Ingen DMARC og intet 2-faktor login på Forsvarets mailsystem: »Jeg fatter det simpelthen ikke«

Det har været lige lovligt enkelt at få adgang til mailsystemet hos det danske forsvar, mener to danske it-sikkerhedsfolk.

Det er et ganske simpelt angreb, der har givet hackere - angiveligt sponseret at Rusland - adgang til e-mails i det danske forsvar. Og sådanne angreb burde emailsystemet have været bedre sikret imod, mener danske eksperter.

Center for Cybersikkerhed (CFCS) kalder det i en rapport (PDF) 'meget sandsynligt', at hacker-foretagendet APT28 står bag angreb mod blandt andet det danske forsvar.

Forsvarsminister Claus Hjort Frederiksen (V) har overfor Berlingske, der først kunne fortælle om hackerangrebet, givet udtryk for, at det er Rusland, som står bag.

APT28 er også kendt som Fancy Bear og er flere gange blevet udråbt som en statsstøttet, russisk aktør. Blandt andet af it-sikkerhedsvirksomheden Fireeye.

APT står for Advanced Persistent Threat og er en generel betegnelse for en type hackerangreb, der ofte sættes i forbindelse med statsstøttede aktører.

Rapporten fra Center for Cybersikkerhed omtaler ikke direkte hackerangrebene som APT-angreb, men i en opfølgende mail til Version2 oplyser CFCS, at man betragter angrebene som værende APT-angreb. Altså en avanceret, vedvarende trussel.

»Ikke noget komplekst«

Da partner i it-sikkerhedsvirksomheden CSIS Peter Kruse først læste om angrebet i pressen, havde han en forventning om, at det ville være teknisk noget mere avanceret, end det senere lod til at være tilfældet, da han læste rapporten fra CFCS.

»Jeg regner jo med, at når der kommer en overskrift om, at militæret har været hacket af en russisk APT-gruppe, altså Fancy Bear - APT28 står det refereret som mange steder - så forventer man, der har været en eller anden form for refinement, altså at det er avanceret. Når man så læser rapporten, så er det phishing,« siger Peter Kruse.

Ud fra de oplysninger, Center for Cybersikkerhed har offentliggjort om angrebet, så føler Peter Kruse sig i øvrigt ikke overbevist om, at det faktisk er Rusland, der står bag. Peter Kruse medgiver dog, at CFCS kan ligge inde med andre - ikke offentliggjorte oplysninger - der peger i den retning.

Men i sig selv kræver det ifølge Peter Kruse ikke en større stat i ryggen for at franarre login-oplysninger fra folk på den måde, som det er beskrevet i rapporten.

»Der er jo ikke noget komplekst ved at lave en phishingmail. Du har jo værktøjer, som kan hjælpe med det, som man kan hente, og som gør, at ethvert barn kunne lave en troværdig hjemmeside, som ville være - i dette tilfælde - en tro kopi af militærets webmail,« siger Kruse.

Malware, phishing og bruteforce

I rapporten - den går i nogle tekniske detaljer, uden dog at overdrive - bliver flere forskellige angrebsbølger mod blandt andet Forsvaret beskrevet.

Der har ifølge rapporten både været forsøg på phishing af login-oplysninger til et webmail-system under mil.dk, der har været forsøg på at installere malware på ofres computere, og så har hackerne forsøgt at bruteforce login-oplysninger til henholdsvis webmail-systemet og til ssh-forbindelser.

Den eneste af angrebsteknikkerne, der ifølge rapporten lader til at være lykkedes, handler om brugere, der har fået phishet deres login-oplysninger til et uklassificeret, webbaseret mailsystem.

Det er ifølge rapporten foregået ved at sende mails til brugere, der eksempelvis foregiver at være fra en systemadministratorkonto. Disse mails forsøger at få brugeren til at klikke på et link, der fører til en phishing-side, der til forveksling ligner den legitime login-siden til det webbaserede mail-system.

Den falske side har ifølge et af de screenshots, CFCS har publiceret i rapporten, sågar været udstyret med en HTTPS-hængelås.

