Eksperter kritiserer Nationalbankens Solarwinds-håndtering: »Det hele virker too little too late«

Illustration: Nationalbanken
Lovlydig hacker fik vand galt i halsen, da Version2 gennemgik sagens detaljer for ham. Blandt andet vælger Nationalbanken den billigste og mindst grundige af to recovery-muligheder. Nationalbanken selv ønsker ikke at forklare sine beslutninger eller besvare spørgsmål.

Version2 kunne tidligere i dag fortælle, at Nationalbanken jævnfør en aktindsigt, Version2 har fået i sagen, i syv måneder fra juni til december 2020 havde en Solarwinds-bagdør i sit it-system.

Læs også: Danmarks nationalbank hacket som led i ‘verdens mest sofistikerede hackerangreb’

I den samme aktindsigt skriver Nationalbanken, at man ikke kan finde nogle IOC’er, Indications of Compromises. Med andre ord tyder intet ifølge Nationalbanken selv på, at Solarwinds-bagdøren er blevet udnyttet i de syv måneder, den har stået åben.

Men faktisk er der i løbet af det opklaringsarbejde, Nationalbanken og dens underleverandører har lavet, opdaget flere eksempler på ting, der ifølge eksperter kan være tegn på yderligere kompromittering.

Læs også: Sådan gennemhullede ukendte hackere Danmarks it-sikkerhed med spredehagl

Version2’s aktindsigt viser helt konkret, at en ZIP-fil med en installationspakke til en sårbar udgave af Solarwinds er dukket op i et servermiljø.

Derudover viser dokumenter, som er lækket til Version2 af en whistleblower, der er bekymret for sikkerheden i Nationalbanken, at den ramte Solarwinds-installation styrer og overvåger dele af Nationalbankens produktionsmiljø.

Dokumenterne viser også, at to core polling engines i det kompromitterede servermiljø begynder at kommunikere med internettet dagen inden, bagdøren lukkes i dem, samt at en server med en IP, der ikke umiddelbart genkendes, pludselig figurerer i en oversigt over netværket. Og at den har adgang til internettet. Det har en af Nationalbankens Solarwinds-installationer i øvrigt haft helt indtil d. 11 januar.

»Woah, what?!,« siger Lucas Lundgren, der som white hat hacker hos virksomheden Banshie lever af at trykteste virksomheders sikkerhed, og er ved at få det vand, han er i færd med at drikke, galt i halsen. Da han har fået vejret igen, fortsætter han:

»Det er godt nok stort. Selv hvis alt det her viser sig at være ingenting, er der helt sikkert brug for at hæve sikkerheden, for den virker mangelfuld,« siger hackeren, der mener, at det virker ‘som om man over hele linjen ikke har reageret hurtigt og voldsomt nok.’

»Det her burde være the big dig. Fort Knox. Og det er ikke det umiddelbare indtryk, man får. Det hele virker too little too late, og de risikerer at være kompromitterede dybere end stage1,« lyder det bekymret fra Lucas Lundgren.

Derudover viser de lækkede dokumenter, at Nationalbankens leverandør, JN Data, vælger det billigste af to scenarier, da man gen-sikrer det ramte servermiljø.

Læs også: Kæmpehacks sætter klassisk it-sikkerhed skakmat: »Ideen om en mur holder ikke«

Siden Nationalbanken og tre af dens it-leverandører, BEC, KMD og JN Data, ikke ønsker at stille op til interview, er det umuligt at sige, hvordan efterforskningen af de mystiske hændelser præcis er foregået, og hvad den er endt ud i. Men med den viden, vi besidder i dag, undrer flere eksperter sig over Nationalbankens håndtering. Det kommer vi tilbage til senere.

Priority 1

For at få det bedst mulige overblik over sagen, skal vi tilbage til 14. december 2020. Det er her, det går op for verden, at formodede russiske statshackere har formået at indbygge bagdøre i en version af Solarwinds Orion, der er blevet installeret i 18.000 organisationer og virksomheder verden over. Herunder Nationalbanken, bankens leverandør BEC, flere energiselskaber og Statens It.

