Hjemmeværnet lagt ned af hackerangreb: Forsømte Exchange-opdatering i to måneder

15. oktober 2021 kl. 03:4519
Hjemmeværnet lagt ned af hackerangreb: Forsømte Exchange-opdatering i to måneder
Illustration: Hjemmeværnet.
En aktindsigt i Hjemmeværnets anmeldelse af hackerangrebet på deres hjemmeside til Datatilsynet viser at angrebet fandt sted via en sårbarhed i Microsoft Exchange. En sårbarhed, ekspert mener, at man burde have prioriteret
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En flere måneder gammel sårbarhed i Microsoft Exchange blev ukendte hackeres vej ind i Hjemmeværnets systemer. Microsoft havde ellers udgivet patchen to måneder før angriberne lykkedes med at ramme Hjemmeværnet, der er en af grenene i det danske forsvar - Hjemmeværnet havde nemlig ikke installeret sikkerhedsopdateringen.

I 16 dage fra den 12. september kunne Hjemmeværnets hjemmeside derfor ikke tilgås, ligesom hackerne har haft adgang til Hjemmeværnets mailservere.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
19 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
21. oktober 2021 kl. 19:33

Der er mange kommentarer omkring at det er for dårligt m.m. I hele den diskusssion skal man måske se lidt på hvem man skyder på. Hjemmeværnet, der er et meget lille hjørne af et meget stort system, har næppe selv været dem der bestemte hvilken platform der skulle bruges og hvem der skulle drifte det og hvad det måtte koste.

Når der i dette forum tales så meget om hvordan det ellers kunne laves er det vigtigt at huske målgruppen. Det er "helt almindelige mennesker". De er lejlighedsvise brugere af dette. De bruger deres fritid på dette. Det er dem en løsning skal understøtte i deres arbejde.

Når det så er sagt, så er denne hændelse sikker en øjenåbner for hvordan systemer fremover skal beskyttes og opdateres, og at der formodentligt skal afsættes en del mere ressourcer til det fremover.

17
21. oktober 2021 kl. 13:25

Det er vel den samme server det hele kører på? ;-)

16
19. oktober 2021 kl. 20:53

Kan du komme med et eller flere eksempel, bare så sådan en som mig der ikke bruger exchange måske kan se meningen med den kobline?

Nu har teams ikke det store med Exchange on-prem at gøre, men her bruger vi også MS teams rigtigt meget, det bliver brugt til:

  • Online møder (internt/externt, alle møder er her per default over teams, selv hvis alle er på samme lokation fysisk, langt lettere hvis en eller flere skulle være remote ligepludselig)
  • 1:1 chat med kollegaer internt/eksterne konsulenter
  • Skærmdeling med kollegaer/eksterne konsulenter
  • Hver afdeling har hver deres team / fælles teams, til general info, f.eks ved "Major Incidents", nemmere at informere et sted, hvor relevante folk kan se det, på tværs af afdelinger, og give deres input, uden at forstyre dem prøver at løse tingene.
  • Integration med onedrive, til fil deling / "drev"
  • Integration af "faneblade" med diverse andre systemer, f.eks vagt planer per, delte onenote sider, og en masse andet.
  • Kalender (bruger ikke outlook til kalender længere, selvom begge er via Exchange (Online)).

Tror jeg bruger teams ~50% af min tid hver dag, enten til møder eller chat / andet.

Men nok bedre at beskrive et konkret eksempel, den afdeling jeg sidder i, er spredt over mange forskellige lande / lokaliteter, der har vi f.eks et morgen møde hver morgen, hvor hele vores team, og de konsulenter der arbejder for os (altså eksterne folk) deltager, folk viser tit frem hvad de har arbejdet med, som de gerne vil vise en demo af, det er nemt lige at dele skærmbilledet, eller dele nogle filer, når mødet er "færdigt", ligger mødet stadig i ens chat history, som et seperat "gruppe chat", med dem der deltog, så er det nemt lige at skrive til alle der deltog, hvis man havde glemt at informere om noget, plus det er nemt lige at tage nogen møde notater, da det ligger indbygget.

Men igen, ikke noget der ikke kan laves med andre værktøjer, har bare ikke set noget der har været så tæt integreret/smooth at bruge i det daglige, selvom jeg på ingen måde er fan af Microsoft, men teams, er jo reelt bare en shell om Chromium, så virker jo også fint på Linux/Mac.

Men sjovt nok bliver de "gamle" dele af office pakken, sjældent brugt her, word er erstattet af Confluence / andet, samme med Excel ved at være sjældent det er startet op, det samme er lidt ved at ske med Outlook, email er ikke noget jeg tjekker hver dag længere, efter vi er skiftet til teams.