Det er ifølge Peter Kruse meget almindeligt, at kriminelle sørger for at udstyre eksempelvis en phishing-side med en HTTPS-forbindelse for at få det til at se mere troværdigt ud.

Hvis ofret indtaster sine mail-login-oplysninger på den falske side, bliver det opsnappet af hackerne, og herefter bliver ofret sendt videre til den rigtige login-side.

Af rapporten fremgår det, at CFCS finder det 'meget sandsynligt, at et antal mil.dk-postkasser er blevet kompromitteret og tilgået, og at deres indhold er blevet kopieret af aktøren ad flere omgange i 2015 og 2016.

Ifølge Peter Kruse har der år inden da været lignende målrettede angreb mod militæret i andre lande.

»Vi har set det i andre lande. Allerede i 2014 og i 2013 for den sags skyld har der været denne type phishingangreb mod militæret. Så man har været velvidende om, at det kunne forekomme. Så flere år før, det her har fundet sted, såfremt det er 2015 og 2016, har andre militære instanser rundt om i vesten været ramt af det samme. Så det er jo ikke ukendt,« siger han og tilføjer:

»Så man kunne godt have været ude og klæde medarbejderne bedre på, så de kunne være mere årvågne omkring det her. Det er den ene del.«

To-faktor-autentifikation

Den anden del handler om bedre teknisk sikring af login til mailsystemet.

Udover brugeruddannelse, så har login til det mailsystemet - der ifølge CFCS-rapporten er beregnet til ikke-klassificeret kommunikation - tilsyneladende ikke været beskyttet med to-faktor-autentifikation, påpeger Peter Kruse. Altså som med NemID's nøglekort, hvor der kræves en ekstra faktor i forbindelse med login.

Det fremgår ikke direkte af rapporten, at der ikke har været to-faktor-beskyttelse af mailsystemet. Dog nævnes to-faktor-autentificering i forbindelse med phishing-angrebene som noget, der ofte forhindrer angrebsmetoden i at virke. Så antageligt har der altså ikke været to-faktor-beskyttelse.

»Det kan godt være, det ikke har været regnet som værende kritisk, da man risikovurderede det, men der hvor filmen hopper lidt af for mig, det er, at man har en fuldstændig åben webmail-service uden to-faktor-autentifikation, når man er militæret. Det fatter jeg simpelthen ikke.«

To-faktor-autentifikationen ville ifølge Peter Kruse have gjort det langt vanskeligere for angriberne at trænge ind i mailsystemet. Med to-faktor ville hackerne i udgangspunktet også skulle have fat i eksempelvis en engangskode fra en nøglegenerator i stedet for blot at kunne nøjes med brugernavn og adgangskode.

Nem sikkerhed burde have været slået til

Også it-sikkerhedskonsulent Henrik Kramshøj undrer sig over, at web-vendte mailtjeneste hos Forsvaret ikke lader til at have været beskyttet med to-faktor-autentifikation.

»To-faktor er jo ikke den eneste løsning, men det er jo nemt at slå til. Det burde man i første omgang have gjort,« siger Henrik Kramshøj.

Han peger ligesom Peter Kruse på, at to-faktor-autentifikation på login-siden ville have gjort angrebet mod det danske forsvar mere besværligt. Og derudover ville brugen af to-faktor-autentifikation ifølge Kramshøj også have gjort det lettere at afsløre, hvis nogen havde forsøgt at udføre et angreb.

»Der er mange gode grunde til at bruge to-faktor det her. Og det burde man også have gjort tilbage i 2015,« siger Henrik Kramshøj.

Han understreger i den forbindelse, at to-faktor-autentifikation ikke er den fulde løsning i forhold til den konkrete hackerproblematik, men at det forøger kompleksiteten forbundet med at udføre et hackerangreb meget.

»Man har ikke implementeret DMARC.«

Peter Kruse hæfter sig desuden ved, at mail-domænet mil.dk heller ikke har været beskyttet med DMARC - og i øvrigt stadig ikke er det.

