Hackersagen dag 9 - CSC-vidne: Sårbarheder i mainframen havde patch måneder før hullet blev lukket

25. september 2014 kl. 15:0312
De to sårbarheder, der gav hacker ubestridt adgang til CSC’s mainframe, stod åbne i flere måneder efter IBM frigav patch mod problemet. Patchen havde sikkerhedsgraden ti, som betegnes som meget alvorlig.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En patch til et alvorligt sikkerhedshul var tilgængelig hos IBM flere måneder inden CSC blev underrettet om hackermistanke af dansk politi. Patchen havde fået rating-graden 10, der indikerer, at den lukker et meget alvorligt sikkerhedshul.

Men da CSC ikke umiddelbart kunne få noget at vide om, hvad patchen gk ud på, blev patchen planlagt til at indgå i den almindelige patch-cyklus. Patchcyklussen er på mellem 3 og 12 måneder, forklarer CSC’s Martin Gohs på hackersagens niende dag. Patchen blev frigivet fire måneder efter det sidste hackerangreb øjensynligt fandt sted i august 2012.

Martin Gohs, der er chef for CSC's sikkerheds strikforce i Europa, har i Retten på Frederiksberg i dag forklaret, at det var to ’zero day’-sårbarheder som gav hacker adgang til CSC’s mainframe i 2012. Tiltalt i sagen er svenske Gottfrid Svartholm Warg samt danske JT.

Den første sårbarhed blev anvendt til at skaffe den indledende adgang, og den anden til at udvide brugerrettighederne for hackeren, forklarede Gohs. Fra vidnestolen kunne Gohs fortælle, hvad sårbarhederne i udgangspunktet bestod af.

Artiklen fortsætter efter annoncen

I begge tilfælde tillod sikkerhedshullerne en bruger at give webserveren en get-kommando. Med kommandoen har hackeren kunne forespørge CSC’s webserver om at lave kommandoer på mainframen frem for at vise en hjemmeside.

»Man kan bede webserveren om at udføre en kommando uden for den normale arbejdsområder, hvis systemet ikke er beskyttet godt nok,« lød det fra Gohs.

Patch eksisterede måneder inden CSC lukkede hul

CSC blev ifølge Martin Gohs opmærksom på et sikkerhedsproblem, da dansk politi i slutningen af februar 2013 tog kontakt til CSC. Herefter gik selskabet i gang med en undersøgelse af mainframen og fandt en række usædvanlige forespørgsler på mainframen.

»Forespørgslerne var usædvanlige, fordi de var meget lange og indeholdte meget data. De var også usædvanlige fordi de indeholdte system-kommandoer,« forklarede Martin Gohs

»Vi laver en fejlsag og spørger IBM, om det er en fejl, der er kendt, eller en fejl, der ikke er kendt. Og det er en kendt fejl, og der er en patch, som vi så kan installere,« fortsatte han.

Anklager Maria Cingari spørger om patchen lukker den såkaldte ’zero day’-sårbarhed, hvilket bekræftes af Martin Gohs.

»I har ikke selv opdaget noget usædvanligt inden da,« spurgte anklageren

»Når det er en ’zero day’ så er den i sagens natur ukendt for os og leverandører. Og hackeren har gjort en stor indsats for at passe ind i systemet og bevæge sig inden for rammerne,« svarede Gohs.

Patchen, som lukkede hullerne, var frigivet fra IBM d. 19. december 2012. Men der er ifølge Gohs ingen information om, hvad der har ledt til at patchen er blevet sendt ud.

CSC vil kaste slør over retssag

Ved Martin Gohs side sad i dag advokat Hans Jakob Folker som repræsentant for CSC. I et stopfyldt ringbind havde advokaten markeret alle de informationer, som virksomheden ikke ønsker offentliggjort.

»Det vi markerer med gult, er noget vi betragter som erhvervshemmeligheder. Vi vil selvfølgelig gerne lade retten behandle dem, men vi vil ikke have dem ud i offentligheden,« indledte advokaten.

