Ekspert og professor revser Nationalbankens »beskæmmende og betænkelige« lukkethed

Illustration: Imilian | Bigstock
Nationalbanken tydeliggør en lukket kultur om it-sikkerhed i Danmark, lyder det fra ærgerlig professor i it-sikkerhed.

Selvom det nu er tre dage siden, Version2 kunne dokumentere at Nationalbanken blev kompromitteret af det internationale Solarwinds-hack, er Nationalbanken fortsat tavs som graven.

Læs også: Danmarks nationalbank hacket som led i ‘verdens mest sofistikerede hackerangreb’

Det eneste, Nationalbanken har meldt ud efter Version2’s artikler er en kort nyhed på bankens eget website, hvor banken afviser alt og skriver, alt er foregået efter best practice.

Det på trods af at Version2 kan dokumentere flere hændelser og omstændigheder i forløbet som tyder på, det ikke er tilfældet.

Version2 har de sidste dage fortalt, at der i Nationalbankens forløb under Solarwinds-angrebet både har vist sig en mystisk ZIP-mappe, en ukendt Solarwinds-IP og uforventet netværkstrafik fra Solarwinds-installationer. Derudover var den ramte Solarwinds-installation koblet direkte på internettet indtil midten af januar.

Læs også: Eksperter kritiserer Nationalbankens Solarwinds-håndtering: »Det hele virker too little too late«

»Der påhviler de virksomheder og organisationer, der driver vores kritiske infrastruktur, et vist ansvar. De bør være transparente omkring sikkerhedsbrud, og helt eller delvist succesfulde angreb,« siger Carsten Schürmann, der er it-sikkerhedsprofessor på IT-Universitetet.

Han bakkes op af John Foley, der som tidligere medlem af den nationale operative stab (NOST) ligeledes er skuffet over den lukkede tilgang til it-sikkerhed, Nationalbanken praktiserer.

»Det er jo noget beskæmmende og betænkeligt, at man ikke ønsker at være med i et interview, hvor der med rette kan stilles spørgsmålstegn om Nationalbankens håndtering af SolarWinds angrebene,« siger John Foley.

V2’s spørgsmål fortjener svar

Carsten Schürmann hæfter sig også ved Version2’s dokumentation, som han mener kræver svar fra Nationalbanken, hvis vi skal stole på, sagen er blevet håndteret ansvarligt.

»Jeg er ikke overrasket over at I ikke får svar på jeres gode spørgsmål, der er gennemtænkte og peger mod information, der skal ud,« lyder det fra professoren der finder det ‘interessant, at de ikke siger noget,’ selvom han ikke finder det overraskende.

Samtidig fremhæver John Foley, at man ikke behøver afsløre hemmeligheder, men sagtens i mere generelle og overordnede vendinger kan fortælle, hvad der er foregået:

»De hjælper og bidrager således ikke til at højne viden og indsigt om angrebene, hvilket anses for uheldigt, alt den stund at vi sandsynligvis ikke har set det sidste til konsekvenserne af angrebene.«

Dårlig kultur om åbenhed

Både han og Carsten Schürmann mener, Danmark helt generelt halter bagud, hvad angår gennemsigtighed og bred oplysning om it-sikkerhed.

»I mange andre lande, og især i USA, har man været meget mere åbne og fortalt om hvilke organisationer, virksomheder og myndigheder, der har været ramt og påvirket. Men i Danmark er man påfaldende tavs og meget tilbageholdende med overhovedet at dele den viden, man ligger inde med,« siger John Foley.

Det afspejles også i virksomhedernes manglende responsible disclosure-politikker, mener Carsten Schürmann:

»Danmark har ingen reel kulturel tradition for responsible disclosure, og næsten ingen selskaber tilbyder responsible disclosure-politikker. Det betyder, at white hat hackere ikke er godt beskyttet, og det gør generelt set, at it-systemer i Danmark ikke er så sikre, som de kunne være,« siger Carsten Schürmann.

Viden deles i siloer i stedet

Forskellige dele af den danske, kritiske infrastruktur har fora, de deler oplysninger om angreb i. Version2 har eksempelvis tidligere interviewet med energibranchens EnergiCERT om netop Solarwinds.

