Folketingets it advarer mod at logge på Lenovo-pc'er med administrative rettigheder

Sikkerhedsbristet i Lenovo-maskiner har fået Folketingets it til at advare medlemmer og ansatte mod at logge på computere med administratorrettigheder.

Version2's dækning af sagen om et sikkerhedshul i Lenovos firmware har foranlediget en intern skrivelse hos Folketinget, hvor ansatte og medlemmer i udgangspunktet anvender maskiner fra den kinesiske pc-producent.

Af intranet-skrivelse fra Folketingets it-chef Ole Søndergaard fremgår det, at »sikkerhedsbristen består i, at en krænker vil kunne gå uden om maskinens datakrypteringssystem, der sikrer at data kun kan læses, hvis man kender Windows kodeordet.«

Det bemærkes desuden, at sikkerhedsbristen potentielt også kan optræde i andre maskiner end dem fra Lenovo, da det er en tredjeparts leverandør og ikke Lenovo selv, der står bag den sårbare firmware.

Lenovo har tidligere oplyst, at det er en af virksomhedens underleverandører, en såkaldt IBV'er (Independent Bios Vendor), der har leveret den sårbare kode. Og dermed kan den sårbare kode altså i princippet godt ligge i maskiner fra flere producenter.

»… jeg vurderer ikke, at der er en overhængende fare for en udnyttelse af situationen.«

I beskeden fra it-chefen bliver det desuden bemærket, at risikoen for at nogen udnytter sikkerhedsbristen anses for at være lav.

Til Version2 siger Ole Søndergaard:

»Som vi har tolket de tekniske udmeldinger skal man være i besiddelse af et administratorpassword for at kunne udnytte denne sikkerhedsbrist. Derudover skal man være i besiddelse af computeren, og man skal kunne gøre brug af et USB-stik. Så jeg vurderer ikke at der er en overhængende fare for en udnyttelse af situationen.«

Hvordan er I nået frem til de konklusioner?
»Vi har analyseret problemstillingen ud fra de tekniske indlæg om sagen, bl.a. fra Lenovo.«

Selvom faren for udnyttelse altså ikke bliver vurderet til at være overhængende, slutter beskeden, som blev sendt ud via Folketingets intranet i søndags, alligevel med følgende:

»Dog vil vi anbefale dig – indtil at vi kan melde at sikkerhedsbristen er elimineret – at du ikke logger dig på din pc med administrative rettigheder. Endvidere bør du naturligvis undlade at udlåne pc’en til andre.«

Elimineringen af sikkerhedsbristen kan muligvis have lange udsigter. I et indlæg bragt i dag på Version2, fortæller blogger Poul-Henning Kamp om, hvorfor et fix til sikkerhedshullet ikke nødvendigvis er lige om hjørnet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
René Nielsen

Forstod jeg det rigtigt, at Folketingets medlemmer logger på deres arbejdspc som administrator?

Det er betryggende at vide, at landets ledelse overholder Best Practice indenfor arbejdspc'ers sikkerhed - ironi kan forekomme.

Og det i et land som har et folketingsudvalg for små øer, Grønland og andre vigtige emner - men ikke et stående folketingsudvalg for IT..

  • 15
  • 0
Anne-Marie Krogsbøll

Håbet er lysegrønt:-)

Ved John Foleys sikkerhedshøring i efteråret fortalte en bevidst anonym PET-IT-ekspert den måbende forsamling, inkl. 2 folketingsmedlemmer, at Folketingets WiFi er (eller i hvert fald indtil da "var") pivåbent og ubeskyttet - det samme WiFi, som de to folketingsmedlemmer intetanende anvendte.

  • 9
  • 0
Bent Jensen

Den er næsten være end en legetøjstelfon til en 3 årige, han kan ikke ringe ud :-)

Men hvornår fyres de ansvarlig for indkøb af IT til folketinget, de har jo være advare temelig ofte, men der var ikke noget at komme efter. Lige som telefoncentraler fra Kina ikke har indbyget bagdøre. Det står de samme sikkerhed personer. som har godkendt tingene til folketinget jo og siger at det ikke er. Og dem kan vi stole på, da de har helt styr på det. De er så dygtige at de får penge mange steder fra.
Løn fra folketinget, returkommition som ferie og weekendt ophold fra producenter,
samt penge fra 3 parts 3 bogstavers.

