CSC-sagen: Hackerne slog logning fra

Illustration: leowolfert/Bigstock
Det er stort set umuligt at finde ud af, hvad hackerne har foretaget sig inde i CSC's systemer, da de har slået logningen fra.

De hackere, som brød ind i CSC'-systemerne, slukkede for logningen, som ellers er til for at fange uregelmæssigheder og følge spor. Der skriver Politiken, som har fået fat i en hemmelig rapport om angrebet.

Hackerne havde adgang til systemerne i fem måneder, og allerede efter tre dage fik angriberne tildelt sig selv rettigheder som systemadministratorer, hvorefter de kunne slukke for logningen.

Dermed har det ifølge rapporten ikke været muligt at »skabe et komplet overblik over kompromitteringen«.

»Angriberen havde formodentlig rettigheder til at kopiere, slette, ændre og tilføje data (...), hvilket indbefatter data fra politiet, CPR-registret, Skat og Moderniseringsstyrelsen«. Sådan skriver Center for Cybersikkerhed – en afdeling under FE og PET i rapporten fra august, ifølge Politiken.

»De data, som ligger på CSC’s systemer, kan man ikke garantere er intakte. Folk kan være fjernet fra kriminalregistret, cpr-registret og Schengenregistret. Adgangen har kunnet misbruges til at modificere data, uden at man bagefter kan afsløre det – og det er det allerværste«, siger it-sikkerhedsekspert Peter Kruse til Politiken.

I rapporten konkluderes det, at både politiet og CSC har svigtet ved ikke at have nok fokus på sikkerheden;

»I den konkrete sag er det konstateret, at CSC ikke har været i stand til at detektere hackerangrebet. Systemer bør altid monitoreres på en måde, så det er muligt at detektere, hvis der forekommer usædvanlig trafik eller usædvanlige trafikmønstre, samt vurdere, om det pågældende trafikmønster indikerer et hackerangreb« står der i rapporten.

CSC skriver i en mail til Politiken, at de betragter sig selv som offer for en kriminel handling, som ikke kunne være forudset eller forhindret, men ville ikke svare på avisens spørgsmål.

Firmaet slipper nok ikke med at kalde sig selv offer. I hvert fald overvejer Rigspolitiet at anlægge både erstatnings- og politisag mod CSC.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (31)
Frithiof Andreas Jensen

Ingen og/eller Intet läser logfiler hos CSC! Ellers ville nogen nok have bemärket at der ikke genereres den sädvanlige mängde irriterende data.

Givetvis sidder der et cron-job som körer dem igennem SEC hver 6' måned for at möde et löst formuleret krav i kontrakten. Så, alting er sikkert i orden.

Troels Jensen

Nu ved jeg ikke hvilken type rettighedssystem CSC's systemer kører med, men hvis hackerne har haft rettigheder til at slukke for logningen har de nok også haft skriveadgang til de forskellige systemprogrammer og kan have udskiftet dem med versioner der indeholder bagdøre.

Man må håbe CSC som et minimum geninstallerer operativsystem osv. på de servere der kan have været berørt.

magnus ravnborg

Man må håbe CSC som et minimum geninstallerer operativsystem osv. på de servere der kan have været berørt.


Ja, det kan vel ikke undre nogen, hvis CSC først nu overvejer at få ryddet op efter indbruddet.
Men at dansk politi/justitsministeriet stadig entrerer med et firma af den kaliber..... måske var det velovervejet, da Hækkerup valgte at spille sorteper videre?

Henrik Pedersen

CSC leverer kun det de er blevet bedt om, for at sikre størst mulig profit. Når kravene til sikkerhed er defineret, så er det sikkert i retning af:
"Log alle handlinger" => Ok vi har nogle tekstfiler.
"Udfør scanning af logs for sikkerhedsbrister". => Ok vi kører et cronjob.
"Brug seneste sikkerhedssystem" => Ok. Vi bruger noget fra da Mainframen blev født og kontrakten lavet.

Uanset hvad så er CSC virkelig gode til at drive virksomhed. De formår virkelig at malke kunderne og skabe profit.
http://www.proff.dk/firma/csc-danmark-as/valby/softwareudvikling/1348491...

