Ups: Dansk myndigheds mainframe er på offentlig liste over usikre maskiner

En mainframe hos Moderniseringsstyrelsen har tiltrukket sig international opmærksomhed, fordi adgangen til det store jern er usikker. Læs her, hvad styrelsen gør for at lukke for hackernes adgang til mainframen.

Mens hackersagen om CPR-hullet i en CSC-mainframe bliver behandlet i Frederiksberg byret, er en anden af statens mainframe-adgange havnet på internationale lister over usikre systemer.

Det er blandt andet sket på Twitter

Helt konkret er det mainframe-adgangen til Økonomistyrelsen og Personalestyrelsens (nu samlet under Moderniseringsstyrelsens) it-systemer, som er kommet på overvågningslisten.

At den danske mainframe er kommet på radaren over usikre maskiner, er sket, efter at flere mainframe-entusiaster har sendt robotter ud for at pløje nettet igennem for usikre mainframes. 

Fundet i et kunstprojekt
Computerworld har været i kontakt med manden bag listen på Twitter, og han oplyser, at Moderniseringsstyrelsens mainframe er havnet på listen, fordi den er offentlig tilgængelig.

"Siden den er offentlig tilgængelig, har jeg intet problem med at dele listen offentligt," forklarer han i en mail til Computerworld. 

Bagmanden, som ikke oplyser sit navn til Computerworld, fortæller, at han anser listen som et slags kunstprojekt. 

"Jeg ønsker at rejse opmærksomhed omkring, at disse maskiner med internet-adgange findes derude," siger han.

At den danske mainframe er fundet blandt flere andre mainframes, forklarer han på følgende måde: 

"Jeg har foretaget en scanning på port 23 over hele nettet i søgningen efter mainframes med internet-adgange, og så kom den (Moderniseringsstyrelsens mainframe, red.) frem. Det er ikke sådan, at jeg specifikt er gået efter den," fortæller han.

Data uden kryptering
Port 23 refererer til den noget bedagede netværksprotokol Telnet, som blandt andet bruges til terminal-emulering, og som samtidig ikke understøtter kryptering.

Det betyder, at når en bruger forbinder til Moderniseringsstyrelsens mainframe via eksempelvis en NT-klient, bliver brugernavn og password indtastet og sendt via internettet i klar tekst.

Samtidig kan IP-adressen til Moderniseringsstyrelsens it-systemer også bruges i en helt almindelig browser som eksempelvis Chrome.

Her kan man ved indtastning af IP-adressen få en oversigt over diverse databaser hos Moderniseringsstyrelsen.

I browser-oversigten er der blandt menupunkter, der linker til løn- og personalestatistik, Finansministeriets forhandlingsdatabase og Statens Budgetsystem, som dog ligger bag brugernavn- og password-beskyttelse.

Men også i browseradgangen fremgår det, at flere bruger-login kan foretages uden brug af kryptering, hvilket ellers kunne være gjort relativt nemt med en HTTPS-kryptering.

Det vil sige, at sikkerheden i adgangen til Moderniseringsstyrelsens systemer og databaser reelt er markant lavere, end når du logger på din Gmail- eller Facebook-konto, hvor dit brugernavn og password bliver sendt via en krypteret forbindelse.

Et tudsegammelt system 
Computerworld har spurgt sikkerhedsekspert Peter Kruse fra selskabet CSIS Security Group om, hvad sårbarheden kan få af konsekvenser for sikkerheden hos Moderniseringsstyrelsen.

"Sårbarheden, eller måske rettere den usikre adgang til data, i denne omgang er, at man benytter en tudsegammel protokol uden brug af kryptering til at tilgå en mainframe og sandsynligvis en større, bagvedliggende database via en tekstbaseret konsol," forklarer han og fortsætter:

"Bare det, at serverindgangen er åben ud mod internettet og særligt for denne type adgang er stik imod al sund sikkerhedsfornuft anno 2014," forklarer Peter Kruse til Computerworld.

Han påpeger, at tilgangen til sikkerheden i dette tilfælde åbner risikoen for såkaldte man-in-the-middle-angreb på vid gab.

Det skyldes, at den klare tekst ved login kan opfanges på utallige måder af it-kriminelle og snushaner, og sidenhen kan brugernavne og passwords genbruges, så de it-kriminelle selv kan få adgang til Moderniseringsstyrelsens data.

Når manden i midten angriber
Man-in-the-middle-angreb kan eksempelvis ske, hvis nogen opretter falske Wi-Fi-hotspots eller sniffer på Wi-Fi-trafikken hos Moderniseringsstyrelsen.

"I princippet kan man-in-the-middle-angrebet foregå alle steder, hvor du kan placere dig mellem klienten og serveren", forklarer Peter Kruse.

"Situationen svarer til, at du har fundet på et rigtig smart kodeord til din e-mailkonto og lader andre se med, når du indtaster kodeordet på din computer," fortsætter han.

Ud over risikoen for man-in-the-middle-angreb fortæller sikkerhedseksperten, at den ukrypterede browser-adgang umiddelbart giver mulighed for brute-force-angreb. 

Det betyder, at it-kriminelle kan køre lange lister af brugernavne og password ind i systemet, indtil de 'gætter' rigtigt og får adgang til databaserne.

