It-efterforsker: CSC-hacker lavede første bagdør gennem ’zero day’-sårbarhed i IBM's mainframe

Hackeren, der i 2012 fik adgang til CSC’s mainframe, udnyttede en ’zero day’-sårbarhed til at installere den første af tre bagdøre i systemet. IBM har ikke oplyst, hvad sårbarheden gik ud på.

Det var en ukendt sårbarhed i IBM’s mainframe, der blev brugt til at lave den første bagdør i CSC’s systemer. Det forklarer politiets it-efterforsker, Flemming Grønnemose, der vidner på sjettedagen i danmarkshistoriens største hackersag.

Læs også: Tidslinje over CSC-hackersagen som set hos Version2

Grønnemose, der startede sit vidneudsagn sidste retsdag, er en af flere it-efterforskere i sagen mod svenske Gottfrid Svartholm Warg og danske JT. Han har forklaret, hvordan hackere fik adgang til CSC’s mainframe.

Ifølge efterforskerens forklaring anvendte gerningsmanden et såkaldt ’zero day’ exploit, der er en ukendt sårbarhed på webserveren. IBM, som har leveret CSC’s mainframe, er ikke kommet med en fuld beskrivelse af, hvad sårbarheden gik ud på, siger efterforskeren. Sårbarheden blev udnyttet i alt 807 gange i april 2012.

Ifølge CSC’s log har gerningsmanden gennem sårbarheden i første omgang fået adgang til tjenestemandspension.dk. Det har i sig selv givet begrænset med rettigheder. Men herfra har gerningsmanden samlet informationer og forsøgt at kopiere forskellig information, og det er gennem sårbarheden lykkedes personen at redigere i et script på CSC's webserver.

Angrebet domæne optræder i chat-log

Scriptet mybrow.sh blev ændret til mybrow2.sh, og de to scripts er ens på nær en ændring af ordet Echo til ordet Eval. Ændringen har angiveligt gjort det muligt for hackeren at udføre kommandoer på mainframen og på den måde kopiere de personfølsomme data. Politiet betragter mybrow2.sh som den første bagdør til CSC’s systemer.

Bagdøren har åbnet for, at filer kan flyttes fra det lukkede miljø på mainframen til en offentlig mappe på CSC’s webserver. Derfra kan filerne downloades af alle, der kender det specifikke filnavn.

CSC’s log viser, at mybrow2.sh blev aktiveret første gang i april 2012, og at scriptet i alt er blevet aktiveret 1.818 gange. Det er sket fra en cambodjansk IP-adresse, som er blevet forbundet med Warg.

Anklager har i formiddagens afhøring lagt vægt på, at processen med at hente CSC’s data stoppede samtidig med anholdelsen af Warg. På Wargs computer har svensk politi fundet en række filer, som er identiske med filer, der er blevet kopieret fra CSC's mainframe. På computeren blev desuden fundet et script, der kan aktivere det redigerede CSC-script, mybrow2.sh, og dermed skulle kunne automatisere processen med at kopiere data.

Gerningsmanden oprettede yderligere to bagdøre til CSC’s systemer, men it-efterforsker Grønnemose kan ikke sige, om disse bagdøre også giver adgang til mainframen, fordi det ikke er blevet logget. Gerningsmanden gør også sig selv til superbruger i CSC’s system, hvilket er en normal hackerstrategi ifølge Flemming Grønnemose, der har en master i Computer Science.

Også sagens danske tiltalte har været i anklagerens søgelys i dag. Allerede i februar 2012 optræder domænet tjenestemandspension.dk nemlig i chatten, hvori JT diskutterer CSC med en person, der kalder sig My Evil Twin. JT har tidligere forklaret, at hans interesse for CSC’s mainframe bunder i nysgerrighed med hensyn til, om det kan lade sig gøre at hacke en mainframe.

Både Warg og JT nægter sig skyldige. De risikerer op til seks års fængsel, hvis de bliver dømt for hackerangrebet.

Version2 er til stede i retten på Frederiksberg.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jarnis Bertelsen

processen med at hente CSC’s data stoppede samtidig med anholdelsen af Warg. På Wargs computer har svensk politi fundet en række filer, som er identiske med filer, der er blevet kopieret fra CSC's mainframe. På computeren blev desuden fundet et script, der kan aktivere det redigerede CSC-script mybrow2.sh

I mine øjne hverken styrker eller svækker disse omstændigheder anklagerens sag. Warg har ikke benægtet at hans computer blev brugt til angrebet, kun at det var ham der udførte det. At angrebet stoppede da han blev arresteret antager jeg hænger sammen med at hans computer blev konfiskeret som bevismateriale.