JN Data, der leverer netværksovervågningen til BEC’s servere i Nationalbanken, reagerer med det samme. For den netværksovervågning faciliteres netop af den ramte version af Solarwinds Orion - det kompromitterede stykke software, der har givet it-afdelinger i hele verden sved på panden.

De lækkede dokumenter viser, at JN øjeblikkeligt opretter en såkaldt priority 1-sag, og at JN Datas Cyber Defence Center (CDC), aktiveres.

Hvad der præcis ligger på de servere, Solarwinds Orion har overvåget og styret for JN Data og Nationalbanken, fremgår ikke. Dokumenterne viser dog, at der blandt andet er tale om et produktionsmiljø med mere end ti løbende backups, to polling engines og adskillige store switches.

Det første store spørgsmål

Det leder direkte til det første store spørgsmål: Var Kronos2, det digitale hjerte i Danmarks finansielle infrastruktur helt eller delvist styret og overvåget af den ramte Solarwinds-installation?

Solarwinds er blevet nævnt i forbindelse med et møde om drifts-stabiliteten af Kronos2, der udgør rygraden i den finansielle infrastruktur i Danmark Illustration: Mads Lorenzen, uddrag af aktindsigt

Kronos2 er særligt interessant, fordi der hver dag flyder 639 milliarder kroner gennem systemet, der faciliterer alle betalinger mellem bankerne, og som udgør skelettet i den danske, finansielle infrastruktur. Som det også fremgår af billedet, faciliterer Kronos2 indirekte alle valutahandler, detailbetalinger og værdipapirhandler.

Version2’s aktindsigt hos Nationalbanken viser, at Solarwinds-kompromitteringen indgik i et statusmøde om driftsstabiliteten af netop Kronos2 den 25. januar 2021. Derfor har Version2 forsøgt at få Nationalbanken til at be- eller afkræfte whistleblowerens påstand om, at Kronos2 vitterligt er koblet op på den kompromitterede Solarwinds-installation. Som det er tilfældet med alle vores øvrige spørgsmål, har Nationalbanken ikke ønsket at svare.

Nationalbankens manglende vilje til at forholde sig til Version2’s spørgsmål ærgrer Carsten Schürmann, der er professor i it-sikkerhed på ITU.

»Hvis alt er sikkert og er foregået efter bogen, hvorfor så ikke komme ud og sige det?,« starter professoren, der mener, at Nationalbanken burde åbne op:

»Der er brug for en bedre gennemsigtighed, så alle kan lære af det her. Måske har de faktisk gjort det rigtige, og så kan andre lære af dem.«

»Bare så I kan sove trygt i nat :-)«

Tilbage i december er det ikke kun JN Data, der er i gang med at finde ud af, hvad der er sket. Version2’s aktindsigt viser, at der den 16 december tikker en mail ind hos den it-sikkerhedsansvarlige hos Nationalbanken.

En ZIP-fil dukker op og bliver slettet med det samme. Illustration: Mads Lorenzen, uddrag af aktindsigt

Overskriften er »Bare så I kan sove trygt i nat :-)«, og den kan ses her på siden.

Af mailen fremgår det, at KMD, der også driver dele af Nationalbankens it-setup, har kørt et malware-check. KMD skriver:

»Hej alle. Egenkontrolleren ligger jo og holder øje med alverdens .exe filer på serverne, og se hvad den har sladret om siden i lørdags…“Nogen” har fredag-lørdag downloadet SolarWinds Orion til en produktionsserver i MGT domænet :-)«

I en opfølgende mail fremgår det, at der var tale om en installationspakke, der ikke var pakket ud. Deraf konkluderer KMD Nationalbank, at den ikke er installeret - og derfor slettes den med det samme. Det fremgår ikke af aktindsigten, hvilken version af Solarwinds det var, eller om ZIP-pakken indeholdt andet.

