Få overblikket: Politiet hacket - men hvad skete der?

Illustration: Virrage Images/Bigstock
Nyheden om det store hackerangreb mod politiets registre fyldte medierne torsdag eftermiddag. Her kan du få et overblik over historien.

Danmark har fået sin første, rigtigt alvorlige hackersag, hvor hackere fik uhindret adgang til en række af politiets registre i månedsvis, uden at det blev opdaget.

Her er et overblik over sagen, som den står nu:

Hvem står bag?

Ifølge politiet er bagmændene en dansk 20-årig mand, der blev anholdt onsdag på Østerbro i København, samt den svenske stifter af Pirate Bay-tjenesten, Gottfrid Svartholm Warg, der i forvejen var fængslet i Sverige. Her er han sigtet for serie af alvorlige hackerangreb, der på mange måder ligner angrebet mod CSC. Blandt andet skulle han være trængt ind i Nordeas banksystemer i Sverige og have overført 24.200 kroner fra en bankkonto, som tilfældigt tilhørte en dansk fagforening.

Læs også: Politiet bekræfter: Kræver Pirate Bay-stifter udleveret for CSC-hacking

Læs også: 20-årig, københavnsk it-konsulent anholdt i CSC-hackersag

Hvad er blevet kompromitteret?

Hackerne fik adgang til registre, som CSC driver for politiet, nemlig databasen over danske kørekort samt et fælles EU-system til efterlyste personer og ID-papirer, Schengen Information System. Hackerne downloadede store mængder data fra systemerne, hvilket sandsynligvis betyder, at CPR-numre på millioner af danskere er blevet stjålet. Desuden blev brugernavne og passwords til 10.000 e-mail-konti stjålet.

Læs også: CSC-hackerangreb vokser: 10.000 tjenestemænds e-mail hacket

Sigtelsen mod den danske anholdte rummer også en anklage om ændringer i konfigurationsfiler, som skulle have givet store forstyrrelser i informationssystemer hos det danske politi. Det tyder på, at hackerne har haft adgang til også at ændre data.

Hvad er konsekvensen?

Ifølge Justitsministeriet og politiet er der ikke tegn på, at oplysningerne er blevet misbrugt. Men at hackere har fået adgang til politiets egne systemer, og først blev opdaget på grund af den svenske efterforskning af en anden sag, har tydeligvis gjort indtryk på politikerne.

Både justitsminister Morten Bødskov og indenrigsminister Margrethe Vestager har lovet et eftersyn af it-sikkerheden i den danske offentlige sektor og for danske CPR-numre.

Læs også: Justitsministeren om CSC's it-sikkerhed: »Stærkt utilfredsstillende«

Læs også: Vestager ekspres-kulegraver CPR-sikkerhed efter hacking af CSC

Læs også: Bødskov: PET, FE og politiet arbejder på opklaring af CSC-hacking

Potentielt kunne hackerne have misbrugt disse oplysninger eller solgt dem videre. Hvis Gottfrid Svartholm Warg står bag angrebene, som politiet mener, var det danske politi også ramt af det held, at han blev anholdt i Cambodia den 30. august 2012, fordi svensk politi ønskede ham udleveret. Tre dage før anholdelsen stoppede hackerangrebene mod CSC. Havde han kunnet fortsætte arbejdet lang tid endnu, var udbyttet hos Politiet og CSC måske blevet endnu større.

Læs også: CSC: Rigspoliti-hacking var del af angreb mod IBM-mainframes i flere lande

Hvordan skete det?

Detaljerne i sagen er ikke offentliggjort, men justitsministeren har lovet, at det hele bliver undersøgt til bunds og munde ud i en rapport.

Men der er tilsyneladende mange lighedspunkter mellem anklageskriftet mod Gottfrid Svartholm Warg i Sverige og den danske sag, og i Sverige har Logica/CGI måttet fremlægge en 537-siders lang rapport om hackerangrebet. Her fremgår det blandt andet, at sikkerheden i adgangsmodulet RACF i IBM’s z/OS-system til mainframes var lav, og at Logicas ansatte sløsede med passwordsikkerheden.

Læs også: Hemmelig rapport: Sådan blev den svenske centraladministration hacket

Hvornår skete det?

Hackerangrebet begyndte ifølge politiet den 7. april 2012 og sluttede den 27. august samme år.

Dansk politi og CSC opdagede først, at der var noget galt, da svensk politi i januar 2013 tippede dem om en dansk udløber af deres sag mod Gottfrid Svartholm Warg. Der var nemlig fundet danske IP-adresser i det omfattende materiale, som blev fundet på den hovedmistænktes computer.

Siden januar 2013 har politiet i Danmark så arbejdet på sagen, som førte til en anholdelse i Danmark den 5. juni, og først derefter ville politiet fortælle om sagen offentligt. Ellers risikerede man, at alle spor blev slettet, forklarede justitsministeren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Heden

Jeg forstår ikke hvorfor alle er så bekymrede? Kan nogen forklare mig det?

