DK får fjerdeplads til EM i cybersikkerhed:"Danmark har vist vi stadig kan gnubbe skuldre med de allerstørste"

Artikel top billede

Ups: Dansk myndigheds mainframe er på offentlig liste over usikre maskiner

En mainframe hos Moderniseringsstyrelsen har tiltrukket sig international opmærksomhed, fordi adgangen til det store jern er usikker. Læs her, hvad styrelsen gør for at lukke for hackernes adgang til mainframen.

Mens hackersagen om CPR-hullet i en CSC-mainframe bliver behandlet i Frederiksberg byret, er en anden af statens mainframe-adgange havnet på internationale lister over usikre systemer.
Det er blandt andet sket på Twitter

Helt konkret er det mainframe-adgangen til Økonomistyrelsen og Personalestyrelsens (nu samlet under Moderniseringsstyrelsens) it-systemer, som er kommet på overvågningslisten.

At den danske mainframe er kommet på radaren over usikre maskiner, er sket, efter at flere mainframe-entusiaster har sendt robotter ud for at pløje nettet igennem for usikre mainframes. 

Fundet i et kunstprojekt

Computerworld har været i kontakt med manden bag listen på Twitter, og han oplyser, at Moderniseringsstyrelsens mainframe er havnet på listen, fordi den er offentlig tilgængelig.

"Siden den er offentlig tilgængelig, har jeg intet problem med at dele listen offentligt," forklarer han i en mail til Computerworld. 

Bagmanden, som ikke oplyser sit navn til Computerworld, fortæller, at han anser listen som et slags kunstprojekt. 

"Jeg ønsker at rejse opmærksomhed omkring, at disse maskiner med internet-adgange findes derude," siger han.

At den danske mainframe er fundet blandt flere andre mainframes, forklarer han på følgende måde: 

"Jeg har foretaget en scanning på port 23 over hele nettet i søgningen efter mainframes med internet-adgange, og så kom den (Moderniseringsstyrelsens mainframe, red.) frem. Det er ikke sådan, at jeg specifikt er gået efter den," fortæller han.

Data uden kryptering

Port 23 refererer til den noget bedagede netværksprotokol Telnet, som blandt andet bruges til terminal-emulering, og som samtidig ikke understøtter kryptering.

Det betyder, at når en bruger forbinder til Moderniseringsstyrelsens mainframe via eksempelvis en NT-klient, bliver brugernavn og password indtastet og sendt via internettet i klar tekst.

Samtidig kan IP-adressen til Moderniseringsstyrelsens it-systemer også bruges i en helt almindelig browser som eksempelvis Chrome.

Her kan man ved indtastning af IP-adressen få en oversigt over diverse databaser hos Moderniseringsstyrelsen.

I browser-oversigten er der blandt menupunkter, der linker til løn- og personalestatistik, Finansministeriets forhandlingsdatabase og Statens Budgetsystem, som dog ligger bag brugernavn- og password-beskyttelse.

Men også i browseradgangen fremgår det, at flere bruger-login kan foretages uden brug af kryptering, hvilket ellers kunne være gjort relativt nemt med en HTTPS-kryptering.

Det vil sige, at sikkerheden i adgangen til Moderniseringsstyrelsens systemer og databaser reelt er markant lavere, end når du logger på din Gmail- eller Facebook-konto, hvor dit brugernavn og password bliver sendt via en krypteret forbindelse.

Et tudsegammelt system 

Computerworld har spurgt sikkerhedsekspert Peter Kruse fra selskabet CSIS Security Group om, hvad sårbarheden kan få af konsekvenser for sikkerheden hos Moderniseringsstyrelsen.

"Sårbarheden, eller måske rettere den usikre adgang til data, i denne omgang er, at man benytter en tudsegammel protokol uden brug af kryptering til at tilgå en mainframe og sandsynligvis en større, bagvedliggende database via en tekstbaseret konsol," forklarer han og fortsætter:

"Bare det, at serverindgangen er åben ud mod internettet og særligt for denne type adgang er stik imod al sund sikkerhedsfornuft anno 2014," forklarer Peter Kruse til Computerworld.

Han påpeger, at tilgangen til sikkerheden i dette tilfælde åbner risikoen for såkaldte man-in-the-middle-angreb på vid gab.

Det skyldes, at den klare tekst ved login kan opfanges på utallige måder af it-kriminelle og snushaner, og sidenhen kan brugernavne og passwords genbruges, så de it-kriminelle selv kan få adgang til Moderniseringsstyrelsens data.

Når manden i midten angriber

Man-in-the-middle-angreb kan eksempelvis ske, hvis nogen opretter falske Wi-Fi-hotspots eller sniffer på Wi-Fi-trafikken hos Moderniseringsstyrelsen.

"I princippet kan man-in-the-middle-angrebet foregå alle steder, hvor du kan placere dig mellem klienten og serveren", forklarer Peter Kruse.