Sletter muligt bevismateriale

Og hvad der kan virke som en intuitivt fornuftig handling - at slette noget, der kan være farligt for ens system - forundrer Lucas Lundgren:

»Slettede de filen? Nej. NEEEJ! Angriberne ved helt sikkert, de er opdaget, hvis det er deres ZIP-fil, og den slettes. Nationalbanken er gået lige i fælden. I stedet skulle de have puttet logning på filen og kopieret den ind i et sikkert miljø for at se, hvordan den opfører sig, og hvad den indeholder,« siger Lucas Lundgren.

»Hvis jeg så en ZIP-fil, jeg ikke selv havde hentet, ville jeg tænke 'hvad fanden?!' Som det fremgår af den mail, er det en kæmpe Indication of Compromise,« lyder det fra hackeren, der bakkes op af sin kollegiale konkurrent, sikkerhedsrådgiver hos Improsec, Morten Munck:

»Det er best-practice at lave en forensic-undersøgelse for at finde ud af, hvad der er blevet eksekveret på maskinen og på den måde finde ud af, præcis hvad der er sket,« siger Morten Munck, der ikke vil udtale sig konkret om Nationalbanken, men kun om, hvad der generelt er best practice i it-sikkerhedsbranchen.

Som det fremgår af aktindsigten er der ikke lavet yderligere undersøgelser af filen, inden den blev slettet, men det materiale, Version2 har fået via aktindsigt og læk, tyder ikke på det. Nationalbanken har stadigvæk ingen kommentarer.

Var serverne slukket eller ej?

Imens KMD bøvler med ZIP-filen, lukker JN Data ifølge whistleblowerens dokumenter ned for den ramte Solarwinds-installation, mens Solarwinds-installationerne patches med sikkerheds-updates. 16 december 2020 kører Solarwinds igen, viser dokumenter, Version2 har fået af whistlebloweren.

Det stemmer ikke overens med, at BEC, der har kontakten til Nationalbanken, skriver til banken, at Solarwinds fortsat er lukket ned d. 18 december 2020, som det fremgår i Version2’s aktindsigt. Nationalbanken har ikke ønsket at kommentere på, om de føler sig tilstrækkeligt oplyst af underleverandørerne.

»Den her server er ikke vores«

Den 18. december popper endnu en mistænkelig hændelse op. En Solarwinds-installation, som JN Data-medarbejdere ikke kan genkende, fremgår pludselig på oversigten over nationalbankens netværk. Det rejser en intern bekymring, som JN Datas Cyber Defence Center præsenteres for, viser de lækkede dokumenter.

Det spor ender blindt. Hvad JN Datas CDC gør herfra, ved vi ikke. Morten Munck ønsker ikke at kommentere på den konkrete sag, men konstaterer:

»Når der er tale om kritisk infrastruktur, bør man have styr på, hvilke enheder, der er i ens netværk,« siger sikkerhedsrådgiveren.

Vælger billigste løsning

Samtidig foregår der en vigtig diskussion i JN Datas Cyber Defence Center. For skal man genetablere alle de services, Solarwinds har styret og holdt øje med fra bunden, eller skal man nøjes med at nulstille kodeordene til dem?

Nulstilling af passwords koster lige under én million kroner, mens en total genetablering af de mange services står i lige over tre millioner kroner, fremgår det.