Muligvis er et system hvor mit CPR nummer står blevet hacket. Så læser jeg et andet sted at man skal holde øje med om der kommer pakker man ikke har bestilt eller regninger på ting man ikke har modtaget(gør man forhåbentligt altid) men hvad er det der er blevet stjålet som skulle øge internetsvindlen? Det er sjældent man skal udfylde CPR nummer ved e-handel, medmindre der er nogen som vil oprette en forsikring i mit navn :)

  • 1
  • 4
Brian Hansen

Tjoh tjah, nysgerrighed og selve udfordringen driver dem typisk i starten, men nogen bliver desværre fristet til at rage til sig, og der går det typisk galt. Du kan lave meget lort på nettet, men så snart der er penge involveret, så er straffen hård. Som alle andre steder i samfundet :-)

  • 0
  • 0
Henrik Kramshøj Blogger

Jeg forstår ikke hvorfor alle er så bekymrede? Kan nogen forklare mig det?

Det er fint nok, du skal ikke bekymre dig, staten har kontrol, politiet skal nok finde dem, Bødskov fremsætter snart et lovforslag som giver højere straf eller gør det ulovligt at dele viden om hacking - problem solved.

Du skal ikke tænke på om nogen kan misbruge dine private data til at udgive sig for at være dig, det sker så sjældent. CSC har nok den største samling af offentligedata, måske kun med konkurrence fra bankerne og KMD? Det er ALLE typer data som ligger der fra

De første 100 som bliver udsat for identitetstyveri vil blive smidt i RKI/experian, mistænkeliggjort, latterliggjort, ydmyget, straffet for andres gøren og laden, blive usikre, blive utrygge, miste rettigheder - først når tilstrækkeligt mange har været igennem møllen bliver problemet forstået og procedurer iværksat som letter på processen.

Men det er fint nok ...

Under konflikten mellem CSC og PROSA hvor de gerne ville bruge Indiske arbejdere satte Forsvaret og Rigspolitiet sig imod at andre udenfor Danmark fik adgang - fordi data er klassificeret "FORTROLIGT" og "HEMMELIGT".

Vi taler altså om systemer, for Politiet, Udenrigsministeriet, IT- og Telestyrelsen, Skat, CPR og Forsvaret m.fl.

Men det er fint nok ... du skal ikke være bekymret

  • 20
  • 0
Benjamin Balder

@Mikael Barfred

Nej, de kan godt have lagret passwords "salted" og stadig vil brugerens password blive indtastet og transmitteret ukrypteret via netværket, førend den på serverens system modtages ukrypteret passerer gennem flere applikationslag, indtil det i sidste instans hashes og sammenlignes med en hashet udgave i databasen.

Hvis man får adgang til f.eks. en mail server, skal man bare lytte efter det rigtige sted, så kan man gemme login-forespørgsler med cleartext passwords. Endnu lettere: Hvis de ikke har f.eks. SSL-kryptering på deres mail protokoller, kan man bare sniffe netværkstrafik.

  • 0
  • 0
Povl H. Pedersen

Selvom de kører SSL / HTTPS til mailserver, så kan en hacker der har overtaget maskinen da bare lave en "proxy" på samme port, flytte mailserveren til en anden, og så fange alle passwords der typisk flyder i klartekst i tunellen. Det er trivielt. Det hele afhænger af hvor mange rettigheder brugeren har haft.

I windows kan man smide et password filter på DC'erne. Det får et klartekst password og brugerID når brugeren forsøger at skifte, og så kan det vurdere om det er stærkt nok. Det er trivielt at logge til en fil fra en sådan DLL.

Passwords er ikke sikre.

  • 0
  • 0
Arthur Andreasen

Spørgsmålet er da relevant. Indtil videre var der mest tale om cpr-numre. Jeg har aldrig forstået hvorfor de pludselig skal behandles som top-secret. Da jeg flyttede til dk fik jeg cpr-numret og ingen oplyste at jeg ikke måtte den give videre. Der er mange instititutioner og virksomheder som krævede den udleveret og bruger den som id. Problemer opstår kun hvis nogen kommer på det vanvittige ide at cpr-nummeret i kombination med navn, adresse, telefonnummer - altså lettilgængelige offentlige data - bruges til at identificere og legimtimere en juridisk person. Politiet formåede jo at udlevere pass og banker oprettede konti kun på baggrund af cpr.nr. og sådanne data.
Problemet vil forsvinde på kort tid hvis instititutioner/virksomheder skulle yde fuld erstatning til skadevoldte pga. sådan letsindig adfærd.

  • 0
  • 0
Log ind eller Opret konto for at kommentere