Læs også: EnergiCERT efter Solarwinds-hack: »Den selvfølgelige tillid til softwaregiganterne er rystet«

Men én ting er at dele viden om angreb med den del af infrastrukturen, man selv er en del af, en anden er at dele den mere offentligt, mener John Foley:

»Det kan tænkes at man på de indre linjer og med Center for Cybersikkerhed er mere villig til at fortælle og dele viden, men desværre kommer det ikke befolkningen og samfundet direkte til gode, da man ikke gerne oplyser om, hvad der reelt er sket, eller hvilke angreb der har været,« lyder det skuffet fra sikkerhedskonsulenten, der slutter:

»Alt sammen måske i et ønske om at fremstå i et bedre lys end sagen berettiger til.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Michael Cederberg

Ministerier og centrale myndigheder synes at operere med en nul-fejls kultur. Man er basalt set ude af stand til at indrømme når man laver fejl. Blot man ignorerer problemet, taler det ned, spreder ansvaret ud til mange, etc. så vil offentligheden blot glemme sagen og gå videre. Det plejer også at ske.

I dette tilfælde begik Nationalbanken en fejl da den valgte Solarwinds. Men det var en fejl som den ikke kunne have garderet sig imod. Havde man valgt noget andet kunne det være gået lige så skidt. Man synes også at have reageret hurtigt med at få lukket hullet så der er heller ikke noget at komme efter.

Men at bruge "nothing to see here, move along folks" kommunikation når man skal beskrive impact af angrebet er kontraproduktivt fordi meget allerede er kendt omkring denne malware. Med med mindre Nationalbanken har kun har kørt Solarwinds på en lille del af netværket (og det ville lidt ødelægge formålet med løsningen), så har Solarwinds installationen haft adgang til næsten alt på deres netværk. Og dermed kan næsten alt være blevet ramt.

Nationalbankens leverandør af det kompromitterede program, Solarwinds Orion, vurderer det derfor som en ‘umulig opgave at bevise udeblivelsen af IOC’er (Indications of Compromise, red.)’, skriver leverandøren i en intern mail til Nationalbanken.

Det er således umuligt at bevise at malware hullet ikke er blevet udnyttet. Derfor er Nationalbankens skråsikre udtalelse rent "nothing to see here, move along folks" ....

  • 25
  • 0
#2 Jan Heisterberg

Beviset for IOC er øjensynligt vanskeligt eller endog umuligt.

Kunne sådanne produkter ikke bygges sådan, at der i endnu højere grad blev logget / registreret ? Een ting er forebyggelse, en anden ting er registrering med hemblik på senere diagnose. Ja, produkterne bliver måske 50% dyrere, og ja, hackere vil også angribe logningen (som tyveknægte der benytter hansker for at forhindre fingeraftryk eller klipper alarmen).

Andre steder, luftfart og skibsfart, har indført logning i form af både teknisk logning (position, kurs, fart, højde, drejehastigheg osv) OG i form af stemmeoptagelse i cockpit eller på kommandobroen. Så andre har taget konsekvensen af havarikommissionernes behov.

Er it-logning tilstrækkelig ? Eller er der lidt Frode Frejegod over det ? Det plejer at gå godt .....

  • 2
  • 1
#3 Klavs Klavsen

Men det var en fejl som den ikke kunne have garderet sig imod.

Øjensynligt har de købt udstyr der KRÆVER åben internetadgang til "moderskibet".. Lige opskriften for supply-chain attacks - og noget man BURDE have fanget da man evaluerede produktet (fordi man altid sikrer at udstyr IKKE har internet adgang OVERHOVEDET) - så JO det ER noget de kunne have garderet sig imod - ved at tage supply chain attacks alvorligt og IKKE have så åbne ladedøre..

Opdateringer får man så leveret på anden vis - og installerer direkte (eller peger på repo lokalt f.ex. som enheden så henter opdatering fra). På den måde ville den bagdør slet ikke have kunnet åbne nogen forbindelse udadtil - og de VILLE have set når den forsøgte noget den ikke plejede - lige efter en systemopdatering - og kunne have været dem der opdagede problemet og meldte det til Solarwinds.

Simple regler ALLE bør følge.

  1. Ingen internetadgang - OVERHOVEDET.. undtagelser er farlige og bør være unødvendige, da de også betyder at hvis det eksterne site er nede så er din service ofte nede.

  2. OVERVÅG dine logs for enheder der forsøger trafik der bliver afvist - og hav en procedure for at identificere årsagen til denne trafik.

Et eksempel. Engang for mange år siden satte vi et windows website produkt op og undrede os over, at når man brugte søgningsfunktionen på websitet - så tog det længere tid for hvert nyt søgeresultat.. Det viste sig at website koden på serverne forsøgte at nå en ADSL server på en udviklers hjemmekontor i norge - og da det blev blokeret - ventede den på timeout - for hvert søge resultat (den slog ugenr. op :)

  • 6
  • 0
#4 Henrik Juul Størner

Øjensynligt har de købt udstyr der KRÆVER åben internetadgang til "moderskibet"..

