'Andreas' er pentester hos CFCS: Vores rapport kan bruges som løftestang til at bringe problemerne frem i lyset

Illustration: Virrage Images/Bigstock
Når CFCS pentester hos myndigheder, virksomheder og Forsvaret foregår det blandt andet med Kali Linux, nmap og social engineering.

Social engineering, nmap og Kali Linux er en del af værktøjskassen, når Center for Cybersikkerhed pentester hos myndigheder, virksomheder og Forsvaret.

Det fremgår af et interview med en pentester hos myndigheden, som CFCS har lagt ud. Pentesteren bliver præsenteret som 'Andreas' (med anførselstegn omkring) - vi antager, det er et opdigtet navn.

Flere Version2-læsere har nok hørt om både nmap og Kali Linux, der er gængse værktøjer til pentesting. Det bliver også nævnt i artiklen, at teknikkerne og værktøjerne som udgangspunkt er »almindeligt kendte og anvendes også af andre end CFCS.«

I den forbindelse fremgår det også, at CFCS som en del af Forsvarets Efterretningstjeneste har »adgang til efterretningsoplysninger, som er med til at kvalificere arbejdet.«

I interviewet fortæller ‘Andreas’ lidt om pentester-arbejdet hos CFCS:

»Vi starter altid med et møde, hvor vi laver en forventningsafstemning og aftale med den organisation, vi skal ud til. De har måske nogle forestillinger om, hvad de vil få ud af det, men vi kan hjælpe dem ved at komme med vores idéer. Men deres teknikere kender jo deres systemer og ved som regel også, hvor guldet ligger begravet. De ved også, hvor det vil gøre mest ondt og have størst konsekvenser,« siger ‘Andreas’ ifølge CFCS-interviewet.

Han forklarer lidt om forskellen på de præmisser, en rigtig hacker arbejder under, og så den måde, hvorpå CFCS laver pentest.

»Vi gør meget ud af at fortælle, at vi har et begrænset tidsrum. Derfor gør vi som regel ikke som et egentligt 'Red Team', men snyder lidt på vægten. Vi starter normalt ikke uden for hegnet, men beder for eksempel om at få en almindelig brugerkonto, så vi kan se, hvad vi kan derfra.«

2-3 personer

Af interviewet fremgår det, at et sårbarhedsanalyse-team fra CFCS som regel består af to til tre personer. Ud over at have afstemt forventningerne med den pågældende organisation på forhånd, så har holdet også fået grundlæggende systemdokumentation, og det er aftalt, hvis der er systemer, der ikke må røres ved.

»Nogle gange har vi også lavet en scanning for kendte sårbarheder, inden vi kommer. For hvis vi kommer ud, og det så viser sig, at der eksempelvis ikke er patchet for 'EternalBlue', så er det alligevel game over,« siger 'Andreas'.

Han fortæller også, at holdet kan lave social engineering.

Løftestang

Resultatet af sårbarhedsanalysen er en afrapportering.

»I starten, hvor jeg lavede de her undersøgelser, handlede det meget om at få 'domain admin'. I dag handler det mere om at vise organisationen, hvilken vej den skal gå. Med en undersøgelsesrapport i hånden kan teknikerne gå til cheferne og sige, at her er vi sårbare. Teknikerne ved måske godt, hvor det kniber, men de kan bruge en rapport fra os som løftestang til at bringe problemerne frem i lyset, så de kan blive løst,« siger 'Andreas' og fortsætter:

»Vi var ude hos en organisation, hvor vi fandt en masse ting. De brugte så vores rapport som løftestang, og da vi kom tilbage senere, så kunne vi se, at de havde gjort noget ved det. Nu havde de låst os ude, og det var en fed oplevelse.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Louise Klint

Tak for oplysning direkte fra kilden.
Jeg savner stadig svar på følgende 2 (enkle) spørgsmål, eller forhold,
som jeg finder stærkt bekymrende:

1) Hvad er argumentet for, at sikkerhedsundersøgelserne ^^
skal foretages af en efterretningstjeneste?

Jeg har ikke set/hørt nogen begrundelse for, at de ”forebyggende sikkerhedstekniske undersøgelser”, der er rettet imod almindelige, civile virksomheder og organisationer, skal udføres af en efterretningstjeneste.
Hvorfor er det nødvendigt?
Hvorfor er det relevant for de undersøgte, som køber ydelsen?

Hvorfor er det relevant, i denne forbindelse, at have »adgang til efterretningsoplysninger, som er med til at kvalificere arbejdet«?
(Som nævnt i CFCS’ egen artikel og ^^).
Det kommer en del bag på mig, og jeg forstår det ganske enkelt ikke. S.U.

Hvorfor er det relevant at sammenkoble forebyggende sikkerhedsundersøgelser, indenrigs, med en militær efterretningstjeneste, FE,
hvis formål bl.a. består i at dele information med udlandet?

Er der ikke en stor risiko for, at kompromittere de undersøgte danske virksomheder og organisationer, netop pga. af dette dobbeltformål?
Som andre også har været inde på.
https://www.version2.dk/artikel/it-folk-kaempe-problem-at-cfcs-ligger-mi...

Det kan muligvis være super relevant og en fordel for efterretningstjenesten,
men er det også en fordel for de undersøgte?
Der måske kan have svært ved at gennemskue denne konstruktion
(fordi den er så kringlet).
https://fe-ddis.dk/Opgaver/Pages/Opgaver.aspx
https://fe-ddis.dk/cfcs/opgaver/Pages/opgaver.aspx

2) Hvem/hvad beskytter danske medarbejderes retssikkerhed?
Med denne lov, L 215 (§ 6a, stk. 2, nr. 2 og 3) som CFCS/FE arbejder under her ^^,
får din chef mulighed for, og lovhjemmel til, at hyre efterretningstjenesten, CFCS/Forsvarets Efterretningstjeneste, til at overvåge og teste dig, mens du passer dit daglige arbejde. I hemmelighed og uden dit samtykke.

Din chef bestemmer således suverænt, om du har retssikkerhed eller ej.

Hvis din chef vælger at benytte CFCS/FE’s ydelse, så har du ingen retssikkerhed.
Siden hvornår er dine borgerrettigheder ikke længere sikret af Grundloven, men blevet op til din chef at afgøre?
(Siden 1. juli 2019, da loven, L 215, trådte i kraft).

Dette betyder i praksis, at man ikke har retssikkerhed som almindelig medarbejder på en dansk arbejdsplads.
Den er som vinden blæser – den er op til din chef!
Du kan således ikke vide dig sikker, som medarbejder på en arbejdsplads i Danmark.
Du kan ikke vide dig sikker for at blive overvåget eller testet af en militær efterretningsenhed, mens du har travlt med at passe dit arbejde.

(Eftersom de ”forebyggende sikkerhedstekniske undersøgelser”, som CFCS/FE ifølge loven nu udbyder, tilbydes til både den private og offentlige sektor).

Hvis dette ikke er et alvorligt sygdomstegn i et demokrati, så ved jeg ikke, hvad er.
Vi er i Danmark, år 2019.

https://www.ft.dk/samling/20181/lovforslag/L215/index.htm
https://www.ft.dk/samling/20181/lovforslag/l215/20181_l215_som_vedtaget.htm
https://www.ft.dk/ripdf/samling/20181/lovforslag/l215/20181_l215_som_fre...

  • 6
  • 0
Log ind eller Opret konto for at kommentere