"Situationen svarer til, at du har fundet på et rigtig smart kodeord til din e-mailkonto og lader andre se med, når du indtaster kodeordet på din computer," fortsætter han.

Ud over risikoen for man-in-the-middle-angreb fortæller sikkerhedseksperten, at den ukrypterede browser-adgang umiddelbart giver mulighed for brute-force-angreb. 

Det betyder, at it-kriminelle kan køre lange lister af brugernavne og password ind i systemet, indtil de 'gætter' rigtigt og får adgang til databaserne.

Glem de ukrypterede forbindelser

Den usikre adgang kan have stået åben i flere år.

Sikkerhedsekspert Peter Kruse opfordrer på det kraftigste til, at styrelsen får sat en gedigen prop i det potentielt store sikkerhedshul i sin mainframe.

"For det første skal man ikke anvende adgange med ukrypterede protokoller til systemer, som kan indeholde svært sensitive data. Dernæst bør man nok sætte restriktioner på adgangen, så det kun er meget få, udvalgte IP-adresser, der kan få adgang til log-in-billedet. Slutteligt er det mindst lige så vigtigt, at man vedligeholder og opdaterer disse mainframes" forklarer Peter Kruse.

Computerworld har inden offentliggørelsen af denne artikel oplyst Moderniseringsstyrelsen om, at dens mainframe er havnet på en liste over usikre maskiner.

Samtidig har vi ønsket kommentarer omkring, hvad styrelsen fremadrettet vil gøre for at sikre sit store jern noget bedre. 

Styrelse: Harmløse data
Vicedirektør Trolle Andersen fra Moderniseringsstyrelsen takker for advarslen og fortæller, at styrelsen ikke er bekendt med, at databaserne på mainframen er blevet tilgået eller ændret i af personer med autoriseret adgang. 

Samtidig oplyser han, at de fleste datasæt på den specifikke mainframe er relativt harmløse. 

"De fleste data er offentligt tilgængelige efter et stykke tid, mens Finansministeriets forhandlingsdatabase er mere kritisk, da det er lønoplysninger på personniveau," fortæller Trolle Andersen. 

"Disse løn-oplysninger ligger dog bag login, og de har altid været krypteret. Samtidig har vi procedurer for, at når en bruger taster sit password forkert tredje gang, bliver man lukket ud af systemet," siger Trolle Andersen. 

Strammer op på sikkerheden

Med hensyn til sikkerhedsniveauet erkender han dog, at det ikke er godt nok i sin nuværende form.

Derfor har styrelsen taget initiativ til flere forskellige sikkerhedsopstramninger. 

"I går sørgede vi for, at det kun er fem specifikke IP-adresser tilhørende udviklere og andre af styrelsens tilknyttede it-folk, der kan komme til startskærmen og logge på systemet," forklarer Trolle Andersen, som svar på Peter Kruses kritik omkring den pivåbne internetadgang via Telnet-protokollen.

Samtidig har Moderniseringsstyrelsen sat folk på opgaven med at HTTPS-kryptere alt indhold på mainframen, så man ikke kan opsnappe brugernavne, password og data over nettet. 

"Arbejdet med HTTPS-kryptering forventer jeg er færdigt i løbet af meget kort tid, når vi har fået det testet i weekenden," lyder det fra Trolle Andersen. 

Listen med de tilladte maskiner

Derudover har styrelsens i går torsdag taget initiativ til, at det kun er statslige computere, som kan logge ind på mainframen. 

Det er sket ved en såkaldt whitelisting, der tjekker IP-adresserne for de maskiner, som forsøger at få adgang til mainframen via en browser. 

"Det betyder, at når du logger ind i systemet i den ukrypterede del af mainframen, bliver der foretaget en test af, om du sidder på en maskine med statslig IP-adresse. Er det ikke det, så kommer du ikke ind," forklarer Trolle Andersen. 

"Det vil sige, at kun maskiner udleveret af staten kan logge på. Så hvis du sidder på din egen maskine derhjemme, vil du ikke kunne få adgang til mainframen, fordi maskinens IP-adresse ikke er på vores liste," fortsætter han. 

Vicedirektøren fortæller, at denne whitelisting af statsligt udleverede computere har været på tegnebrættet længe.  

Men det er først i går torsdag, at det endelig er blevet gjort.

"Vi har ikke alene gjort det på grund af Computerworlds oplysninger, men det har i hvert fald fremskyndet processen," runder Trolle Andersen samtalen af med.

Konkret er whitelistningen blevet udført ved, at Moderniseringsstyrelsen har kopieret listen over alle statens IP-adresser og udarbejdet et script, der tjekker, om forsøg på browser-login også kommer fra en statslig maskine.

Her er den vigtige lære af Danmarks store hacker-sag


Overblik: Det store CPR-hack - så alvorligt er det