Glem de ukrypterede forbindelser
Den usikre adgang kan have stået åben i flere år.

Sikkerhedsekspert Peter Kruse opfordrer på det kraftigste til, at styrelsen får sat en gedigen prop i det potentielt store sikkerhedshul i sin mainframe.

"For det første skal man ikke anvende adgange med ukrypterede protokoller til systemer, som kan indeholde svært sensitive data. Dernæst bør man nok sætte restriktioner på adgangen, så det kun er meget få, udvalgte IP-adresser, der kan få adgang til log-in-billedet. Slutteligt er det mindst lige så vigtigt, at man vedligeholder og opdaterer disse mainframes" forklarer Peter Kruse.

Computerworld har inden offentliggørelsen af denne artikel oplyst Moderniseringsstyrelsen om, at dens mainframe er havnet på en liste over usikre maskiner.

Samtidig har vi ønsket kommentarer omkring, hvad styrelsen fremadrettet vil gøre for at sikre sit store jern noget bedre. 

Styrelse: Harmløse data
Vicedirektør Trolle Andersen fra Moderniseringsstyrelsen takker for advarslen og fortæller, at styrelsen ikke er bekendt med, at databaserne på mainframen er blevet tilgået eller ændret i af personer med autoriseret adgang. 

Samtidig oplyser han, at de fleste datasæt på den specifikke mainframe er relativt harmløse. 

"De fleste data er offentligt tilgængelige efter et stykke tid, mens Finansministeriets forhandlingsdatabase er mere kritisk, da det er lønoplysninger på personniveau," fortæller Trolle Andersen. 

"Disse løn-oplysninger ligger dog bag login, og de har altid været krypteret. Samtidig har vi procedurer for, at når en bruger taster sit password forkert tredje gang, bliver man lukket ud af systemet," siger Trolle Andersen. 

Strammer op på sikkerheden
Med hensyn til sikkerhedsniveauet erkender han dog, at det ikke er godt nok i sin nuværende form.

Derfor har styrelsen taget initiativ til flere forskellige sikkerhedsopstramninger. 

"I går sørgede vi for, at det kun er fem specifikke IP-adresser tilhørende udviklere og andre af styrelsens tilknyttede it-folk, der kan komme til startskærmen og logge på systemet," forklarer Trolle Andersen, som svar på Peter Kruses kritik omkring den pivåbne internetadgang via Telnet-protokollen.

Samtidig har Moderniseringsstyrelsen sat folk på opgaven med at HTTPS-kryptere alt indhold på mainframen, så man ikke kan opsnappe brugernavne, password og data over nettet. 

"Arbejdet med HTTPS-kryptering forventer jeg er færdigt i løbet af meget kort tid, når vi har fået det testet i weekenden," lyder det fra Trolle Andersen. 

Listen med de tilladte maskiner
Derudover har styrelsens i går torsdag taget initiativ til, at det kun er statslige computere, som kan logge ind på mainframen. 

Det er sket ved en såkaldt whitelisting, der tjekker IP-adresserne for de maskiner, som forsøger at få adgang til mainframen via en browser. 

"Det betyder, at når du logger ind i systemet i den ukrypterede del af mainframen, bliver der foretaget en test af, om du sidder på en maskine med statslig IP-adresse. Er det ikke det, så kommer du ikke ind," forklarer Trolle Andersen. 

"Det vil sige, at kun maskiner udleveret af staten kan logge på. Så hvis du sidder på din egen maskine derhjemme, vil du ikke kunne få adgang til mainframen, fordi maskinens IP-adresse ikke er på vores liste," fortsætter han. 

Vicedirektøren fortæller, at denne whitelisting af statsligt udleverede computere har været på tegnebrættet længe.  

Men det er først i går torsdag, at det endelig er blevet gjort.

"Vi har ikke alene gjort det på grund af Computerworlds oplysninger, men det har i hvert fald fremskyndet processen," runder Trolle Andersen samtalen af med.

Konkret er whitelistningen blevet udført ved, at Moderniseringsstyrelsen har kopieret listen over alle statens IP-adresser og udarbejdet et script, der tjekker, om forsøg på browser-login også kommer fra en statslig maskine.

Læs også: 
Her er den vigtige lære af Danmarks store hacker-sag

Overblik: Det store CPR-hack - så alvorligt er det



Premium
Finanstilsynet kritiserer Nets og udsteder tre påbud: Selskabet lever ikke op til sine forpligtelser i betalingsloven
Nets får tildelt tre påbud af Finanstilsynet, der kritiserer selskabet i stærke vendinger for ikke at leve op til sine forpligtelser i betalingsloven.
Computerworld
YouSee lancerer ny streamingtjeneste i Danmark
Efter sommerferien går YouSee i luften med et nyt streamingtilbud til danskerne, der beskrives som et af verdens mest streamende folkefærd.
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Hybrid infrastruktur giver Jutlander Banks medarbejdere mere tid til kunderne
Hos Jutlander Bank sørger den nye, hybride infrastruktur fra HPE for, at bankens kunderådgivere i dag kan bruge væsentlig mere tid hos den enkelte kunde. I denne kundecase kan du få indsigt i hvordan IT-chef Kim Meling Christensen har oplevet samarbejdet med Atea og HPE – samt hvilke kundevendte fordele og muligheder for automatisering som det har givet.