Desværre er de knapt så gode til "softwareudvikling" (og drift) som deres branche ellers hedder... Der er de en flok lallende amatører. Jeg har også selv siddet i telefonen med deres "Tekniske ledere" osv. og de har somme tider hakket og ikke forstået en brik af hvad jeg har fortalt dem.. Man skal nærmest bare sige "HTML" før deres tekniske ordforråd er sat til tælling.....

Jens Jönsson

Man kan da virkelig undre sig over, hvorfor et firma af CSC's størrelse og med karakteren af data de administrerer ikke har en form for passiv overvågning.

Næh, det kan man vel egentligt ikke. Det du nævner koster penge, mange penge og da de sikkert har ønsket at profit optimere, så er det noget der er skåret fra.
Et meget godt eksempel på hvorfor systemer som dette >ikke< skal outsources. Du finder aldrig en leverandør der vil være opgaven voksen, eller en stat der vil betale, hvad det virkelig koster.

Det kunne både give advarsel ved unormal trafik og datagrundlag til efterforskning.

Nemlig...

Jens Jönsson

CSC skriver i en mail til Politiken, at de betragter sig selv som offer for en kriminel handling, som ikke kunne være forudset eller forhindret...

De mener med andre ord at lige meget hvilke systemer, hvilke adgange, hvilke ansatte, hvilke sikkerhedstiltag osv. osv. de havde brugt, så var det sket alligevel.

Tænk at vi betror vores data til dem....

Christian Nobel

Hvordan kan anklagemyndigheden egentlig lave denne anklage:

"De er tiltalt for at have fremkaldt omfattende forstyrrelse af informationssystemer, at have skaffet sig oplysninger om erhvervshemmeligheder og groft hærværk."

Al den stund man dels ikke kan påvise "hærværket" eller nogen forstyrrelser (man må jo nærmest sige der ikke har være nogen forstyrrelser, da busines as usual jo har kørt hos CSC.), og der ikke er noget bevis for "erhvervshemmeligheder" - i det hele taget ved CSC intet om hvad der er sket, hvilket burde være aldeles ansvarspådragende, og nok til at man i et normalt retssamfund ville frafalde sagen mod Warg og JT.

Noget skurrer fælt.

Henrik Pedersen

Det er simpelt. CSC har stærke politiske forbindelser.

Samfundet skal bruge en syndebuk før nogle begynder at vende lyset mod CSC.
Hvis CSC falder, så vil ansvarlige mellem-ledere og politikere ligeledes ryge med i faldet.

Så det er i "alles" (dvs. de ansvarliges) bedste interesse at holde lortet kørende og finde at større tæppe at feje tingene ind under.

Der er en svensk mesterhacker jo et godt sted at starte.

Kevin Rasmussen

Ja hvor simpelt kan det ikke være...Deaktiver syslog demonen.
At CSC - som grundet sin størrelse og klassifikationen af den data de Hoster - ikke benytter en enterprise SIEM løsning, er simpelthen til grin.
Netop en SIEM løsning ville i dette tilfælde bimle og bamle hvis den ikke længere modtog den forventede mængde af log data, både samlet treshold og specifik type af log data.
Netop her - endnu - en rigtig god case for hvorfor det kan være en over ordentlig god forretning at implementere en sådan løsning. Selv Statens-IT har forstået at når Center for Cyber Sikkerhed anbefaler en centralisering af log data, og meget gerne med en rapportering/alarmerings komponent ovenpå, ja så er det jo nok ikke for sjov.
Et useriøst og amatør agtigt foretagende, og hos dem vælger en stor del af de offentlige instanser at placere deres data... Jeg fatter det ikke.

Jesper Louis Andersen

Det her er bare standard manglende defense-in-depth.

  1. Hackerne kommer ind. Av. De benytter en fejl som vores leverandør enten ikke kender, eller ikke har oplyst om. Av.

  2. Det første en hacker vil gøre er at forfalske eller slette loginformation. Derfor skal sådan noget information samles op af et andet system og gemmes på forsvarlig vis. For at lave et sikkert IT-system skal du have mindst to systemer: Det ene udfører opgaven, det andet logger at opgaven udføres korrekt. I det konkrete tilfælde er det nemt at detektere et problem siden logfilerne har ændret sig temmeligt voldsomt.