DMARC er kort fortalt et mail-sikkerhedssystem, der har til formål at forhindre eksempelvis spammere og phishere i at sende mails, der ser ud til at komme fra en @mil.dk-adresse uden reelt at gøre det.

»Det har på alle måder været en lavthængende frugt. Man har ikke implementeret DMARC, og de har ikke engang implementeret det endnu, og det forstår jeg ikke, når man lige har været udsat for sådan noget. At man ikke handler på det,« siger Peter Kruse.

Version2 forsøger at indhente en kommentar fra Forsvarsministeriets Materiel- og Indkøbsstyrelse i forhold til to-faktor-beskyttelse og DMARC i relation til webmail-systemet.

Vi har desuden spurgt Center for Cybersikkerhed om et interview i forhold til rapporten. Det har ikke været muligt. Vi ville blandt andet gerne have spurgt CFCS til, hvilke tiltag der nu er taget for at sikre Forsvarets mailsystem. I et skriftligt svar oplyser CFCS:

»CFCS har, så snart det blev bekendt med de i rapporten nævnte angreb, varslet berørte myndigheder og har i forlængelse heraf rådgivet myndighederne om de mulige sikkerhedsmæssige tiltag. Af operative og sikkerhedshensyn, herunder for så vidt angår nyindførte og eventuelt yderligere sikkerhedsforanstaltninger vil yderligere detaljer, udover de, der er omtalt i rapporten, ikke blive omtalt.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

Ufatteligt, at de der kalder sig professionelle og kompentente i egne rækker opfører sig så amatøragtigt. CFCS har siden sin etablering , næsten dagligt overfor befolkningen og samfundet understreget vigtigheden af at beskytte data og oplysninger. Ufatteligt mange penge og ressourcer er brugt. Den ene trusselsvurdering efter den anden er publiceret, uden effekt for Forsvaret selv. I Forsvaret tager man åbenbart ikke egen medicin, men moraliserer gerne overfor alle andre. Det er vist det man kalder "nemesis".

Gunhild Jensen

Scenarie 1:
SVR/GRU laver barnagtige phising-angreb for at få informationer om danske statsansatte

Scenarie 2:
SVR/GRU har allerede informationerne fordi:

A) SVR/GRU har adgang til både Politiets og Forsvarets rekrutteringssystemer, som begge er fyldt med huller.

B) SVR/GRU kan følge med i hvem der søger og bliver ansat i Politet, PET og Forsvaret.

C) SVR/GRU kan, hvis de vil, "forhåndsgodkende" og fjerne de mest egnede kandidater, manipulere ansøgninger, før de frigiver dem til HR-konsulenterne i den danske stat.

D) SVR/GRU kan, hvis de vil, overrule HR-konsulenterne og indkalde de kandidater, SVR/GRU finder mest "egnede" uden nogen i den danske stat opdager det.

Tænk hvis statsinstitutioner helt uvidende bliver "fodret" med "nyttige idioter". De bedste agenter for en fremmed stat, er dem, der ikke ved de er agenter.

Allan Astrup Jensen

Der var for nogle år siden en MET medarbejder, som blev fyret og fik en fængselsstraf for at lække en fortrolig rapport til pressen, som konkluderede, at Sadam Hussein ikke havde masseødelæggelsesvåben, som Statministeren ellers havde påstået i Folketinget. Det var en rapport, som ikke var en sikkerheds risiko for landet, men kun afslørede magthavernes løgne.

Det der er sket med indbruddet i militærets mailsystem er langt mere alvorligt og en reel sikkerhedsrisiko. Derfor må man gå ud fra, at de ansvarlige medarbejdere og chefer, der har sløset med sikkerheden og lavet graverende fejl, så russerne og andre nu kender militærets medarbejdere, deres interne diskussioner og hemmelige arbejdspapirer bliver fyret og fængslet! Ansvaret er i sidste ende forsvarsministeren, som også burde gå af!

