Det nok mest alvorlige hackerangreb i nyere tid i Skandinavien er nu ved at blive oprullet, i takt med at den tidligere Pirate Bay-stifter Gottfrid Svartholm Warg nu sidder på anklagebænken i en retssag om en stribe hackerangreb. Han havde - ifølge anklagerne - held med både at få adgang til Nordeas interne banksystemer og stjæle 24.200 kroner fra en dansk fagforening, men fik sammen med flere partnere også infiltreret Logicas serverpark fuldstændigt.
En masse saftige detaljer er nu kommet frem i en rapport på 573 sider, som virksomheden Logica har udarbejdet til det svenske politi i februar i fortrolighed, og som nu er blevet offentliggjort.
Logica, der siden hen har skiftet navn til CGI, er Sveriges største leverandør af it-outsourcing og driver kritiske og dybt fortrolige systemer for både den svenske stat, banker og mange private firmaer. Miljøet, som hackerne fik infiltreret, talte over 10.000 servere, heraf mange IBM-mainframes med z/OS, som ellers bliver betragtet som systemer, der er godt beskyttede mod hackerangreb.
Ifølge rapporten fra Logica fik hackerne eskaleret deres adgang til systemerne, blandt andet på grund af brugen af svage passwords, og fik kontrol over mange forskellige servere, med mange forskellige kunder. Blandt andet fik hackerne downloadet Sveriges officielle og fortrolige database over landets indbyggere, SPAR, der også rummer personer med skjult identitet. Data fra det svenske skattevæsen var også kompromitteret, ligesom hackerne fik hentet en liste over alle politiets køretøjer.
Andre ofre for hackerangrebet var blandt andet IBM og Logica selv, som fik stjålet intern kildekode. Men rapporten understreger, at det ikke er nemt at få overblik over hackernes ’høst’, da hver mainframe kunne drive mange forskellige systemer fra forskellige kunder, og hackerne hentede data på mange forskellige måder.
Hackerangrebet blev opdaget lidt tilfældigt, da teknikere undrede sig over en server, som kørte med fuld belastning uden grund. De uforklarlige hændelser førte til en sikkerhedsundersøgelse, som endte med at vare i flere måneder på højeste alarmberedskab. Mange tusinder mandetimer blev brugt i den periode på at stoppe hackerne og kortlægge skaden, skriver Logica.
Problemet med dårlige passwords bliver beskrevet nøjere af Logica i rapporten. Hackerne fik kontrol over password-databasen i RACF-systemet, som er IBM’s adgangssoftware til z/OS-systemer. Og da sikkerhedseksperter selv prøvede at køre databasen med passwords gennem det kendte hackerværktøj John the Ripper, var resultatet nedslående.
30.000 passwords blev afkodet ganske hurtigt, viste det sig, og en af grundene var, at systemet ikke skelner mellem store og små bogstaver, samtidigt med at de fleste specialtegn er udelukket. De ansatte hos Logica og hos de mange kunder havde i tilgift været sløsede med deres passwords:
»Generelt var de passwords, som Logica, Applicate og deres kunder brugte: 1) Meget nemme af afsløre med et dictionary-angreb. 2) Ofte stadig det standardpassword, som blev brugt, da kontoen blev oprettet. 3) Ikke komplekse (i forhold til password-kompleksitet),« skriver Logica på side 52 i rapporten.
Angrebene, som rapporten beskriver, blev opdaget den 6. marts 2012. Ifølge IDG.se har hackerne sandsynligvis haft adgang til systemerne siden januar 2010, altså i over to år, uden at blive opdaget.
Dette hackerangreb er ovenikøbet blot et ud af flere, som Gottfrid Svartholm Warg står anklaget for. Han blev anholdt i Cambodia i august 2012, hvor han opholdt sig for at undgå den fængselsdom, han modtog for sin rolle i The Pirate Bay-tjenesten. Bevismaterialet mod ham er primært filer, logs og chat-samtaler, fundet på hans computer, som ellers var krypteret med Truecrypt. Ifølge Gottfrid Svartholm Warg fandt disse oplysninger vej til hans maskine, fordi den stod åben for andre, der kunne dele materiale på den måde.
