Hackersagen: Mindst én mistænkelig IP-adresse blev aldrig efterforsket

Illustration: Virrage Images/Bigstock
En IP-adresse, der er knyttet til en kendt, svensk hacker, er fundet i CSC’s logfiler. Men den er aldrig blevet efterforsket af politiet i den store hackersag.

En IP-adresse fundet i CSC's logfiler leder til en svensker, der er dømt for hacking. Sporet er aldrig blevet efterforsket i sagen om hacking af CSC's mainframe, hvor svenske Gottfrid Svartholm Warg og danske JT er tiltalt.

Den mistænkelige IP-adresse optræder på samme log, som dokumenterer besøg på CSC's webserver fra den cambodjanske IP-adresse, der kan knyttes til Warg. Besøg, der betegnes af anklageren som rekognoscering. Rekognoscering er måden et frygtet ’Advanced Persistent Threat’-hackerangreb begynder, forklarede Thomas Kristmar fra Center for Cybersikkerhed i sidste uge i Retten på Frederiksberg.

Et APT-angreb er avancereret, lød det fra Kristmar, så det kan ikke lige hentes ned fra hylden. Det er vedholdende, og truslen er høj, fordi bagmanden har tiden og ressourcerne, der skal til.

Det er et lignende angreb, som CSC’s mainframe blev udsat for i 2012, forklarede Kristmar i sagen, hvor danske JT er tiltalt sammen med svenske Gottfrid Svartholm Warg.

Rekognosceringsbesøget har til formål at samle information om målet, inden angrebet sættes ind. Og et script på CSC’s webserver har givet gerningsmanden en stor del af den information, han gik efter.

Scriptet environ.sh følger med som standard i installationen af webserveren, forklarede Martin Gohs fra CSC i sidste uge. Man kan tilgå scriptet ved at skrive dens url-adresse i browseren og få en masse information om server-versioner med videre.

»Det er offentligt tilgængeligt, men du skal vide, det er der. Det er typisk ikke noget, der har interesse for en almindelig bruger,« forklarede Gohs, da han torsdag vidnede i retten.

Læs også: Fejl i endnu et system til indkaldelser til kræft-screening: 23.500 indkaldt for sent

I en logfil fandt CSC, at scriptet var blevet tilgået af en tysk og en cambodjansk IP-adresse. Begge kunne lede til Gottfrid Svartholm Warg. Men på listen var også en række andre IP-adresser, der ikke er blevet undersøgt nærmere. En af disse knytter svensk politi til svenske MG, der sammen med Warg i 2013 blev dømt for hacking af firmaet Logica. MG er siden så sent som i marts i år igen blevet sigtet for hacking i Sverige.

»IP-adresser kan bruges af mange«

It-efterforsker Flemming Grønnemose har af flere omgange vidnet i retten. Han er en del af det nationale IT-efterforskningscenter, NC3, der assisterer politiet i sager om it-kriminalitet.

»Hvorfor har man ikke efterforsket denne IP-adresse,« spurgte Wargs forsvarsadvokat Luise Høj.

»En IP-adresse kan bruges af mange,« svarede Grønnemose og tilføjede, at der ved netop denne IP-adresse står Bahnhof.

»Det ligner, at den kommer fra en banegård,« sagde efterforskeren.

Men den teori kunne Grønnemoses svenske kollega skyde ned fra vidnestolen den efterfølgende dag.

Læs også: Hackersagen dag 10 - Ekspertvidne: »Politiets undersøgelse er ikke retvisende«

Bahnhof er blot navnet på en internetudbyder i Sverige og står derfor ved siden af IP-adressen, forklarede Jesper Blomström fra svenske SÄPO, der svarer til det danske PET. Blomström bekræftede desuden, at IP-adressen knyttes til MG, der sammen med Warg er dømt for hacking mod svenske Logica og Applicate. Begge selskaber har siden skiftet navn til henholdsvis CGI og Bisnode Information.

Den svenske IP-adresse optræder i CSC-loggen kort tid før de cambodjanske IP-adresser.
.