Rune Larsen

Ja, der bør være gennemsigtighed i, hvilke resultater CFCS får ud af deres store budget til defensive formål.

Når det er sagt, så er det jo utroligt svært centralt fra at sikre alle offentlige myndigheder og deres store og små it-systemer, som formentlig kan tælles i 10-tusinder. Det ansvar kan kun ligge decentral.

Derfor er det også vigtigt, at vi får nogle præcise, mærkbare, lovfæstede, juridiske sanktioner, når der bliver gjort i nælderne som her. Eller når nogen med ansvar for vores private data (CSC, m.fl.) hælder dem ud på internettet i et it-system med håbløst forældet og mangelfuld sikkerhed.

Sålænge der ikke er udsigt til konkrete konsekvenser for dem med budgetterne, nedprioriteres it-sikkerhed.

Rune Larsen

ja, undskyld fejlen, jeg skal fyres!


Det bestemmer du selv. :-)
Efter at have konsulteret mit mentale fjernlager (og duckduckgo) må det være Frank Grevil-sagen, du omtaler.

Enig i, at løgnen om Saddams masseødelæggelsesvåben udsprang fra Bush, Blair og Fogh, som enten overfortolkede deres efterretningstjenester eller selv opfandt løgnen. Formålet med at invadere Saddam var vel primært, at sikre sig kontrol med Iraks olie, hvilket vi nyder godt af i dag med et OPEC uden reel indflydelse. Sekundært støtte til våbenindustrien og tertiært en amerikansk ambition om mere direkte kontrol i mellemøsten. Der var hårdt brug for et politisk påskud for invasion - sand eller ej.

Der burde være benådning eller i det mindste reduceret straf til whistle-blowere. Hovedproblemet med at indføre dette er, at de politikere, der skal stemme for en whistleblower-lov, også er dem, der selv kan blive ramt af dem.

Hans Schou

Når alle mails er krypteret på disken, så problemet vel mindre? Der er selvfølgelig det at man kan se om mængden af mails der bliver sendt, til/fra hvem og hyppighed.

PS: En pens. kontorchef fra FE holder i øvrigt foredrag om Teknisk museeums nyerhvervede Enigma denne uge, så kryptering er der styr på.

...eller hvor naiv kan man være?

Allan Astrup Jensen

Akronymer mv. ændrer sig hele tiden. Det vigtigste er at alle nok forstod, at jeg mente det der nu hedder forsvarets efterretningstjeneste.
Iøvrigt er "militær" mere dækkende end "forsvar" for det arbejde vore soldater gør, fx i Irak og Syrien, hvor de "angriber". Men angreb er også som bekendt det bedste forsvar!
Måske skulle vi i fremtiden kalde vore soldater og ansatte i "Forsvaret" for vore "forsvarere". Så ville det også blive lettere og billigere at mobilisere en stor styrke, for de fleste borgere og politikere vil vel forsvare vort land?

John Anker Corneliussen

Deres servere har vel logs så man rutinemæssigt kan scanne efter uventede logins fra uventede ip adresser hvor man med kendskab til mailboxens ejers ip mæssige sammenhæng ville kunne se hvorfra og hvornår en mailforbindelse er etableret.

Grib i egen barm og skru op for scripts til at snable geoinfo på daglig basis - og stram op på folks adgang fra vilkårlige adresser.

Henrik Størner

Der er en større rapport om APT28's gøren og laden nu fra Trend Micro. Det tæller ikke som undskyldning, men det danske forsvar er bestemt ikke alene om at have en dårlig sikkerhed - der er faktisk 13 landes militær opremset, plus en længere række ministerier, sikkerhedsfirmaer osv. Rapporten fortæller noget mere end CFCS' rapport, men dog ikke direkte om de enkelte angreb.

http://www.trendmicro.co.uk/vinfo/uk/security/news/cyber-attacks/espiona...

Ken Poulsen

Man kan også læse på Twitter, hvordan Peter Kruse selv er blevet snydt.
Ved selv at kontakte en forkert bruger af Twitter tjenesten.
Åbenbart har Peter Kruse fået lukket den konto han selv er blevet snydt af.
Lidt sjovt når man tænker over det, er dog glad for at jeg fik nogle screenshots inden.