14
18. oktober 2021 kl. 09:46

Bare lige for at få lidt på plads. Nu er Cyberhjemmeværnet ikke udmøntet, uddannet eller enkadreret, og driften af hjv.dk burde have indtil flere slag med en våd, kold tepose.

Det er derfor jeg sagde at der skulle sættes skub i processen. Men da det indtil videre bare er luftkasteller som er tegnet på Christiansborg og tilsyneladende ikke Kastellet så må vi jo vente længe.

Vi er rent faktisk nogle stykke i Hjemmeværnet med cyberbaggrund, så der er lidt at starte op på. Så vidt jeg ved, er der ikke nogle af os, der har ikke noget med driften at gøre. Hvordan det er skruet sammen ved jeg ikke, men jf. artiklen her, så er der tilsyneladende nogle problemer med at bedømme kritikalitet - og så med at få en infrastruktur skruet sammen, der ikke spænder ben for sikkerheden.

Jeg er ikke i tvivl om hvor man kunne starte på at forbedre OPSEC gevaldigt på denne front men det hører ikke hjemme i offentligt forum :-)

Weekendkriger: Så når jeg er inde X hverdage om året for at træne med de fastansatte og reserveofficererne i den stab, jeg er tilknyttet, hvad er jeg så? Eller når jeg er tre uger på kursus ved et af f.eks. efterretningsregimentet?

Hvordan du selv-identificerer dig blander jeg mig ikke i. Du misser pointen med mit spørgsmål når du fokuserer på dine følelser om udtrykket "weekendkriger" i stedet for min pointe.

13
18. oktober 2021 kl. 08:35

[quote]Hjv.dk er, udover at være vores hjemmeside, også et komplekst administrativt system.

Hvorfor har man blandet de 2 ting sammen?

Seperation af services, således at man kan opdatere exchange uden at påvirke driften af websitet.[/quote]

hjv.dk og exchange.hjv.dk er ikke nødvendigvis den samme server, mon ikke der er noget dns/fw indover og en del mangler i artiklen.

12
17. oktober 2021 kl. 15:30

Ja, man køber en platform hvor man kun skal bruge 10% af dens funktionalitet. Lige så dumt som at købe MS Teams, fordi man skal holde online-møder.

Men hvor ved du fra at Hjemmeværnet kun bruger 10% af funktionaliteten? Jeg ville blive ganske overrasket hvis Hjemmeværnet ikke har behov for fx. kalenderfunktionalitet eller mødelokale booking. Men ok, Exchange er nok ikke et produkt der har en kæmpe fremtid set i lyset af Microsofts success med Office 365 som en service. Men måske er hjemmeværnet netop en af de myndigheder hvor øget internet afhængighed ikke er ønskelig.

Personligt kan jeg sige at vi bruger MS teams til meget andet end blot onlinemøder. Den tætte integration med de andre Office produkter er guld værd. Tæt integration har i øvrigt været et mål for office-productivity pakker siden Lotus Symphony kom på markedet i 1984 og er stadigvæk vigtigt for brugerne.

10
17. oktober 2021 kl. 14:18

I betragtning af at der findes en lang række udmærkede mail-servere på markedet, så er det besynderligt at man vælger den som kræver allermest "omsorg". Der findes glimrende systemer som ikke står på hackernes mål-lister og som ikke kræver ugentlige patches for at fungere.

Sandsynligvis fordi exchange ikke bare er en email server ... det er også grunden til at rigtigt mange bruger den og det er naturligvis også grunden til at Exchange er blandt de mest indbydende hacking mål.

9
17. oktober 2021 kl. 13:54

I betragtning af at der findes en lang række udmærkede mail-servere på markedet, så er det besynderligt at man vælger den som kræver allermest "omsorg". Der findes glimrende systemer som ikke står på hackernes mål-lister og som ikke kræver ugentlige patches for at fungere.

Jeg synes at vi som borgere i det her land, kan forlange at de som har til opgave at forsvare os alle sammen, også er i stand til at forsvare sig selv.

Og det kræver altså at man vælger teknologier med langt større omhu.

Skift til Kerio eller Kopano. Eller tag fat på et af de mange open source alternativer der findes. Der er ingen undskyldninger.

8
17. oktober 2021 kl. 03:43

Weekendkriger: Så når jeg er inde X hverdage...

Michael.. danskeren har levet i fredstid ~75 år og er i dag generelt skudræd, få har efterhånden været soldat endsige nogen indsigt i forsvaret eller har haft et våben i hånden, så de smider derfor om sig med "dumsmarte bemærkninger" (tak HM Margrethe II).