Hvis anklagemyndigheden kan bevise, ud over enhver rimelig tvivl, at det var Warg der kontrollerede computeren under angrebet skal han naturligvis dømmes. At jeg, som mange andre her synes, at CSCs inkompetence og ligegyldighed i forhold til sikkerhed er en større forbrydelse og et større samfundsmæssigt problem, betyder ikke noget i et retssamfund, hvis loven ikke afspejler det.

  • 20
  • 1
#2 Thomas Jensen

Det lyder selvfølgelig bedre med zero-day sårbarhed, men var problemet ikke at de havde fået fingrene i et FTP-password?

http://www.version2.dk/artikel/saadan-blev-cscs-mainframe-hacket-52407

"Ifølge de oplysninger, der er kommet i den svenske sag, fik hackerne først adgang til mainframen via en FTP-konto. Derfra fik de mulighed for at forsøge at knække flere adgangskoder til systemet ved hjælp af værktøjet John the Ripper, som kan forsøge at gætte kodeord ud fra hashværdier i en kodeordsfil.

Det var angiveligt svage kodeord hos Logica til administrationssystemerne, som var medvirkende til, at hackerne fik den første fod i døren på mainframen.

Hackerne brugte desuden også flere sårbarheder på systemet til at eskalere deres rettigheder og få adgang til hele mainframen."

  • 13
  • 0
#5 Jesper Louis Andersen

Internettet har CVE-2012-5955 som et muligt bud på sårbarheden:

http://www.cvedetails.com/cve/CVE-2012-5955/

Det er nemlig sådan at CVE samler såbarheder og identificerer dem.

En github konto, mainframed, har indsamlet viden om Logica-angrebet og har endvidere kopieret materiale fra den svenske sag. Ejeren af kontoen har også lavet et proof-of-concept, MainTP, der efter sigende udnytter ovenstående CVE til at skaffe sig adgang.

Antagelse: Samme sårbarhed er benyttet. Rent teknisk kræver sårbarheden at du har en adgang til FTP-serveren på mainframen og at den konto du har adgang til har privilegier til at udføre JCL scripts[0].

CVE-2012-5955 er virkeligt grum læsning. Det er stort set en game-over situation så snart den sårbarhed udnyttes. Så hvis den på nogen måde kan bringes på bane, så falder hammeren.

Ting der undrer mig såre:

  • CVE-2012-5955 er fra 20. Dec 2012. Det er mange måneder efter indtrængningen blev stoppet[1]. Det virker ret mærkeligt at sikkerhedsoplysningen først kommer frem i CVE så sent i forhold til at der er tale om en ret grum sårbarhed. Det virker som om at enten IBM eller CSC ikke har styr på sårbarheden og ikke behandler den ordentligt efterfølgende. Når et exploit i den kaliber findes, så er vinduet for handling timer. I værste fald dage.

  • Hvorfor hulen nævnes nummeret ikke af IBM? Er det i virkeligheden en anden sårbarhed der er fundet? Det her skader i den grad transparens i sagen.

  • Hvnornår er denne sårbarhed først set anvendt af IBM "In the wild"? Snakker vi fra April, så der virkeligt er tale om en 0-day, eller snakker vi om at der findes fortilfælde? Hvis IBM har været bekendt med sårbarheden i forvejen er der jo ikke tale om en 0-day sårbarhed, men bare et firma der ikke magter deres opgave.

  • Hvorfor er kæden Staten -> CSC -> IBM -> IBMs z/OS afdeling ? Det virker en kende langtrukkent at man beror sig på eksterne leverandører i så lang en kæde for at sikre centrale data i Danmark.

  • Hvorfor kan jeg overhovedet få FTP-adgang til maskinen? FTP er notorisk usikker, forbandet kompleks og som udgangspunkt ikke krypteret. Typisk vil du have en white-listing af de systemer der har adgang gennem VPN-forbindelser, dedikerede netværk (f.eks. VLAN tagging), på forhånd verificerede IP-adresser osv. Alle andre nægtes adgang. Det er satans besværligt, men det er ikke fodboldklubbens smørumnedre anno 1917 og deres medlemsliste vi gemmer her. Det virker fuldstændigt malplaceret. Og noget tyder på at det var adgangen jævnfør vi ikke har fået noget at vide i sagen om hvorvidt der har gået noget forud for indbruddet.