  3. Data der ligger i hvile på en disk skal have fingeraftryk. Man kan passende starte med at læse om Merkle-trees eller IDS-systemer. Det gør at man kan verificere integriteten af sine data efter uheldet er ude og hurtigt vide om man stadig har gode data.

  4. Man skal kunne genskabe miljøet uden at man skal arbejde manuelt. Så når uheldet er ude, så genskaber man selve systemet ovenpå de data man har fingeraftryk på er korrekte. Det sikrer at der ikke opstår denne type problemer senere.

--

Hvem er de lallende amatører i den her forbindelse? Det er ikke CSC. Det er dem der valgte CSC til at begynde med.

Sidsel Jensen Blogger

CSC var igennem en længere arbejdskonflikt i 2011 - en masse IT-folk blev fyret på gråt papir fordi de var for "dyre i drift" + noget af opgaven blev vist udliciteret til indiske taga....I april 2012 fyrede CSC igen - denne gang 450 personer primært i Danmark...CSCs nordiske direktør og operative direktør John Walsh udtalte den gang:

Det er nødvendigt for os at omstrukturere forretningen, så vi kan sikre høj fleksibilitet, vækst og kvalitet i leverancerne til vores kunder

I sommeren 2012 kommer en hacker forbi og kan boltre sig uopdaget i flere måneder....

Vi lader billedet om "kvalitet i leverancerne" stå et øjeblik

Jens Jönsson
Michael Weber

I hvert fald overvejer Rigspolitiet at anlægge både erstatnings- og politisag mod CSC.

De overvejer ligefrem...om det kan give problemer i forholdet til USA?
Der har jo tilsyneladende været så mange advarselsalmper, der blinkede at CSCs forsvar på bygges på en påstand om at de medførte et massivt, vedvarende epileptisk anfald, der efterlod CSC i en skiftevis katatonisk og vegetativ tilstand til fare for rigets tilstand.

Naee....det er vist ikke PETs opgave...den slags.

Dennis Nielsen

Nej, desværre ikke: http://www.version2.dk/blog/ibm-mainframes-er-en-sikkerhedsrisiko-58294

Ja PHK, det var startskuddet til en af dine bedste føljetoner :)
Den fortjener en ny runde efter denne sag.

Men godt det ikke er mig der skal til at geninstallere sådan en mainframe løsning.
Syntes det var hårdt nok da jeg skulle starte forfra på en af mine webservere da den havde haft besøg af kinesere :(

Jesper Louis Andersen

Men godt det ikke er mig der skal til at geninstallere sådan en mainframe løsning.
Syntes det var hårdt nok da jeg skulle starte forfra på en af mine webservere da den havde haft besøg af kinesere :(

I professionelle systemer har du lavet skabeloner af dine maskiner så du kan genskabe dem ved tryk på en knap. Det er sådan du deployer nye udgaver af din software og det at bygge en maskine er nøjagtigt det du gør for at deploye. Når maskinen er færdigbygget sætter du den i drift i virtuelt miljø: vmware, xen, kvm, eller bedre: Illumos Zones eller FreeBSD jails.

Du har 2 driftmiljøer: blåt og grønt. Du skifter så mellem det der er i drift og det der står standby for næste deployment. Det betyder også at rollback er instant ved fejlede opgraderinger idet du bare switcher tilbage igen.

Når du har haft indbrud, så isolerer du det ene miljø fra det andet og gennemgår det nye miljø med en tættekam for at være sikker på at du ikke lader hackeren ind. Og selvfølgelig retter du angrebsvektorerne i det nye miljø og styrker dets sikkerhed passende, da den oplagt viste sig for svag.

Det er bare pissesvært når du kun har 1 mainframe der koster en bondegård. Hovedfordelene ved mainframe er stille og roligt sivet ud til resten af verden, og nu konkurreres der direkte på prispunktet - et sted hvor mainframe har rigtigt svært ved at følge med.