JN Data vælger den mindst omkostningstunge og hurtigste løsning og nøjes med at nulstille kodeordene, fremgår det af whistleblowerens dokumentation. Det bekymrer white hat hacker Lucas Lundgren:

»Det er foruroligende, de ikke genoprettede diverse services, men kun skiftede kodeord. For hvis systemer vitterligt er kompromitteret, eller man antager det er kompromitteret, så behøver angriberne ikke kodeordene. Med andre ord kan man ændre låsen til døren, men som angriber var det første jeg ville gøre at lave en bagdør til mig selv. Og det har de altså haft syv måneder til i det her tilfælde,« siger Lucas Lundgren, der igen bakkes op af Morten Munck:

»Hvis man er blevet kompromitteret af avancerede modstandere, kan det være svært at vide, om man har fået fjernet alle spor. I sådanne tilfælde bør man overveje at genetablere services fra en ”kendt god” backup eller bygge helt nyt.«

Går mod leverandørs anbefaling

Og i Solarwinds-sagen er der bestemt tale om avancerede modstandere, vurderer it-sikkerhedsprofessor Carsten Schürmann.

»Man skal også huske, hvem man er oppe mod her. Det er sandsynligvis den russiske efterretningstjeneste, FSB. Hvis de først har en bagdør, kan de gøre enorm skade,« siger Carsten Schürmann.

Beslutningen går også imod hardwareproducenten Ciscos Solarwinds-anbefalinger. Cisco leverer ifølge Version2’s dokumentation stort set al Nationalbankens netværks-hardware. Konkret skriver Ciscos sikkerheds-afdeling, Talos:

»Nulstil alle credentials, Solarwinds bruger og implementer en rotationspolitik for disse accounts. Kræv lange og komplekse kodeord,« lyder det fra Cisco, der altså anbefaler at man opretter nye credentials og ikke bare skifter kodeordene til de gamle. Og det gør sagen endnu mere klar, mener ekstern lektor i it-sikkerhed, Jan Lemnnitzer:

»Hvis 3 millioner er prisen på en højere sikkerhed mod et russisk hack af Nationalbanken, er det billigt,« siger Jan Lemnitzer og Lucas Lundgren stemmer i:

»Tre millioner er peanuts i sådan en sammenhæng, især når der faktisk er flere små mistænkelige hændelser.«

Version2’s lækkede dokumenter viser desuden, at der går en uge, før passwords nulstilles, hvilket lyder langsomt i Lucas Lundgrens ører:

»Det virker vildt mærkeligt, at Nationalbanken ikke har mere kontrol, men lader deres underleverandører behandle de her ting så langsomt,« siger Lucas Lundgren som en direkte reaktion.

Version2’s lækkede dokumentation viser også, at der går en uge fra JN Data’s Cyber Defence Center får valget mellem de to løsninger, til det giver grønt lys til den mindst omfattende af dem. JN Data går altså ikke i gang med nulstillingen af kodeord med det samme.

Én måned senere: Solarwinds tages af internettet

Et par uger senere, omkring den 11. januar, beslutter JN Data, at internetadgangen til Solarwinds skal sløjfes. Det fremgår af de lækkede dokumenter, Version2 ligger inde med.

Her fremgår det, at det vil skabe praktiske problemer i forhold til driften og opdateringen af Solarwinds, fordi den ikke kan nås direkte, men at det godt kan lade sig gøre. Og det åbner endnu en flanke, vurderer Carsten Schürmann:

»Hvis man kan tage en tjeneste af internettet, skal man gøre det, og selvfølgelig helst inden skaden sker. Det handler simpelthen om at gøre angrebsfladen så lille som muligt.«

Han bakkes op af Lucas Lundgren:

»Det hele skulle have været af internettet med det samme og forblive sådan, indtil der var klarhed over situationen. Hvis man kører systemer som Kronos2, man ikke kan tage offline, så kør et replica, mens man laver en ren installation, der kan tage over så snart som muligt,« siger white hat hackeren.

Servere begynder at snakke

Den 11. januar dukker der flere oplysninger op ifølge det læk, version2 er i besiddelse af. To af BEC’s såkaldte polling engines har sendt netværkstrafik på et tidspunkt, de burde være tavse. Helt konkret begynder serverne at sende netværkstrafik den 16 december, dagen før de skulle opdateres med den sidste hotfix fra Solarwinds, der skulle lukke bagdøren i dem endeligt.