  • Ok, så FTP var ikke sikret. Defense in depth. Hvorfor kan en vilkårlig konto køre JCL scripts? God sikkerhedspolitik handler om at at sikre systemet sådan at hvis det første lag viser sig at være usikkert, så overtager lag nr. 2.

Jespers kyniske bud:

I denne sag hemmeligholdes der en masse beviser og information. Det skyldes først og fremmest den tekniske mangel på kompetence i sagen. Men også de andre fakta hvor f.eks. bevismaterialet ikke er i hænderne på politiet, så der ikke kan laves en ordentlig analyse både anklager og forsvarer kan bruge.

Men meget værre er det økonomiske encitament fra IBM og CSCs side til at hemmeligholde oplysninger. Kommer det på nogen måde frem at de ikke har været i stand til at udføre sikkerhedsopgaven ordentligt, så falder der jo brænde ned. Og det kan vise sig at blive meget dyrere end et erstatningskrav på blandt andet 1.2 millioner for spindoktorer og PR-hjælp.

Derfor er der så lidt fakta i den del af sagen. Forestil jer, at der bliver rejst en efterfølgende sag mod CSC fordi de har misligholdt deres sikkerhed. Der kan bevismateriale fra denne sag hurtigt komme i spil.

Og deri ligger det foragtelige i denne sag der giver en dårlig smag i munden. Warg og JT er enten uskyldige, begge to skyldige, eller en af dem skyldig mens den anden ikke har været involveret. Men både IBM og/eller CSC har noget i klemme i den her sag. Måske ikke juridisk men i højeste grad i forhold til deres omdømme. Derfor kan de ikke agere uden parti i denne sag og derfor skal de efterforskes på lige fod med de anklagede.

[0] JCL - Job Control Language er en gammel fætter til at udføre batch-jobs på mainframe systemer. Interessant nok er der en forbindelse mellem JCL og UNIX dd(1) kommando. I UNIX er dd(1) mærkelig fordi dens måde at håndtere parametre på er fuldstændigt forkert i forhold til resten af UNIX. Men den er modeleret efter JCL, hvilket forklarer det. Mere på Wikipedia.

[1] http://nyhederne.tv2.dk/krimi/2014-01-08-csc-hacking-stoppede-da-super-h...

  • 32
  • 0
#6 Rune Larsen

Flot analyse, Jesper.

Ja, det virker sikkerhedsmæssigt vanvittigt at en ftp-server som standard feature afvikler vilkårlige, bruger-uploadede batch-programmer.

Derfra bliver angrebet mere sofistikeret - tilsyneladende brugtes denne 0-day, som Warg nok har købt ude i byen:

address syscall 'spawn /usr/lpp/netview/v5r3/bin/cnmeunix 0 . parm. env.'

Mit gæt er, at hackere med kode-adgang til standard installerede systemer, som fx netview har fundet denne usikre brug af setuid. Den slags info er penge værd, så mon ikke Warg har slænget en del bitcoins over disken for at få fingre i hullet.

Det kunne være en anden, der har udført angrebene gennem Wargs maskine for at inkriminere ham, men det virker usandsynligt. Der ville være nemmere metoder at sløre sine spor og ramme en evt. fjende, og hvem gider arbejde med den latency, der er ved at sende alt via. Cambodia. Tip til anklageren: Sammenhold roundtrip-tider med logs.

  • 2
  • 0
#7 Knud Jensen

Gerningsmanden gør også sig selv til superbruger i CSC’s system, hvilket er en normal hacker-strategi, ifølge Flemming Grønnemose, der har en master i Computer Science.

Burde der i følsomme systemer ikke være et dagligt (som minimum) tjek af om der er ændret i antallet af super-bruger kontoer? Og en dertilhørende alarm?

Eller skal det forstås sådan at de overtog en eksisterende konto? hvor adfærden på kontoen så ikke gav anledning til at der blev reageret hurtigt heller.

Hvilken type sikkerhed er der egentlig blevet betalt for?

  • 1
  • 0
#9 Anders Rosendal

Jeg er ikke den store hacker, men jeg ville tro det første man gjorde var at bounce via en server betalt anonymt med bitcoins.

Hvis Warg er skyldig er det så bare dovenhed som gjorde han skippede dette? Eller troede han at det var nok at hans pc kunne fjernstyres af andre?

  • 0
  • 0
Log ind eller Opret konto for at kommentere