Finn Christensen

De lallende amatører, aka vore folkevalgte, det lader til kollektivt har truffet en beslutning om, de ikke VIL blive klogere.

Oprindelig var nuværende CSC et statslig + kommunalt I/S, der udviklede og driftede databehandlingen, 'DC' eller 'Centralen' som det nævnes udadtil, eller 'Socialen' benyttet af interne spøgefugle.

75% af det daværende Datacentralen I/S af 1959 bliver solgt til nuværende CSC i 1996 ..https://da.wikipedia.org/wiki/Datacentralen_I/S_af_1959

Og gæt hvem der havde travlt med salget af dette arvesølv, således nogle huller i statskassen kunne stoppes.. Nyrup-regeringen med Hr. Lykketoft som kuglestøber.

Helt den samme personkreds, der også bl.a.:

  • omdannelse af Statens Konfektion til A/S og sælges. Driftsgrundlaget (statslige bestillinger) udebliver hvorefter firmaet gik konkurs.

  • at Giro, som hvert år gav et overskud til statskassen, skulle sælges. Først til Bikuben i 1995, og få år efter opkøbes den af gebyr-fabrikant-virksomheden Danske Bank. Gebyrpolitik samt dengang gratis netbank får hurtigt flyttet aktivitet til bankernes systemer (nu Nets), og løsningen med simple og billig betalingstransaktioner blev dermed lukket.

  • elektrificering var en dårlig ide, og vi skal i stedet have disel - planen endte som velkendt med fiaskoen IC4 og IC2.

  • der for at undgå en konkurs måtte sælge DSB Busser, det statslige busselskab Combus, for 100 kr. til Arriva[1].

  • der lavede for ringe salgsvilkår for samfundet ifm. salg af landets samlede offentlige teleselskaber (TDC). Oprindelig oprettet som Tele Danmark med en stor pose penge, som de forholdsvis hurtigt formøblede, og blev hhv. i 1994 & 1997 derefter solgt på så ringe vilkår for samfundet, så vi her 20 år lever med ulykkerne.

[1] ..http://www.dr.dk/nyheder/htm/baggrund/tema2000/Rokade%20i%20Nyrups%20reg...

Erik Trolle

Mig bekendt var alle disse beslutninger stort set enstemmige i folketinget, så hvem der lige sad på taburetten har meget lidt med det at gøre...


Enig....
Men der var nogen der skulle bringe forslagene til tinge. At det var den måde man skulle lukke hullet i den slunkne statskasse.
Nu ved ingen hvad der ville være sket, om disse selskaber ville have været sparet til døde, hvis det ikke var blevet gjort. Det værste er, at ingen vil røre ved fejltagelserne, de fortsætter i det uendelige.....

Finn Christensen

Mig bekendt var alle disse beslutninger stort set enstemmige i folketinget...

Jeg har endnu til gode at opleve småbørn siger nej, hvis man tilbyder slikaften mandag, torsdag og lørdag i stedet for kun om lørdagen ;)

Du glemmer vist, Poul-Henning, at det var samme tidspunkt, hvor denne her ..http://www.gf.dk/minimalstat.pdf så dagens lys, så regeringen vidste på forhånd, at der var fri bane til at omsætte arvesølvet.

Befolkningen ville jo ført opdage konsekvenserne og de ændrede betingelser ifm. vores infrastruktur mange år efter, at regeringen, ministre, embedsværket m.fl. var væk og nye ansigter kommer til.

Man fortsatte som i Anker Jørgensens periode med at sælge og pantsætte ("arvesølvet") bidder af borgerne og borgernes børns fremtid - desværre.

Frithiof Andreas Jensen

Mig bekendt var alle disse beslutninger stort set enstemmige i folketinget


Der finde altid et "bredt forlig" bagved enhver svinestreg fra folketingets side - det er blandt andet derfor at diskussionen om "röd"/"blå" politik er nytteslös. Det "dem" og "os", Klassekamp af den gamle skole - selvom man endnu ikke tör sige dette "i ordentligt selvskab".

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017