Netværkstrafikken klassificeres af JN Data som ‘Office 365-trafik,’ som det beskrives i lækket. Derfor vælger man, fremgår det, ikke at se videre ind i denne hændelse.

Men denne form for klassificeringer ikke er noget, man typisk kan stole 100 procent på, idet den kan manipuleres på forskellige måder, fortæller Lucas Lundgren og whistlebloweren.

»I har fandme brugt timer af vores juristers tid«

Version2 har gentagne gange henvendt sig til BEC, KMD, JN Data og ikke mindst Nationalbanken, der umiddelbart afviste at stille op til interview med følgende bemærkning:

»Nu har I fandme brugt jeg ved ikke hvor mange timer af vores juristers tid på en aktindsigt, og så vil I også have et interview?!,« lyder det fra en kommunikationsrådgiver hos Nationalbanken.

Siden da har Nationalbanken sendt følgende kommentar til Version2 på mail. Den forholder sig ikke konkret til et eneste af vores spørgsmål:

»SolarWinds-angrebet ramte også den finansielle infrastruktur i Danmark. De relevante systemer blev inddæmmet og analyseret, så snart kompromitteringen af SolarWinds Orion blev kendt. Der blev grebet konsekvent og hurtigt ind på en tilfredsstillende måde, og ifølge de udførte analyser var der ingen tegn på, at angrebet har haft reelle konsekvenser.«

Ærgerlige over stilhed

Den manglende respons fra Nationalbanken overrasker ikke Version2’s kilder, men den ærgrer dem:

»De spørgsmål, I har stillet, er gennemtænkte og peger mod information, der skal ud. Så det er interessant, at de ikke siger noget,« lyder det fra it-sikkerhedsprofessor Carsten Schürmann, der bakkes op af Lucas Lundgren:

»Alle kan blive hacket, det er ikke det faktum, at de blev ramt, men deres reaktion, jeg synes er skuffende,« siger Lucas Lundgren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Martin Slot

»Nu har I fandme brugt jeg ved ikke hvor mange timer af vores juristers tid på en aktindsigt, og så vil I også have et interview?!,«

Fordi det er jo juristerne der laver IT sikkerheden, så nu har de brugt tid på at svare jer, og det er tid væk fra at fikse problemet ...... Tjaaaah.

  • 35
  • 0
#2 Povl H. Pedersen

Jeg mener også at det er et problem såfremt jurister laver IT Sikkerhed, eller skal lave en masse CMA letters rundt omkring det. Men det er lidt problemet med ISO standarden, den er ikke konkret.

Hvis der ikke er ageret som der bør gøres, så kan det skyldes, at der er mangel på IT Sikkerhedskompetencer rundt omkring - Og generelt IT folk med kompetencer. En angriber (hacker) ser typisk tingene anderledes end forsvareren.

Jeg tror mange chefer der stilles overfor 2 løsninger, den til 1 mio og den til 3 mio (Forstår ikke helt prisen - virker høj) vil vælge den til 1 mio medmindre han kan se at han virkelig får valuta for at betale 3x mere. Det gælder også de fleste forbrugere.

Man gør det bedste man kan, man vurderer situationen, estimerer de huller man har i informationen og bruger dette til beslutningsgrundlag.

Måske burde de have ageret anderledes, måske har de gjort tilstrækkeligt og sparet os alle for penge. Det er der ingen der ved med sikkerhed.

Men det er faktum, at man IKKE skal give sine servere direkte adgang til Internet. Og slet ikke hvis man ønsker et fornuftigt sikkerhedsniveau. Som minimum skal alle servere (undtagen Citrix som regnes som workstations og er segmeneret væk som sådan) igennem en proxy server der kun tillader whitelistede destinationer (ofte nødvendigt da faste IP adresser efterhånden er en umulighed). Så ville de stadig kunne lave automatiske opdateringer. Det er ikke svært at hæve sikkerhedsniveauet i datacenteret på denne måde. Og det er best practice.