Men ud over så er der ingen skade sket, der har jo kun været behandlet biting som køb af fly, broer, forsvars og andre småting. Hvor man som systemadministrator ikke skal have sølvpapirshat, og tæppe over hovedet.*

  • hvem forklare den først :-)
  • 2
  • 9
Eyvind Sundenæs

CFCS anbefaling fra 2013 holder stadig og administrator ret på PC'er har længe været en dødssynd. Men skrivelsen fra Folketingets IT fortæller jo ikke noget om hvem det er de hentyder til, det kan jo være en reminder til deres egne IT folk.
Håber virkelig de har styr på det, må formode de er ved at have færdig implementeret iso 27001 således at de har kontroller på sikkerhed oppe og køre.

  • 2
  • 0
Jesper Ravn

Jeg læser det som om brugerne benytter en standard user account til daglig brug, men samtidig også har en admin account tilknyttet på deres computer, til f.eks. installation af drivere til deres hjemmeprinter, USB modem, m.m.

Men dette setup er langt fra i orden, da brugerne nemt kan blive lokket til at benytte deres admin account til en UAC prompt, der er trigget af malware.

Hvis denne meddelelse kun var til IT personer, ville man formentlig ikke ligge det ud på intranettet, men holde det internt via en mail-gruppe?

  • 4
  • 0
Bent Jensen

Opråb eller bare galde.

Det værste med den her overvågning af alt og alle, var hvis vi fik besked om det, at der var faste regler og (rigtigt) demokratisk og juritiskkontrol. Samt en ordenligt forklaring på hvorfor, hvem og hvad. Så ville de fleste formodenligt, synes at det var i orden.

Men i stedet har de bare øget overvågningen, helt uden for kontrol, tror ikke nogen ved hvad der helt foregår og hvorfor. Med alt og alle bliver overvåget, med undskyldningen om terror og børneporno. Men når det kommer til stykket så fanger de ingen terroister med deres overvågning, og hvis deres andet efterforskning eller huller har bare den mindste mulighed for at slippe ud, så lader de gladeligt børneporno og andet gå fri.

Det viser at systemet mest er til for system skyld, samt at industrispionage, terror, kriminalitet, og børneporno bare er undskydning for at flere penge, resurser og beføjelser.

Det ligner meget historien om hvordan briterne interneret Tysker fanger på et slot i England under 2 verdenskrig, hvor der var aflytning overalt. Der blev røbet mange hemmeligheder samt kendskab til jødeudrydelsen eller deltagelse blandt de fleste af de tyske officere. Inden koncentrations lejeren blev befriet troet man ikke på mange af de aflyttet samtaler om dette. Men efter krigen ville Churchill have de tyske officere dømt, det ville have betydet at denne overvågning og teknologi ville være blivet offenligjort. Da Churchill hurtigt mistet magten lige efter krigen, så gemte efterretningstjenesten denne overvågning væk, og lod alle de tyske fanger gå fri. For teknologien, og muligheden for at bruge den til at få andre oplysninger var vigtige end at få dømt folk for forbrydelser mod menneskeheden.
Det er ikke lavet om på de 3 stjernets tilgang til tingene i dag. Heller lade en terroist eller børnevoldtægtsmand gå fri, end at vise man har oplysninger om et lille hul i noget software, som man har givet 100 milioner for, og som bliver patche 14 dage efter.

Så frihedshelten og samvitighed fangen Edward Snowden så rigtige da han ville advare os mod denne fare, hvor de 3 stjernet er mere ude for kontrol end under J. Edgar Hoover, hvor lovelige arbejden menneskeretigheds forkæmper blev overvåget og modarbejdet, eller drabt selv om de var under overvågning.

Frihedshelten og samvitighed fangen Edward Snowden handlet først som en rigtigt patriot med ansvar over for forfatningen og lovene, da hans chef stod ret i en høring overfor valgt repræsentanter (folkevalgte) og løj under ed.

Deres manglende efektivitet til at fange noget, hvis det ikke bibber eller blinker på en skærm viser sammes flugt, de kunnne ikke finde ud af at spære hans pas, så han rejste bare ud af landet.

