og for seg er aktverdig, sier Fossgard.

Deler av riksadvokatens nettsider administreres av Politiets data- og materielltjeneste (PDMT). Hackeren kan ikke komme seg inn på politinettet, opplyser pressevakt Ellen Wennewold Aas i PDMT.

Uenige Direktoratet for IKT (Difi) mener hackeren ikke kan manipulere Norge.no.

- Databasene ligger bak Difis brannmur, og det er ikke mulig å gjøre endringer i opplysningene som ligger lagret slik hackeren hevder å kunne, sier Difi-direktør Hans Christian Holte til Dagbladet.

- Det som derimot er mulig å få til, er å manipulere sin egen visning av Norge.no, og distribuere lenken videre, sier Holte - som nå vil gi hackeren sommerjobb. 

- Vi ser det som uheldig at det er mulig å manipulere innhold som tilsynelatende ligger på Norge.no. Vi har derfor allerede gjort flere tiltak for å unngå at dette skal være mulig å få til i fremtiden. Hackeren tok selv kontakt med oss. Vi takket ham for innsatsen, og inviterte ham til å søke sommerjobb i Difis IT-utviklingsmiljø.