Hullet webserver hos CSC delte virtuel server med Schengen-register

5. august 2015 kl. 10:4116
Rigspolitiets systemer med følsomme personoplysninger delte sandsynligvis logisk partition på CSC's mainframe med blandt andet en usikker webserver.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Da hackere i marts 2012 fik adgang til den mainframe hos CSC, som blandt andet lagde kapacitet til en række af Rigspolitiets it-systemer, skete det gennem en usikker webserver, der tilhørte Moderniseringsstyrelsen. Sådan lyder vurderingen fra Datatilsynet i en ny afgørelse.

Afgørelsen løfter sløret for en række detaljer i sagen i forhold til, hvordan det kunne lykkes at få adgang til systemer, der omfattede kørekortregistret og Schengen-registret, der indeholder følsomme personoplysninger.

Selve sikkerhedshullet på mainframen lå i den webserver, der lå bag webstedet tjenestemandspension.dk, som CSC stod for driften af på vegne af Moderniseringsstyrelsen.

CSC's mainframe var dog opdelt i logiske partitioner, LPAR, som i princippet burde være adskilt, så særligt følsomme systemer ikke delte LPAR med systemer, der kunne tilgås direkte fra internettet.

Artiklen fortsætter efter annoncen

På den pågældende mainframe var der fire LPAR, som var relateret til driften af Rigspolitiets it-systemer. Disse partitioner blev imidlertid også delt med andre offentlige kunder hos CSC. Datatilsynet har ikke kunnet få et præcist svar fra Rigspolitiet om, hvilken partition Schengen-registret blev afviklet på, men ud fra oplysningen om, at det var på den LPAR, der var døbt D11, at Rigspolitiet lavede konsistenstjek på D11, og at der blev lavet konsistenstjek på Schengen-systemet, konkluderer Datatilsynet, at Schengen-registret også kørte på D11.

På D11 lå imidlertid også Moderniseringsstyrelsen webserver, og det var gennem et sikkerhedshul i denne webserver, at hackerne fik adgang til D11.

Da de fire LPAR samtidig delte fysisk disksystem og adgangskontrolsystem, RACF, var det muligt at gå fra en usikker webserver til Rigspolitiets systemer.

Ifølge afgørelsen blev der ved angrebet benyttet to zero-day-sårbarheder. Den ene i webserveren og en anden i IBM's mainframe-styresystem, og der eksisterede ingen sikkerhedsopdateringer, der kunne lukke sikkerhedshullerne, på det tidspunkt, hvor angrebet fandt sted.

Artiklen fortsætter efter annoncen

Fra den første begrænsede adgang til mainframen lykkedes det hackerne at eskalere deres rettigheder og i sidste ende at få adgang til registre med følsomme personoplysninger. Datatilsynet kritiserer i skarpe vendinger Rigspolitiet og CSC for ikke at have sørget for tilstrækkelig adskillelse mellem registrene og webserveren.

Men Datatilsynet kritiserer også selve opsætningen af mainframen:

»Opdeling af én mainframe i fire LPAR'er kan sikkerhedsmæssigt ikke sidestilles med drift i fire fra hinanden fysisk isolerede/adskilte mainframes,« skriver Datatilsynet i afgørelsen.

Tilsvarende kritik rettes mod, at de fire LPAR'er delte disksystem og adgangskontrolsystem. Problemet var ifølge Datatilsynet, at der dermed var flere dataansvarlige - i dette tilfælde blandt andet Rigspolitiet og Moderniseringsstyrelsen - som risikerede at blive kompromitteret, hvis hackere fik adgang til én af parternes systemer.

»Ved at Rigspolitiet har placeret driften af Schengen-informationssystemet i én mainframe, som også blev benyttet af andre dataansvarlige til helt andre formål, er Schengen-informationssystemet helt unødvendigt blevet eksponeret for risici, som kan henføres til andre dataansvarliges drift af deres systemer,« skriver tilsynet.