Men hvis der pludseligt bliver brug for HV, vores kamptropper, så er dem med dumsmarte bemærkninger også de først til at hyle op om hjælp ASP fra dem med skarpt ;)

De dumsmarte skal ikke undskyldes, men de fatter ikke, at "en forsikring" kun virker, hvis den er aktiveret og den er betalt.

7
16. oktober 2021 kl. 15:09

Bare lige for at få lidt på plads. Nu er Cyberhjemmeværnet ikke udmøntet, uddannet eller enkadreret, og driften af hjv.dk burde have indtil flere slag med en våd, kold tepose.

Vi er rent faktisk nogle stykke i Hjemmeværnet med cyberbaggrund, så der er lidt at starte op på. Så vidt jeg ved, er der ikke nogle af os, der har ikke noget med driften at gøre. Hvordan det er skruet sammen ved jeg ikke, men jf. artiklen her, så er der tilsyneladende nogle problemer med at bedømme kritikalitet - og så med at få en infrastruktur skruet sammen, der ikke spænder ben for sikkerheden.

Weekendkriger: Så når jeg er inde X hverdage om året for at træne med de fastansatte og reserveofficererne i den stab, jeg er tilknyttet, hvad er jeg så? Eller når jeg er tre uger på kursus ved et af f.eks. efterrretningsregimentet?

6
15. oktober 2021 kl. 15:23

Jeg antager der er tale om Hafnium. Der kom vitterlig nyhedsbreve fra alle kanter der bebudede en omgående patching af alt der havde med Exchange on-premise at gøre.

Det burde næsten være strafbart at påstå man ikke vurderede hullet som værende et kritisk issue.

5
15. oktober 2021 kl. 13:37

Patchkritikalitet

Ifølge Hjemmeværnet blev opdateringen udgivet allerede i juli, og pressemedarbejder Kevin Sigvartsen, skyldes den to måneder lange forsinkelse, at Windows ikke havde vurderet, at der var tale om en ‘kritisk’ sikkerhedsopdatering

Ikke så kritisk?

Det kræver vist skyklapper at sige.

"Cyberhjemmeværnet"

Nu hvor man fra politisk side har besluttet at Hjemmeværnet skal kunne lege med de store drenge er det vel en oplagt mulighed for at få sat lidt skub i processen hen imod... noget? Cyber-noget? Er der noget lærdom der kan trækkes ud om hvordan man har designet (eller outsourcet) infrastrukturen og fordelt patch-ansvar? Hvad med gennemsyn af beredskabsplanerne for IT så man ikke er nede i nærmest uendeligt lang tid?
Altså, alt det vi andre skal, bare her med uniform på...

Data

Hvilke data er der så (potentielt) eksfiltreret? Er der hentet data og billeder ud om samtlige weekendkrigere i Danmark? Fødselsdag, adresse, specialistuddannelser, udrustning?
Det er vel også relevant at få klarlagt. Er der logget nok, og er loggen pålidelig?

4
15. oktober 2021 kl. 11:54

Fair nok. Kender ikke deres setup, men kan man ikke køre exchange på en server og web på en anden, så de er decouplet og på den måde sikre de kan opgraderes uafhængigt af hinanden?

Jo, det man sagtens, og det er anbefalet og ikke særlig svært. Man kunne enda sagtens argumentere for, at på et internet-eksponeret IIS system (Exchange frontend kører på IIS) burde man bare patche automatisk, og så tage problemerne ved defekte patches bagefter. Det er i hvert fald hurtigere at rydde op efter end de de har været ude i nu.

Der står faktisk ikke noget i artiklen om hvorvidt de to systemer var skilt ad.

3
15. oktober 2021 kl. 11:17

Fordi man gerne vil kunne sende mails fra det administrative system, og ikke må bruge penge på den bedste løsning men skal vælge den løsning som er god nok?

Fair nok. Kender ikke deres setup, men kan man ikke køre exchange på en server og web på en anden, så de er decouplet og på den måde sikre de kan opgraderes uafhængigt af hinanden?

Evt skulle man overveje at bruge penge på noget a la sendgrid, hvis det blot handler om at sende mails ud fra det administrative website?

1
15. oktober 2021 kl. 08:38

Hjv.dk er, udover at være vores hjemmeside, også et komplekst administrativt system.

Hvorfor har man blandet de 2 ting sammen?

Seperation af services, således at man kan opdatere exchange uden at påvirke driften af websitet.

Konstant opdatering af systemerne ved de mindste rettelser fra Microsoft og andre af ens leverandører er nødvendig og bør følges. Konsekvenserne ved ikke at gøre det er at man bliver taget med bukserne nede og skal rydde op i skaderne bag efter.