Hemmelig rapport: Sådan blev den svenske centraladministration hacket

Illustration: Virrage Images/Bigstock
IBM-mainframes hos Logica i Sverige blev hacket godt og grundigt gennem måske to år, og fortrolige statslige databaser blev kopieret. Nu afslører en hemmeligholdt rapport, hvordan det skete.

Det nok mest alvorlige hackerangreb i nyere tid i Skandinavien er nu ved at blive oprullet, i takt med at den tidligere Pirate Bay-stifter Gottfrid Svartholm Warg nu sidder på anklagebænken i en retssag om en stribe hackerangreb. Han havde - ifølge anklagerne - held med både at få adgang til Nordeas interne banksystemer og stjæle 24.200 kroner fra en dansk fagforening, men fik sammen med flere partnere også infiltreret Logicas serverpark fuldstændigt.

Læs også: Svensk hacker anklaget for at stjæle 24.200 kroner fra dansk fagforening

En masse saftige detaljer er nu kommet frem i en rapport på 573 sider, som virksomheden Logica har udarbejdet til det svenske politi i februar i fortrolighed, og som nu er blevet offentliggjort.

Logica, der siden hen har skiftet navn til CGI, er Sveriges største leverandør af it-outsourcing og driver kritiske og dybt fortrolige systemer for både den svenske stat, banker og mange private firmaer. Miljøet, som hackerne fik infiltreret, talte over 10.000 servere, heraf mange IBM-mainframes med z/OS, som ellers bliver betragtet som systemer, der er godt beskyttede mod hackerangreb.

Ifølge rapporten fra Logica fik hackerne eskaleret deres adgang til systemerne, blandt andet på grund af brugen af svage passwords, og fik kontrol over mange forskellige servere, med mange forskellige kunder. Blandt andet fik hackerne downloadet Sveriges officielle og fortrolige database over landets indbyggere, SPAR, der også rummer personer med skjult identitet. Data fra det svenske skattevæsen var også kompromitteret, ligesom hackerne fik hentet en liste over alle politiets køretøjer.

Andre ofre for hackerangrebet var blandt andet IBM og Logica selv, som fik stjålet intern kildekode. Men rapporten understreger, at det ikke er nemt at få overblik over hackernes ’høst’, da hver mainframe kunne drive mange forskellige systemer fra forskellige kunder, og hackerne hentede data på mange forskellige måder.

Hackerangrebet blev opdaget lidt tilfældigt, da teknikere undrede sig over en server, som kørte med fuld belastning uden grund. De uforklarlige hændelser førte til en sikkerhedsundersøgelse, som endte med at vare i flere måneder på højeste alarmberedskab. Mange tusinder mandetimer blev brugt i den periode på at stoppe hackerne og kortlægge skaden, skriver Logica.

Problemet med dårlige passwords bliver beskrevet nøjere af Logica i rapporten. Hackerne fik kontrol over password-databasen i RACF-systemet, som er IBM’s adgangssoftware til z/OS-systemer. Og da sikkerhedseksperter selv prøvede at køre databasen med passwords gennem det kendte hackerværktøj John the Ripper, var resultatet nedslående.

30.000 passwords blev afkodet ganske hurtigt, viste det sig, og en af grundene var, at systemet ikke skelner mellem store og små bogstaver, samtidigt med at de fleste specialtegn er udelukket. De ansatte hos Logica og hos de mange kunder havde i tilgift været sløsede med deres passwords:

»Generelt var de passwords, som Logica, Applicate og deres kunder brugte: 1) Meget nemme af afsløre med et dictionary-angreb. 2) Ofte stadig det standardpassword, som blev brugt, da kontoen blev oprettet. 3) Ikke komplekse (i forhold til password-kompleksitet),« skriver Logica på side 52 i rapporten.

Angrebene, som rapporten beskriver, blev opdaget den 6. marts 2012. Ifølge IDG.se har hackerne sandsynligvis haft adgang til systemerne siden januar 2010, altså i over to år, uden at blive opdaget.

Dette hackerangreb er ovenikøbet blot et ud af flere, som Gottfrid Svartholm Warg står anklaget for. Han blev anholdt i Cambodia i august 2012, hvor han opholdt sig for at undgå den fængselsdom, han modtog for sin rolle i The Pirate Bay-tjenesten. Bevismaterialet mod ham er primært filer, logs og chat-samtaler, fundet på hans computer, som ellers var krypteret med Truecrypt. Ifølge Gottfrid Svartholm Warg fandt disse oplysninger vej til hans maskine, fordi den stod åben for andre, der kunne dele materiale på den måde.