Det svage led i den måde, mainframen var opsat på hos CSC, var, at sikkerheden kom til at hænge på adgangskontrollen, som skulle forhindre, at man fra én dataansvarligs system kunne komme til at få adgang til systemer, der lå på samme LPAR. Og når man havde adgang til Rigspolitiets systemer på én LPAR, kunne man også få adgang til de systemer, der lå på andre LPAR.

»Ved at indlægge driften af Schengen-informationssystemet i samme mainframe, i samme LPAR, og under kontrol af ét og samme styresystem, som Moderniseringsstyrelsen også anvendte til webserveren, tilsidesatte Rigspolitiet såvel princippet om isolation som princippet om adskillelse. I dette tilfælde manglede der tilstrækkelig adskillelse mellem de dataansvarlige, ligesom der manglede adskillelse mellem Schengen-informationssystemet og webserveren, som funktionelt set ikke havde noget med hinanden at gøre, og derfor ikke burde afvikles under kontrol af et og samme styresystem. Herved tilsidesattes tillige princippet om forsvar i dybden,« skriver Datatilsynet.

Datatilsynet betegner konfigurationen som 'sikkerhedsmæssigt særdeles uforsigtigt' og kalder det 'helt unødvendigt', at Rigspolitiet på denne måde har eksponeret Schengen-registret for hackerangreb fra internettet.

16 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
15
5. august 2015 kl. 21:52

Er der ikke snart en kvik journalist der kan grave sig ned til den reelle årsag til at CSC igennem årtier har været husleverandør af hosting ydelser til det offentliges mest centrale og kritiske systemer og datalagre?

16
5. august 2015 kl. 23:28

hvorfor får CSC de opgaver for det offentlige?</p>
<p>Er der ikke snart en kvik journalist der kan grave sig ned til den reelle årsag til at CSC igennem årtier har været husleverandør...

Behøver hverken journalist eller graveri. Alt er velkendt både indenfor samt udenfor den offentlig sektor og ligetil:

  • Ikke på lystavlen hos en eneste med magt, jfr. indlæg ovenfor.
  • Ingen gider have ansvar og slet ikke bøvlet
  • Ingen får (tilstrækkelig) tak herfor
  • Man bliver ansvarlig for samtlige fejl uanset årsag
  • Ansvar for endnu et kulsejlet offentligt it-projekt - NOT.
  • Mindst 10 mere af samme kaliber.

Monopoler skabes under manglende politisk udsyn, og kan derefter overleve i årtier pga. fortsat ligegyldighed.

TDC, Datacentralen I/S, DONG, NETS, DSB, KMD m.fl. er flotte eksempler.

Den første minister M/K med hår på brystet og trang til at rydde bulen for slendrian vil skrive sig ind i historiebøgerne.

"You cannot solve a problem with the same thinking that created the problem". (Einstein)

8
5. august 2015 kl. 17:09

https://www.version2.dk/artikel/schengen-registret-delte-mainframe-partition-med-usikker-webserver-hos-csc-309574#comment-form

Til flere persondata end de har brug for, og at den enkelte myndighed ikke skal have lov til have data som er dem uvedkommende.

Betyder intet hvis vi betror ansvaret til solide kompetente mennesker uden utøj på loftet, men det har de vist ingen test for ifm. ansættelse.

Hvorimod de beviselig har en test vedrørende gøgeungeeffekten, der så i dag skamrider systemerne = eksamen fra noget 'vi' kender, anbefaling fra en 'som os', papir på 'xxx', som 'os' og endelig 'vores' fagforening - det tæller desværre ;-/

Jeg har mindst de seneste 5 år jævnligt omtalt de fodslæbende juridiske forhold, bagudskuende, mangler interesse for borgernes retssikkerhed, og aldeles uden tilstrækkelig vide om samt interesse for faget [IT].

Juristens hjerne har helt andre præferencer. Det har i utallige år faktisk været "intet nyt fra Vestfronten".

Systemerne (os selv) har i utallige år tilladt, at de vende det blinde øje til. Mig bekendt indgår jurister som en vægtig del af djøf'klanen, der hersker i administrationen ..sikke et spild af penge.

