Hackersagen dag 9 - CSC-vidne: Sårbarheder i mainframen havde patch måneder før hullet blev lukket

De to sårbarheder, der gav hacker ubestridt adgang til CSC’s mainframe, stod åbne i flere måneder efter IBM frigav patch mod problemet. Patchen havde sikkerhedsgraden ti, som betegnes som meget alvorlig.

En patch til et alvorligt sikkerhedshul var tilgængelig hos IBM flere måneder inden CSC blev underrettet om hackermistanke af dansk politi. Patchen havde fået rating-graden 10, der indikerer, at den lukker et meget alvorligt sikkerhedshul.

Men da CSC ikke umiddelbart kunne få noget at vide om, hvad patchen gk ud på, blev patchen planlagt til at indgå i den almindelige patch-cyklus. Patchcyklussen er på mellem 3 og 12 måneder, forklarer CSC’s Martin Gohs på hackersagens niende dag. Patchen blev frigivet fire måneder efter det sidste hackerangreb øjensynligt fandt sted i august 2012.

Martin Gohs, der er chef for CSC's sikkerheds strikforce i Europa, har i Retten på Frederiksberg i dag forklaret, at det var to ’zero day’-sårbarheder som gav hacker adgang til CSC’s mainframe i 2012. Tiltalt i sagen er svenske Gottfrid Svartholm Warg samt danske JT.

Den første sårbarhed blev anvendt til at skaffe den indledende adgang, og den anden til at udvide brugerrettighederne for hackeren, forklarede Gohs. Fra vidnestolen kunne Gohs fortælle, hvad sårbarhederne i udgangspunktet bestod af.

I begge tilfælde tillod sikkerhedshullerne en bruger at give webserveren en get-kommando. Med kommandoen har hackeren kunne forespørge CSC’s webserver om at lave kommandoer på mainframen frem for at vise en hjemmeside.

»Man kan bede webserveren om at udføre en kommando uden for den normale arbejdsområder, hvis systemet ikke er beskyttet godt nok,« lød det fra Gohs.

Patch eksisterede måneder inden CSC lukkede hul

CSC blev ifølge Martin Gohs opmærksom på et sikkerhedsproblem, da dansk politi i slutningen af februar 2013 tog kontakt til CSC. Herefter gik selskabet i gang med en undersøgelse af mainframen og fandt en række usædvanlige forespørgsler på mainframen.

»Forespørgslerne var usædvanlige, fordi de var meget lange og indeholdte meget data. De var også usædvanlige fordi de indeholdte system-kommandoer,« forklarede Martin Gohs

»Vi laver en fejlsag og spørger IBM, om det er en fejl, der er kendt, eller en fejl, der ikke er kendt. Og det er en kendt fejl, og der er en patch, som vi så kan installere,« fortsatte han.

Anklager Maria Cingari spørger om patchen lukker den såkaldte ’zero day’-sårbarhed, hvilket bekræftes af Martin Gohs.

»I har ikke selv opdaget noget usædvanligt inden da,« spurgte anklageren

»Når det er en ’zero day’ så er den i sagens natur ukendt for os og leverandører. Og hackeren har gjort en stor indsats for at passe ind i systemet og bevæge sig inden for rammerne,« svarede Gohs.

Patchen, som lukkede hullerne, var frigivet fra IBM d. 19. december 2012. Men der er ifølge Gohs ingen information om, hvad der har ledt til at patchen er blevet sendt ud.

CSC vil kaste slør over retssag

Ved Martin Gohs side sad i dag advokat Hans Jakob Folker som repræsentant for CSC. I et stopfyldt ringbind havde advokaten markeret alle de informationer, som virksomheden ikke ønsker offentliggjort.

»Det vi markerer med gult, er noget vi betragter som erhvervshemmeligheder. Vi vil selvfølgelig gerne lade retten behandle dem, men vi vil ikke have dem ud i offentligheden,« indledte advokaten.

Oplysningerne drejede sig om de tekniske detaljer omkring sårbarhederne og om brugeroplysninger til CSC’s systemer. Både anklager og forsvarer gjorde CSC’s advokat opmærksom på, at flere af oplysningerne allerede havde været fremme i sagen og oppe på de skærme, som deler sagens dokumenter med tilhørerne.

De aktuelle brugernavne er ikke længere i brug, men de siger stadig noget om strukturen i brugernavnene, forklarede advokaten. Han ville dog ikke insistere på at lukke dørene for tilhørere for at skjule oplysninger, der allerede har været fremme i sagen.

21-årige JT og 29-årige Warg risikerer op til seks års fængsel, hvis de kendes skyldige.

Version2 er til stede i Retten på Frederiksberg.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Olesen

... Herefter gik selskabet i gang med en undersøgelse af mainframen og fandt en række usædvanlige forespørgsler på mainframen.

»Forespørgslerne var usædvanlige, fordi de var meget lange og indeholdte meget data. De var også usædvanlige fordi de indeholdte system-kommandoer,« forklarede Martin Gobs

Det burde da få overvågningen til at lyse rødt med det samme!

Kristian Sørensen

Det er da godt at CSC ikke hoster følsomme data, men bare helt ligegyldige data og systemer ingen kriminelle har interesse i at opnå adgang til.

Ellers ville det beskrevne sløvsind jo være uansvarligt.

JEG SKAL LIGE UD AT KASTE OP

Hvornår kommer den retssag mod CSC, CSCs ledelse, CSCs nøglemedarbejdere og de offentligt ansatte der sidder på kundesiden i det forhold, for udvist uansvarlighed med vore alle sammens data, som vi alle sidder og venter på?

Mogens Lysemose

I guder, man kan jo google sig til et exploit på det fejlnr: https://raw.githubusercontent.com/mainframed/MainTP/master/MainTP.py
Og tjek lige comments headeren:

(...) This program generates#

a JCL which creates a C program, compiles it, and executes it using
a privilege escalation exploit to obtain UID 0.
#
The uploaded JCL contains an implementation of CVE-2012-5951
originally discovered by whomever perpetrated the Logica mainframe
breach.

Der sendes her hilsner til den skyldig i logica sagen som sandsynligvis er den samme som i csc -sagen!

Log ind eller Opret konto for at kommentere