Hent rapporten fra Logica/CGI (pdf via fildelingstjeneste)

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kenn Nielsen

30.000 passwords blev afkodet ganske hurtigt, viste det sig, og en af grundene var, at systemet ikke skelner mellem store og små bogstaver....

NemID skelner heller ikke mellem store og små bogstaver, og det er jo vildt sikkert.

K -Tilsæt ironi efter behov..

  • 4
  • 0
Jesper Lund

NemId's sikkerhed bygger på éngangskoder som er væsentligt sikrere end det beskrevne.

Din private nøgle ligger i et HSM hos DanID hvor den alene er beskyttet af dit NemID password. Der er også nogle backup funktioner som skaber ekstra kopier af din private nøgle (som mig bekendt ikke er dokumenteret nærmere i klassisk "security through obscurity" stil).

OTP koderne giver en vis beskyttelse mod angreb på den normale adgangsvej til din digitale signatur, men hvis angriberen på anden måde får adgang til HSM'et hos DanID (eller hvis angriberen er DanID selv, enten som ekstraopgave for staten eller "rogue" medarbejder) hjælper OTP koderne ikke.

  • 5
  • 0
Kenn Nielsen

....ikke det er helt fair at blande NemId ind... NemId's sikkerhed bygger på éngangskoder som er væsentligt sikrere end det beskrevne.

Hvorfor så overhovedet have password, hvis sikkerheden ligger i OTP koderne ?

OTP-koden taster jeg når jeg logger ind, herefter valideres alle handlinger med password alene.

Det du - måske - overser, er muligheden for at sammenholde dette med hvad du allerede véd; nemlig at E-fuldmagt aka. NemID også er ligeglad med store/små bogstaver.

Du véd - måske - også at ingen vil høre på kritikken af manglende NemID-sikkerhed.

Her er der så en rapport som nøgternt fortæller at passwords var lette at knække bl.a. fordi man var ligeglade med store/små bogstaver.

Så kan man addere 2 med 2 , eller lade være.

Jeg venter bare på at DanID melder ud at dette kommer bag på dem.

K

  • 0
  • 0
Jørgen L. Sørensen

NemId's sikkerhed bygger på éngangskoder som er væsentligt sikrere end det beskrevne.

Har ikke forstand på det --- men tænker: Hvorledes ved NemID hvilken kode de skal spørge efter, og hvilket svar der er det korrekte, hvis der ikke ligger en kopi af mit nøglekort hos NemID?

Og hvis der ligger en kopi kan den jo også misbruges hvis der er nogle der får adgang.

  • 0
  • 0
Michael Erichsen

Denne rapport er fantastisk værdifuld. Der kan læres meget af den.

Roden lader primært til at have været en for åben firewall-politik og for svage password-regler. Og måske for mange rettigheder for visse betroede brugere?

Det er tilsyneladende lykkedes angriberne at stjæle en betroet brugers userid og password som forudsætning for angrebet.

De har uploadet angrebsværktøjer med FTP, og de har downloadet filer, som denne bruger gav adgang til. Desuden har de haft interaktiv adgang til at lede i filsystemerne og til at aktivere deres værktøjer med. Især gælder det et program, der har etableret sig som sin egen udgående server (ikke fanget af firewalls, der fokuserer på indgående trafik) og som har givet adgang via en uafvidende trediepartsserver.

De har kunnet downloade RACF-databasen, som indeholder krypterede userids og passwords, og de har haft adgang til (eller selv udviklet) brute force værktøjer til at cracke databasen med hjælp fra lister over userids, de har bygget ved de andre angreb.

Jeg håber, at driftsorganisationerne hos mainframeleverandører verden over læser sig kloge på rapporten.

  • 1
  • 0
Michael Erichsen

Det er i øvrigt interessant, at værktøjerne ikke kun er skrevet i c til afvikling i Unix System Services, men der er også REXX execs og et HLASM assemblerprogram med tegn på godt kendskab til RACF's kontrolblokke og assemblermakroer.

Det er ikke script kiddies, der har skruet det her sammen.

  • 2
  • 0
Log ind eller Opret konto for at kommentere