  1. Vi har jævnligt kendte overtrædelser af love/regelsæt i fuld offentlighed.
  2. Det ske uden en eneste offentlig styrelse føler sig faglig ansvarlig og griber ind.
  3. Det sker uden en eneste borger har anmeldt lovovertræderne.
  4. Engang tog systemet fag og håndværk seriøst, samt rydde ud i egne rækker - lapidarisk.
  5. Denne soap fortsætter...

Nogen påstår tilmed at vores samfund er i besiddelse af retsfølelse, og at vi har et retssamfund, og det har vi da også teoretisk.. ;)

7
5. august 2015 kl. 17:08

Datatilsynet kritiserer i skarpe vendinger Rigspolitiet og CSC... jojo, men hvor kan jeg se hvem der indtil videre er blevet fyret, fået bøder eller blevet retsforfulgt?

9
5. august 2015 kl. 17:17

Ad Pauli,

Rigtigt set. Det har desværre ingen konsekvenser for de såkaldte ansvarlige. De - Rigspolitiet og CSC - kan fortsætte som hidtil med at kompromittere dine og mine personfølsomme oplysninger og metadata. De to nævnte instanser er de egentlige forbrydere, men det har ingen konsekvens. Det er det vi med interesse for datasikkerhed m.v egentlig burde beskæftige os med. Fortsat kommentering har ingen indvirkning på beslutningstagerne - der skal andre midler til.

6
5. august 2015 kl. 17:06

Grundlaget for Schengen-registret er den såkaldte SIRENE-manual (Supplementary Information Request at the National Entry). Indholdet er fortsat fortroligt, men en kopi blev lækket. Manualen bestemmer høfligt, at politiet skal overholde national lovgivning, når de indhenter Schengen-oplysninger, men kort efter aflives dette forbehold totalt: "Såfremt den målrettede kontrol ikke er tilladt i henhold til den nationale lovgivning, indhentes på passende måde alle eller dele af oplysningerne uden at personens opmærksomhed henledes herpå."

4
5. august 2015 kl. 14:53

Ikke nok med at vi vidste at CSC fuckede godt og grundigt i det med sikkerhed (har aldrig været nogen nyhed) men at en anden skal tage faldet for dem for deres udulighed. sørgeligt. Men nå, det er jo pengene der bestemmer og man får hvad man betaler. :)

13
5. august 2015 kl. 19:36

Du har ret. Vi har givet masser af penge for ingenting.

3
5. august 2015 kl. 13:23

Imponerende sikkerhed. Havde Anakata ikke skaffet sig adgang, så var der uden tvivl andre mere ondsindede forbrydere der havde fundet de exploits.

Ud over at det er slemt nok at hverken CSC eller rigspolitiet formår at sikre vores data godt nok, så er det gudhjælpemig de samme inkompetente medarbejdere der stadigvæk sidder med ansvaret. Hvorfor er der ingen konsekvens i det her?

1
5. august 2015 kl. 11:46

Til flere persondata end de har brug for, og at den enkelte myndighed ikke skal have lov til have data som er dem uvedkommende.

Så der skal ikke være et stor register, hvor alt er samlet og kan Samkøres. Det bliver så mere besværligt at fange forbryder, lave statisk, at finde social snyderi, forskning og meget andet. Men ikke umuligt, man skal aktiv søge om data for den enkelt person, så det skal laves lidt håndarbejde. Men det vil beskytte borgeren, noget som må være vigtigere end nemt og billigt.

  • Tænk hvis politiet også have haft deres kryptering del til vores data liggende. Som de tænker hede tanker om i USA.

  • Eller krimimal registret

  • Eller...

Alt mulig andet vi overlader til de amatører ved CSC, som ikke mener at sikkerhed er nødvendig, de har jo sendt det hele til USA og Se og Hør, samt spredt data på kryds og tværs, så det er alligevel ude over alt. Så kan sikkerhed være unødvendig. Det er vel også rigtigt, hvad har en Indisk lavlønnet arbejde af interesse i at passe på vores data, ud over at sælge dem.