CSC: man finder en rød tråd og følger den

Heller ikke CSC har skænket mange tanker til IP-adressen, der peger mod Sverige. I sager som denne leder man efter en rød tråd, som man kan følge, fortalte Martin Gohs, der leder CSC’s sikkerhedsstrikeforce i Europa. Den røde tråd kom altså i dette tilfælde i form af sporene mod Cambodja og Warg.

Men det betyder omvendt, at CSC ikke har gået efter en bred undersøgelse af hackerangrebet. Det viser en rapport fra sikkerhedsfirmaet Romab, der lavede en ekstern undersøgelse af CSC efter det blev evident, at selskabet var blevet hacket.

Romab, der drives af den svenske sikkerhedsspecialist Robert Malmgren, måtte konkludere, at der ikke er nok information til at foretage en fuld undersøgelse. Mange logfiler er slettet, som følge af en standard tidsgrænse for, hvor lang tid de gemmes. Og kun et fåtal var blevet gendannet, fordi gendannelsen tager lang tid, berettede Robert Malmgren fra vidnestolen.

Læs også: Forsvarer i hackersagen: Uvildig undersøgelse af CSC-hacking er ikke uvildig

Der er ikke tilstrækkelig med logfiler til at træffe en professionel konklusion eller foretage en mere bredfavnet analyse af hændelsen, skriver Malmgren i rapporten.

Det er derfor heller ikke muligt at sige, om IP-adressen knyttet til MG – eller helt andre – optræder flere steder i CSC’s slettede logfiler.

MG indblandet i ny hackersag

MG blev af hensyn til stofmisbrug og psykiske problemer givet en anden straf i Logica-sagen end meddømte Warg. Dommen faldt den 20. juni 2013. Retsdokumenter fra Sverige, som Version2 er i besiddelse af, viser, at MG så sent som i marts i år blev varetægtsfængslet i en ny sag om hacking.

Han mistænkes denne gang for at have brudt ind i svensk politis person- og adresseregister flere gange i løbet af efteråret 2013. Første gang bare få måneder efter domsafsigelsen i Logica-sagen. MG har ifølge en protokol fra Stockholm Tingsrätt indrømmet hacking af politiet.

MG er ikke længere varetægtsfængslet og sagen er af ukendte årsager udsat til den 3. november 2014.

Læs også: Hackersagen dag 9: Bruger-database kunne knækkes på minutter

Robert Malmgren bedyrede over for forsvarer Luise Høj, at Warg var hovedmanden bag hacking af Logica, mens MG var en sekundær gerningsmand. Denne opfattelse kan dog ikke genkendes i domsafsigelsen fra den svenske retssag, hvor begge mænd findes skyldige for angrebet.

Hackersagen fortsætter tirsdag den 7. oktober, hvor Version2 vil være til stede i retten. Der forventes en dom den 31. oktober.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Mogens Hansen

It-efterforsker Flemming Grønnemose har af flere omgange vidnet i retten. Han er en del af det nationale IT-efterforskningscenter, NITEC, der assisterer politiet i sager om it-kriminalitet. ... svarede Grønnemose og tilføjede, at der ved netop denne IP-adresse står Bahnhof.

»Det ligner, at den kommer fra en banegård,« sagde efterforskeren.

En "IT-efterforsker" fra "det nationale IT-efterforskningscenter, NITEC" kender ikke en af de største svenske internet udbydere. Og har åbenbart heller ikke stoppet i bare 5 sekunder for at tænke over, hvorfor en svensk IP adresse skulle være associeret med et tysk begreb. Jeg er personligt ved at være der, hvor jeg er mere bange for vores politis og efterforskeres inkompetence, end jeg er for internationale hacker-ringe.

  • 55
  • 0
#2 Henrik Pedersen

Yup, jeg kunne ikke være mere enig. Og så er de samtidigt selvmodsigende. Forsvaren skulle jo have grebet den her:

»En IP-adresse kan bruges af mange,« svarede Grønnemose ...