Slettet Konto

Det paradoksale svar er, at det er fordi politikerne uden at orientere befolkningen for længe siden har nedlagt forsvaret af nationen og DK derfor kun har en mindre expeditionary styrke til symbolske støtteoperationer sammen med alliancepartnere samt en symbolsk suverænitetshåndhævelse tilbage. De andre har stadig fulde kapaciteter til rådigheder og kan lave joint operations uden at være i en ramme af Combined Operations (dvs. med hullerne fyldt alliancepartnere...).

Slettet Konto

Det er skudt helt forbi at genanvende den fejlagtige folkelige opfattelse af Jægerbogssagen i denne sag: Der var intet galt i at oversætte Jægerbogen vha. Google Translate (eller den dengang aktive oversættelsesservice på WikiLeaks - som også i en periode var baseret på Google). Problemet opstod først, da USB nøglen med et Word dokument indeholdende en kopi af den oversatte tekst, der alene var tænkt til præsentation af problemstillingen, blev åbnet af en der ikke forstod at det var til det formål dokumentet var skabt, men i stedet lod det politiske narreshow med ministeren i spidsen udnytte sagen til at optræde med påtaget alvorstunge miner for at give forældrene til de soldater man så villigt ofrede på nyttesløse operationer et falsk indtryk af, at man kærede sig om deres sikkerhed.

Til skam for retsbevidstheden endte man endog med et justitsmord på den der lavede dokumentet baseret på en påstand om løgn, selvom det tydeligvis ikke var en løgn den pågældende havde begået, men en misforståelse fordi modtageren af informationen ikke forstod at en service på web'et ikke er det samme som industrisamfundets produktion af fysiske objekter.

Hvorom alting er, så er det underligt, at der ikke er etableret 2-faktor og anden sikkerhed selvom det er en webmail til "Releasable to Internet"/Uklassificeret mail. Enhver kan regne ud, at der før eller siden dukker indhold op på en sådan tjeneste, som burde ligge på et klassificeret system. Faktisk er det så underligt, at jeg kan blive i tvivl om, at hele sagen er INFOOPS til brug for en indenrigspolitisk agenda.

Tom Paamand

Naturligvis er denne ballade kun til lokalpolisk brug. Forsvarsministeren har nemlig ikke tænkt sig at rejse denne amatøragtige hackning over for Rusland.

Henriksen husker i øvrigt rigtig om den meningsløse panik med påstanden om at der allerede fandtes en arabisk oversættelse af Jægerbogen, som ville blive læst i Afghanistan. WikiLeaks havde dengang integreret Google-translate, så teksten "lå" der osse på arabisk, kinesisk og russisk (Gys!) - men dog ikke på pashto, som er hovedsproget i Afghanistan.

Danmark har en solid tradition for at blæse sådant småpjank helt ud af proportioner, og er også eneste land der mener at have afsløret terrorister med direkte kontakt til al-Qaeda. Så naturligvis står Putin personligt bag dette hackerangreb, hvis teknik enhver skoleelev nemt kan efterligne...

Michael Harly

Jeg forstår ingen ting som min 9 år datter plager at sige når hun ikke for står det jeg forklar hende.

Nu har jeg min mail sat op gemmen Google apps og tror jeg har bruge 5 min samlebeslaget på at sætte SPF, DKIM og DMARC op

Jeg bruger GratisDNS til at styre min dominer fra, jeg har også set at flere hosting firma tilbyder de samme muligheder

SPF er jo et most (5 sek) hvis man er langsom til at tast

DKIM tager nok nogle minutter

Til DMARC bruge jeg dmarcian.com det tager helle ikke så langt tid at sætte op

Det er jo ikke kun en enlig svale, så jeg fatter simpelthen ikke hvor systemadministratorerne rundt om i danske firmaer ikke få fingerne ud et vist sted.

Log ind eller Opret konto for at kommentere