Staten har opstillet fine krav: https://digst.dk/styring/standardkontrakter/klausuler-til-informationssi... Gamle SANS CIS 20 - Der er ivertfald krav om inventory af devices og software (1+2) Og krav K181: Leverandøren skal sikre, at kun porte, protokol-ler og tjenester med bekræftede forretningsmæs-sige formål anvendes til Kontraktens opfyldelse.

Denne bør dække at der ikke må være fri Internetadgang fra servere der ikke har behov for det. Og det er en del af foundation (minimumskrav)

Kravene er der - Men underleverandør har nok læst dem på en anden måde.

  • 13
  • 0
#5 Mogens Lysemose

Danmarks nationalbanks produktionsnetværk var direkte på internet længe før kompromiteringen blev opdaget og lang tid efter. Tror de det er en en bolchebutik???

De har potentiale til at lukke al finansiel aktivitet i hele Danmark. De. Har potentiale til at trække euroen langt med i faldet.

Jeg er rystet over at det offentliges generelle IT-naivitet er fortsat ind i Nationalbanken. Denne skødesløshed truer nationens sikkerhed og stabilitet!

Hvor er NC3 henne i alt dette?

Og hvordan kan det koste en million at skifte passwords - og hvorfor er det en diskussion om det koster 1 eller 3 når det truer nationens sikkerhed?

  • 13
  • 0
#6 Peter Valdemar Mørch

Solar Winds har givetvis haft administrator lignende passwords til al væsentlig infrastruktur.

Så alle potentielt kompromitterede servere, også dem der tillod adgang med de samme service konti skal geninstalleres og genkonfigureres fra scratch. Vi snakker vel hundreder eller tusinder af servere og services. Inklusive risiko forbundet med at ved nyinstallation er det givetvis andre versioner end det der kørte før, og problemer med at ingen aner hvordan halvdelen af skidtet var konfigureret og hvorfor.

Og så skal dette nye system testes benhårdt både for funktionalitet og sikkerhed.

Plus en masse timer til jurister og projektledere.

Dertil skal lægges omkostninger forbundet med nedetid ved skift over til det nye system og at i X dage/uger/måneder derefter vil der være ting der ikke længere virker.

3 mill. lyder alt, alt for billigt. Gang det med 100 så nærmer vi os...

  • 2
  • 0
#7 Henrik Møller Jørgensen

Da det er ‘Office 365-trafik,’ vælger man ikke at se videre ind i denne hændelse.

Jeg ved godt at 365 er meget online, men burde man ikke tjekke om der er noget på de servere, der kunn tænkes at generere den trafik?

'Ukendt server kommunikerer med internettet', hele beskrivelsen lyder ret bekymrende

  • 4
  • 0
#8 Jeppe Glasdam

Det betaler vi en masse skattekroner for. Ikke nok med de ikke er så gode til it-sikkerhed. Men de kan som minimum kommuniker på ordentlig og respektfuld måde.

Og jeg synes også de har en hvis pligt at stille op interviews, som offentlig institution.

  • 2
  • 1
#9 Bo Andersen

Jeg arbejder et sted hvor jeg har sørget for at den praktiske sikkerhed nu er så god som muligt, herunder at implementere processer der sikrer, at sikkerheden til stadighed ajourføres og kontrolleres.

Takken er, at man har ansat en jurist, som nu skal være ansvarlig for sikkerheden. Resultatat er, at nu er fokus drejet over på papir og skåltaler.

  • 1
  • 0
#10 Bo Andersen

De fleste IT chefeer ved ikke en pot om IT og kan defor ikke træffe de rigtige IT-faglige beslutninger.

I et samfund hvor man vil fremme digitalisering og hvor mange virksomheder og myndigheder er afhængige af IT synes det mærkværdigt, at IT chefstillingerne beklædes med fagligt inkompetente ansatte ?

  • 2
  • 0
Log ind eller Opret konto for at kommentere