Så tåbelig er Solarwinds dog ikke, den kører fint uden Internet adgang og patches installeres fra filer der downloades på anden vis.

Der er desværre en panisk angst blandt - især offentlige - institutioner og virksomheder for at oplyse om cyberangreb. Jeg havde egentlig håbet at flere ville følge Mærsk's eksempel og være åbne om hvad der var sket, men det var åbenbart naivt.

Lær det nu: Alle bliver udsat for angreb, det er ikke noget man behøver skamme sig over. Man skal kun skamme sig hvis man ikke lærer noget af sine fejltagelser - og helst også af andres fejltagelser, men det er der ikke mulighed for når den generelle holdning er "ingen kommentarer".

  • 12
  • 0
#5 Klavs Klavsen

Så tåbelig er Solarwinds dog ikke, den kører fint uden Internet adgang og patches installeres fra filer der downloades på anden vis.

Godt at høre. Hvorfor POKKER har nationalbanken så haft givet den udgående internet adgang? Uden den adgang - kunne den jo ikke have åbnet en "tunnel" ud til angriberen, eller ?

svjv. er fireeye en boks man kører "al trafik" igennem.. Så angrebet KUNNE godt være skrevet så man sendte "bestemt trafik" i mod noget der var BAGVED en fireeye - og så fangede fireeye det - og på den måde kunne man "bede den gøre noget/åbne en port".. ?

Var det bygget så smart (noget sværere at blokere) - eller var der bare åbent for udafgående forbindelser (tcp-syn) fra fireeye enheden?

  • 1
  • 0
#6 Michael Cederberg

Er it-logning tilstrækkelig ? Eller er der lidt Frode Frejegod over det ? Det plejer at gå godt .....

Det er faktisk et rigtigt godt spørgsmål. Svaret handler om hvad man ønsker at bruge logning til. Hvis man ønsker at bruge logning til at følge brugeres handlinger i systemet, til at debugge issues, etc. så er simpel logning til en lokal fil godt nok (og ja, jeg ved godt der findes bedre løsninger).

Når det handler om at håndtere sikkerhedsincidents hvor selve systemet er frygtes kompromitteret, så er ovenstående naturligvis ikke nok. Filen kan ændres. Derfor bør logningen ske i et separat system hvor det loggede ikke kan ændres. Jeg menes at huske at atomkraftværket på Three Mile Island skrev alle hændelser ud på en matrixprinter på papir i endeløse baner. På den måde har man en i praksis tamperproof log. Det er det samme vi har brug for … bare i moderne udgave. Det findes derude men hele området er ikke et mange virksomheder har taget alvorligt.

Man kunne også forestille sig at Nationalbankens internet provider loggede alle connections til og fra banken. På den måde ville man have mulighed for at se lidt af ugerningerne. Her kommer anti-lognings mafiaen naturligvis på banen. Anyway, hvis man først har overtaget en eller flere servere på nettet, så er det relativt nemt at hive ondsindet data frem og tilbage i det skjulte. Hver gang vi laver en krypteret kanal så åbner vi potentielt også en kanal for ondsindede personer til at smugle data ind og ud af virksomheden.

Opdateringer får man så leveret på anden vis - og installerer direkte (eller peger på repo lokalt f.ex. som enheden så henter opdatering fra).

Ja der er mange muligheder for at styrke sikkerheden. Det ændrer dog ikke ved at det er svært at beskytte sig mod supply chain attacks. I princippet kunne det ligeså godt have været et angreb mod leverandøren af deres firewall, wifi drivere på laptops, etc.

Det ændrer ikke ved at Solarwinds Orion løsning var et fantastisk angrebspunkt. Sjovt nok har ingen rigtigt nævnt netværksovervågningssoftware som angrebsvektor før det her skete. Gad vide hvor mange andre af den slags der ligger derude?

  • 1
  • 1
#8 Klavs Klavsen

Det ændrer ikke ved at Solarwinds Orion løsning var et fantastisk angrebspunkt. Sjovt nok har ingen rigtigt nævnt netværksovervågningssoftware som angrebsvektor før det her skete. Gad vide hvor mange andre af den slags der ligger derude?

Arghh.. Det er ikke rigtigt. FireEye har haft flere store sårbarheder igennem årene svjv. (og fordi den "kigger på trafikken på vej til dens mål" - har det været den slags hvor man angriber "mellemmanden"..