Så denne her IP adresse kan bruges af alle mulige, men den IP adresse der fører til Warg kan KUN bruges af Warg? ... Men.... Men.....

Relevant til politiets efterforskere: http://goo.gl/S0ogsB

  • 24
  • 2
#3 Christian Nobel

"Scriptet environ.sh følger med som standard i installationen af webserveren, forklarede Martin Gohs fra CSC i sidste uge. Man kan tilgå scriptet ved at skrive dens url-adresse i browseren og få en masse information om server-versioner med videre."

Mao, man kan direkte eksekvere et shellscript udefra - wow.

Og så må man ellers gyse når der åbenbart blindt installeres software, uden overhovedet at koble den indvendige side af hovedet (hvis der er nogen) til, men bare lader alt stå som default.

Helt enig med Mogens, det bliver mere og mere absurd.

  • 22
  • 0
#4 Mogens Hansen

Så denne her IP adresse kan bruges af alle mulige, men den IP adresse der fører til Warg kan KUN bruges af Warg?

Retfærdigvis kommer denne oplysning fra SÄPO-manden, og man kan ikke ud af artiklen læse, om der tages hensyn til at adressen på et bestemt tidspunkt kunne knyttes til "MG" (ikke Warg). IP-adresse+tidsstempel er trods alt ret identificerence, hvis man har andre informationer man kan knytte til samme.

  • 5
  • 0
#6 Lars Lundin

Mao, man kan direkte eksekvere et shellscript udefra - wow.

Det er isoleret set ikke så mystisk, det kaldes CGI (Common Gateway Interface).

Men hvorfor et script af denne art, som ikke kan gavne en almindelig bruger, skulle kunne eksekveres på CSC's mainframe, det er rigtigt nok en helt unødvendig og dårlig ide.

Nu mangler det bare at scriptet kunne udnyttes med shellshock...

  • 14
  • 0
#7 Christian Nobel

Det er isoleret set ikke så mystisk, det kaldes CGI (Common Gateway Interface).

Ah, sorry my bad - havde selvfølgelig ikke tænkt på at det "bare" er et CGI script.

Der må da så i øvrigt være godt rod i den hos CSC, da man normalt ikke kan browse cgi-bin, men udelukkende eksekvere GCI - men selvfølgelig hvis webserveren bare er hældt fuldstændig ukritisk på, og dette script installeres per automatik, så er det jo nemt at finde, hvis man kender deres struktur.

Men hvorfor i alverden at man overhovedet har et tilgængeligt script som udleverer oplysningerne om serveren er mig en gåde - normalt har man fra serversiden mere glæde af at hente oplysninger om klienten.

  • 3
  • 0
#8 Lars Lundin

Og har åbenbart heller ikke stoppet i bare 5 sekunder for at tænke over, hvorfor en svensk IP adresse skulle være associeret med et tysk begreb.

Selvom alle spor fortjener en vis opmærksomhed, og at man helt sikkert ikke kan nøjes med at undersøge en delmængde at de anvendte IP-adresser, så er det ikke sikkert at denne IP-adresse kan bruges til noget (lige så lidt som de andre).

Vil en IT-kriminel ikke altid gå igennem en IP-adresse, der peger på en anden, eller som minimum ikke kan føres tilbage til vedkommende selv ? (TOR, en åben proxy, et åbent eller utilstrækkeligt sikret WIFI).

  • 2
  • 0
#10 Rune Larsen

Men hvorfor i alverden at man overhovedet har et tilgængeligt script som udleverer oplysningerne om serveren er mig en gåde

OS/390's HTTP server er lavet før lækning af den slags oplysninger var anerkendt som et sikkerhedsproblem. Op igennem nullerne har vi fjernet mange lignende huller i diverse java- og .NET systemer, som fx kunne sende stacktraces ud til brugerne aller andre unødvendige server-oplysningerne, der potentielt kan misbruges.