Så derfor skal vi ikke give flere beføjelser væk, eller vi skal istedet tage dem tilbage, og sikker en demokratisk kontol af midler og foremål. Samt sikker at love også internationale bliver overholdt I principet kan de brænde alle vores penge af under julefrokosten.
Nogen vil sige at i krig gælder alle kneb, det er ikke rigtige, det er noget der heder krigenslove og konvertioner som skal overholdes. Ellers er vi ikke en dyt bedre end dem vi bekæmper. Det ser næmmere ud til at de vinder, jo mere vi sælger ud af de frihedsretigheder og regler der skal beskytte det enkelte individ, mod måske at kunne fange en terorist. Jo mere vi lukker vi, for det de hader mest, vores frihed og åbenhed. Jo nærmer komme de sejren, mens vi taber, også på det personlige plan.

  • 2
  • 4
Frithiof Jensen

Det må man da ikke håbe, fordi Så kan IT afdelingen jo desvärre ikke lave ret meget andet end at "administrere" bruger PC-ere! Der er ikke ret meget "business value" i at man skal have fat i IT hver gang man skal forbinde en projektor eller forbindes til et andet netvärk når man rejser.

  • 0
  • 1
Henrik Pedersen

Imho så er det hamrende ligegyldigt om brugeren er admin eller ej i dette scenario. BIOS sårbarheden giver potentielt adgang til hardwaren og hvis sårbarheden er implementeret med vilje, så findes der helt sikkert også en exploit der udnytter den.
Find en leverandør der producerer i nærområdet og har fuld kontrol over processen

  • 1
  • 1
Kristian Rastrup

"forbinde til et netværk"
Kommer vel an på opsætningen. og man bør vel i nogen steder have administrations retigheder for at forbinde til et netværk Så det er bare en mangel, som sikkerheden i USB porten, har været i mange år.

Ja en forbinde til et domæne kræver normalt ekstra rettigheder, men at lave en simpel Wifi forbindelse på en rejse gør ikke. Det var et svar til Frithiof Jensen højere oppe.

  • 0
  • 0
Maciej Szeliga

Det må man da ikke håbe, fordi Så kan IT afdelingen jo desvärre ikke lave ret meget andet end at "administrere" bruger PC-ere! Der er ikke ret meget "business value" i at man skal have fat i IT hver gang man skal forbinde en projektor eller forbindes til et andet netvärk når man rejser.

Så der er altså ikke nogen "business value" i Windows ?
Du er klar over at den almindelige sikkerhedsanbefaling er at en PC ikke må bruges med admin rettigheder til andet end lige præcis administration af PC'eren ?

Det er ikke underligt at folk flygter til Mac når den almene opfattelse er at man ikke kan bruge Windows til noget medmindre man er Admin.

  • 1
  • 0
Bent Jensen

Opfølgning til oprøv
Selv om jeg har fuldt forståelse for at kvinder ikke skal udsættes for det, som skete nyårsnat. Så er det jo stadig et udsalg af borger retigheder og retsikkerhed, hvor man nu bruger kolektiv afstraffelse, og man nok ikke længer skal gå i støre grupper. Det må også betyde at alle fan for et fodboldhold kan odømes for vold, kanonslag og alt andet før, under og efter en kamp. Samt kluberne eller hvem der lige har flest penge, skal betale alle omkostninger og udgifter til politi samt ødlægelser der forekommer ?

http://www.dr.dk/nyheder/udland/tyskland-skaerper-regler-hvornaar-det-er...

Men synes igen at det viser at vi bare sægler ud, de optrin der skete nyrårsnat kunne være forhindret hvis det var politi på gaden, og de samtidigt have taget deres opgaver alvorlige. Men igen et ledelsansvar, eller nok nærer et fravær, når der efter 500-1000 episoder meldes om en rolig nat.
Måske der skulle bruges penge på betjente på gaden eller i patrulje vogene istedet på mere elektronik og overvågning, som åbenbart ikke forhindre vold og terror, selv om det bruges som begrundelse for flere resurser. Som igen bruges på anelytiker, adminstration, bonuser eller hvad ved jeg ! eller nogen som helst andre. Da det hele jo er hemmelig.

  • 0
  • 3
Log ind eller Opret konto for at kommentere