En patch til et alvorligt sikkerhedshul var tilgængelig hos IBM flere måneder inden CSC blev underrettet om hackermistanke af dansk politi. Patchen havde fået rating-graden 10, der indikerer, at den lukker et meget alvorligt sikkerhedshul.
Men da CSC ikke umiddelbart kunne få noget at vide om, hvad patchen gk ud på, blev patchen planlagt til at indgå i den almindelige patch-cyklus. Patchcyklussen er på mellem 3 og 12 måneder, forklarer CSC’s Martin Gohs på hackersagens niende dag. Patchen blev frigivet fire måneder efter det sidste hackerangreb øjensynligt fandt sted i august 2012.
Martin Gohs, der er chef for CSC's sikkerheds strikforce i Europa, har i Retten på Frederiksberg i dag forklaret, at det var to ’zero day’-sårbarheder som gav hacker adgang til CSC’s mainframe i 2012. Tiltalt i sagen er svenske Gottfrid Svartholm Warg samt danske JT.
Den første sårbarhed blev anvendt til at skaffe den indledende adgang, og den anden til at udvide brugerrettighederne for hackeren, forklarede Gohs. Fra vidnestolen kunne Gohs fortælle, hvad sårbarhederne i udgangspunktet bestod af.
I begge tilfælde tillod sikkerhedshullerne en bruger at give webserveren en get-kommando. Med kommandoen har hackeren kunne forespørge CSC’s webserver om at lave kommandoer på mainframen frem for at vise en hjemmeside.
»Man kan bede webserveren om at udføre en kommando uden for den normale arbejdsområder, hvis systemet ikke er beskyttet godt nok,« lød det fra Gohs.
Patch eksisterede måneder inden CSC lukkede hul
CSC blev ifølge Martin Gohs opmærksom på et sikkerhedsproblem, da dansk politi i slutningen af februar 2013 tog kontakt til CSC. Herefter gik selskabet i gang med en undersøgelse af mainframen og fandt en række usædvanlige forespørgsler på mainframen.
»Forespørgslerne var usædvanlige, fordi de var meget lange og indeholdte meget data. De var også usædvanlige fordi de indeholdte system-kommandoer,« forklarede Martin Gohs
»Vi laver en fejlsag og spørger IBM, om det er en fejl, der er kendt, eller en fejl, der ikke er kendt. Og det er en kendt fejl, og der er en patch, som vi så kan installere,« fortsatte han.
Anklager Maria Cingari spørger om patchen lukker den såkaldte ’zero day’-sårbarhed, hvilket bekræftes af Martin Gohs.
»I har ikke selv opdaget noget usædvanligt inden da,« spurgte anklageren
»Når det er en ’zero day’ så er den i sagens natur ukendt for os og leverandører. Og hackeren har gjort en stor indsats for at passe ind i systemet og bevæge sig inden for rammerne,« svarede Gohs.
Patchen, som lukkede hullerne, var frigivet fra IBM d. 19. december 2012. Men der er ifølge Gohs ingen information om, hvad der har ledt til at patchen er blevet sendt ud.
CSC vil kaste slør over retssag
Ved Martin Gohs side sad i dag advokat Hans Jakob Folker som repræsentant for CSC. I et stopfyldt ringbind havde advokaten markeret alle de informationer, som virksomheden ikke ønsker offentliggjort.
»Det vi markerer med gult, er noget vi betragter som erhvervshemmeligheder. Vi vil selvfølgelig gerne lade retten behandle dem, men vi vil ikke have dem ud i offentligheden,« indledte advokaten.
Oplysningerne drejede sig om de tekniske detaljer omkring sårbarhederne og om brugeroplysninger til CSC’s systemer. Både anklager og forsvarer gjorde CSC’s advokat opmærksom på, at flere af oplysningerne allerede havde været fremme i sagen og oppe på de skærme, som deler sagens dokumenter med tilhørerne.
De aktuelle brugernavne er ikke længere i brug, men de siger stadig noget om strukturen i brugernavnene, forklarede advokaten. Han ville dog ikke insistere på at lukke dørene for tilhørere for at skjule oplysninger, der allerede har været fremme i sagen.
21-årige JT og 29-årige Warg risikerer op til seks års fængsel, hvis de kendes skyldige.
Version2 er til stede i Retten på Frederiksberg.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