Og igen - du kan udnytte en sårbarhed, hvis du kan få boksen til at læse det du sender til den.. MEN det er jo netop derfor man IKKE lader ens udstyr "snakke med fremmede" aka. internettet unødigt :) Bokse såsom FireEye der skal inspicere trafikken - vil selvf. kunne angribes via den trafik de kigger på, men hvis man begrænser hvad de kan lave af trafik selv - så burde man om ikke andet fange en angribers forsøg på at "komme videre efter angrebet" - og dermed opdage at noget er galt.

HVIS altså man følger de 2 simple regler netværksmæssig "principle of least priviledge" og overvåger for uventet trafik (ie. forventer et "tomt deny filter" - og reagerer og fikser det, når det ikke er tomt - så det bliver en overskuelig process at opdage sådanne hændelser.

  • 1
  • 0
#10 Michael Cederberg

Arghh.. Det er ikke rigtigt. FireEye har haft flere store sårbarheder igennem årene svjv. (og fordi den "kigger på trafikken på vej til dens mål" - har det været den slags hvor man angriber "mellemmanden"..

Ja ... jeg var upræcis. Uden på nogen måde at være expert så er det min oplevelse at FireEye udfylder en anden opgave end Solarwinds Orion. Jeg skulle have skrevet network management software.

Det interessante ved software som Orion er netop at værdien kommer af at man kan se (næsten) alle devices på netværket. At man kan interagere med dem. Hvis man har opdelt sit netværk i VLANs eller i øvrigt segmenteret det, så vil Orion have adgang til (næsten) alle VLANs (sikkert multihomed) og/eller der vil være firewall regler til tillader adgang til (næsten) alle devices.

Ofte kører der en probe på alle de overvågede computers som har mange rettigheder. Med andre ord: hvis man har fat i Orion så er der stor sandsynlighed for at man kan eksekvere egen kode på rigtigt mange maskiner på nettet med mange rettigheder.

Det er i mine øjne en anden opgave end den FireEye udfylder.

Jeg skal dog sige at jeg ingen erfaring har med Orion. Min erfaring kommer fra andre network management løsninger. Min forståelse er dog at principperne er de samme.

HVIS altså man følger de 2 simple regler netværksmæssig "principle of least priviledge" og overvåger for uventet trafik (ie. forventer et "tomt deny filter" - og reagerer og fikser det, når det ikke er tomt - så det bliver en overskuelig process at opdage sådanne hændelser.

Ja ... men der er rigtigt meget software hvor det ikke er nemt. Det ændrer ikke ved at jeg mener at det er den eneste vej frem.

Her kommer anti-lognings mafiaen naturligvis på banen

Er det dem, der ønsker at loven overholdes, du kalder en mafia?

Næh, loven skal overholdes. Men loven er forkert og bør laves om. I dette tilfælde er "loven" EU domstolens fortolkning af EU charteret. Staten har en legitim grund til logning - dette er et godt eksempel på at udvidet logning vil være en fordel for borgerne. Men den slags logning skal under domstolskontrol sådan at vi ikke har en wild west situation som i dag.

Jeg forestiller mig at alle må logge men at man skal tage skridt til at det loggede ikke umiddelbart kan læses (fx. krypteres). Krypteringsnøgler opbevares hos 3. part og må først udleveres når der fremvises en dommerkendelse. Man kan fint lave en løsning der er sikker.

Når jeg taler om anti-lognings mafiaen så er det den gruppe som ingen logning ønsker overhovedet. De er med til at holde os i den wild west situation vi har i dag fordi de ikke er villige til nogen kompromisser.

  • 2
  • 2
#12 Ditlev Petersen

Jeg menes at huske at atomkraftværket på Three Mile Island skrev alle hændelser ud på en matrixprinter på papir i endeløse baner. På den måde har man en i praksis tamperproof log.

Korrekt om Three Mile Island, men forkert om tamperproof. Logprintet tog så lang tid at skrive ud i forhold til mængden af nye hændelser, at man måtte slette spool-filen for at have en chance for at følge med, for at få aktuelle oplysninger og ikke være timer bagefter.

Man kan måske lave en tamperproof logserver, men det kræver, at den virkelig er beskyttet, og at beskyttelsen ikke er kompromitteret. Hvis det var Hollywood, så ville serveren stå i et særligt rum, som hackerne giver hedeslag ved at pille ved kølingen. Eller sætter i brand eller oversvømmer. Loggen er måske intakt, men hackerne har nu et stort forspring.

En anden mulighed, jeg lige kom på, er at drukne logserveren med skrammel-data. Når disken er fuld, logges der ikke så meget. Det vil tage timer, før nogen reagerer og aner rænkerne.

Jeg forventer royalties fra Hollywood.

  • 1
  • 0
Log ind eller Opret konto for at kommentere