Oplysningerne drejede sig om de tekniske detaljer omkring sårbarhederne og om brugeroplysninger til CSC’s systemer. Både anklager og forsvarer gjorde CSC’s advokat opmærksom på, at flere af oplysningerne allerede havde været fremme i sagen og oppe på de skærme, som deler sagens dokumenter med tilhørerne.

De aktuelle brugernavne er ikke længere i brug, men de siger stadig noget om strukturen i brugernavnene, forklarede advokaten. Han ville dog ikke insistere på at lukke dørene for tilhørere for at skjule oplysninger, der allerede har været fremme i sagen.

21-årige JT og 29-årige Warg risikerer op til seks års fængsel, hvis de kendes skyldige.

Version2 er til stede i Retten på Frederiksberg.

12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
25. september 2014 kl. 20:10

Men da CSC ikke umiddelbart kunne få noget at vide om, hvad patchen gk ud på, blev patchen planlagt til at indgå i den almindelige patch-cyklus

Jeg synes nu at: http://www-01.ibm.com/support/docview.wss?&uid=swg2162094 er temmelig klar i spyttet:

IBM HTTP Server for z/OS Version 5.3 could allow a remote attacker to execute arbitrary commands on the system.

10
25. september 2014 kl. 21:20

I guder, man kan jo google sig til et exploit på det fejlnr: https://raw.githubusercontent.com/mainframed/MainTP/master/MainTP.pyOg tjek lige comments headeren:

(...) This program generates#

a JCL which creates a C program, compiles it, and executes it using a privilege escalation exploit to obtain UID 0. The uploaded JCL contains an implementation of CVE-2012-5951 originally discovered by whomever perpetrated the Logica mainframe breach.

Der sendes her hilsner til den skyldig i logica sagen som sandsynligvis er den samme som i csc -sagen!

5
25. september 2014 kl. 16:31

Kan godt lide at CSC blot nedgradere en sikkerhedsopdatering fordi de ikke kan få afvide hvad den indeholder... Tænk sig hvis private tænkte som CSC...

7
25. september 2014 kl. 16:57

Det er da godt at CSC ikke hoster følsomme data, men bare helt ligegyldige data og systemer ingen kriminelle har interesse i at opnå adgang til.

Ellers ville det beskrevne sløvsind jo være uansvarligt.

JEG SKAL LIGE UD AT KASTE OP

Hvornår kommer den retssag mod CSC, CSCs ledelse, CSCs nøglemedarbejdere og de offentligt ansatte der sidder på kundesiden i det forhold, for udvist uansvarlighed med vore alle sammens data, som vi alle sidder og venter på?

6
25. september 2014 kl. 16:45

Tænk sig hvis private tænkte som CSC.

Er det ironisk ment, de er jo private? ------- off topic Du træder virkelig på min ligtorn med "afvide". Det er "at vide". Det er ligesom "should have" på engelsk, der bliver til "should of". Jeg forstår ikke, hvordan sådan en forvanskning opstår.

4
25. september 2014 kl. 16:29

... Herefter gik selskabet i gang med en undersøgelse af mainframen og fandt en række usædvanlige forespørgsler på mainframen.</p>
<p>»Forespørgslerne var usædvanlige, fordi de var meget lange og indeholdte meget data. De var også usædvanlige fordi de indeholdte system-kommandoer,« forklarede Martin Gobs

Det burde da få overvågningen til at lyse rødt med det samme!

2
25. september 2014 kl. 15:52

"Patchcyklussen er på mellem 3 og 12 måneder"

Det virker umiddelbart for mig som lang tid. Jeg troede den måske var timer, jvf. Shellshock.

1
25. september 2014 kl. 15:30

Sig mig, jeg mindes et vidne fra dansk politi, som under ed fastholdt, at der var tale om en ukendt sårbarhed. Nu er jeg ikke advokat, men ville det ikke regnes for at være falsk vidneudsagn?