Det har været alment kendt i mindst 10 år, at offentligt tilgængelige HTTP-endpoints, der lækker oplysninger om server-installationen, som fx installations-sti, kan bruges af hackere og derfor udgør en sikkerhedsrisiko. Nogen (V2?) burde spørge CSC og IBM, om de vil anerkende, at environ.sh er en sikkerhedsmæssig smutter, og om de har rettet op på dette og lignende huller i alle de samfundskritiske, danske mainframe-installationer.

På s. 236 i den offentligt tilgængelige manual kan man se listen over server-oplysninger, som lækkes af environ.sh: http://www.redbooks.ibm.com/redbooks/pdfs/sg242074.pdf

Måske er der også en XSS-sårbarhed, hvis query-param returneres direkte i reponse, som det fremgår.

  • 13
  • 0
#11 Henrik Pedersen

Tak Rune Larsen. Nu er vi alle mistænkte i CSC sagen, og evt. fremtidige hackingsager af det offentliges mainframes, fordi du har sendt os det link, og vi alle har været inde og kigge på det.. (Det sørgelige er at der vidst snart ikke skal mere til - Hvorfor skulle vi ellers kigge i manualen?)

  • 2
  • 1
#15 Knud Jensen

Vil en IT-kriminel ikke altid gå igennem en IP-adresse, der peger på en anden, eller som minimum ikke kan føres tilbage til vedkommende selv ? (TOR, en åben proxy, et åbent eller utilstrækkeligt sikret WIFI).

Kommer lidt an på situationen. Som jeg forstod forløbet, så opholdte Warg sig i Cambodja, hvor der ikke var nogen gældende udleveringsaftale, samt at politiet dér, vist ikke anerkendte hacker-angrebet som et problem i henhold til gældende lov. Warg har så muligvis troet han var urørlig, og folk som står i den situation har det med at blive dovne.

  • 3
  • 0
#16 Gunner Olesen

Normalt slipper http requests vel igennem firewalls på port 80, så hovedproblemet er stadig at CSC har fremstillet den billigst mulige løsning ved at bruge den "gamle" server uden at ofre fornøden omhu på opsætning. Hele ZOS USS setup ser ud til at være benyttet stort set "as is" uden omtanke.

  • 1
  • 0
#18 Jens Jönsson

Re: Jeg troede ikke, det kunne blive værre...

Vil en IT-kriminel ikke altid gå igennem en IP-adresse, der peger på en anden, eller som minimum ikke kan føres tilbage til vedkommende selv ? (TOR, en åben proxy, et åbent eller utilstrækkeligt sikret WIFI).

Kommer lidt an på situationen. Som jeg forstod forløbet, så opholdte Warg sig i Cambodja, hvor der ikke var nogen gældende udleveringsaftale, samt at politiet dér, vist ikke anerkendte hacker-angrebet som et problem i henhold til gældende lov. Warg har så muligvis troet han var urørlig, og folk som står i den situation har det med at blive dovne.

Som udgangspunkt, selvom man føler sig immun, hvem ville så være så sløset (og dum) at tilgå sådan et system (CSC's system), fra en IP-adresse der kan henledes til én selv ? Når man tænker på at Warg, om nogen, burde vide hvad det kan føre til.

I min optik, så lugter det mere og mere af at nogen andre end Warg har gjort det. De har sikkert brugt hans PC, men hvis den netop har stået som påstået, til brug for alle mulige i "branchen", så er det jo oplagt at bruge netop den, hvis man vil gøre ham skade.

It-efterforsker Flemming Grønnemose har af flere omgange vidnet i retten. Han er en del af det nationale IT-efterforskningscenter, NC3, der assisterer politiet i sager om it-kriminalitet.

»Det ligner, at den kommer fra en banegård,« sagde efterforskeren.

Ikke meget "IT-efterforsker" over den bemærkning. Hvis man ikke kan slå IP-adressen op i RIPE og konstatere at "Bahnhof" er et firmanavn og en Internetudbyder, så synes jeg man kraftigt skal overveje om man er titlen "IT-efterforsker" værdig. Man risikerer jo at få uskyldige fængslet, når man ikke kender sine egne begrænsninger....

  • 8
  • 0
Log ind eller Opret konto for at kommentere