Kæmpe hul i dansk software til fjerninstallering: »Jeg indkalder hele virksomheden med det samme«

27. januar 2020 kl. 05:018
Kæmpe hul i dansk software til fjerninstallering: »Jeg indkalder hele virksomheden med det samme«
Illustration: Mads Lorenzen, screendump.
En sårbarhed har potentielt åbnet for, at alle og enhver kunne installere hvad som helst hos danske IXP’s kunder. Den er, så vidt vides, ikke blevet udnyttet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Under en penetrationstest i november 2019 opdager it-sikkerhedsvirksomheden Improsec et program på en kundes Windows-maskiner, man ikke har set før.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
8 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
27. januar 2020 kl. 16:32

Det var en mulighed, men når han kan få et raseri anfald fordi han en gammel skærm med et DVI stik der ikke passer til Pc'en, så skal jeg ikke nyde noget. Det skal bare virke!!!

Han købte en ny skærm - nå, end of story.

7
27. januar 2020 kl. 12:47

Hej Jørgen

Jeg er enig med dig. Argumentet "alle systemer kan hackes" hører vi alt for tit. jeg prøver bare at finde en måde på at få lov til fjernbetjene min fætters Pc på. Uden at han har forstand på det, er han overbevist om at installerer han Teamviewer, så er står hans Pc pivåben for kinesere, russere, amerikanere osv. Da der blev installeret et operativsystem og et pds stik sat i routeren blev den jo netop mere eller mindre til en sikkerhedsrisiko. Det er nok bedst at installere Dos og jeg kan klare en Wordpefect 5.1, men det går ikke med hans i7.

6
27. januar 2020 kl. 11:38

Det er fejl i alt kode

Ja, men der er forskel på, hvilke fejl - og hvor mange.

Måske er jeg blevet overfølsom af for mange politikere og offentlige myndigheder, der har brugt netop det argument ("alle systemer kan hackes") som undskyldning for eklatant sjusk.

Alle biler har fejl - men der er forskel på, om el-ruden nogle gange går langsomt, eller om bremserne fejler, fordi de er lavet af pap.

4
27. januar 2020 kl. 10:34

Hvordan skal vi have nogen innovation, hvis folk kun vil købe "konsoliderede" produkter.

Kunderne har jo gjort det rigtigt godt her med at hyre dygtige og grundige pen-testere. Det kunne EasyInstall have haft gavn af selv at gøre.

Jeg har ikke nogen god eller magisk løsning, men det er bare så central en del af infrastrukturen vi taler om her. Det er spørgsmål om hvor stor risiko du vil introducere i din organisation.

Jeg har selv siddet i et lille firma på 19 mand hvor udviklerne var selvlærte webudviklere. Det var slemt de par gange webserveren blev hacket og 500 kunders websider var blevet pwn'ed. For enkelte webshops betød det et tab på ca. en million om dagen samt imagetab.

Hackerne kom formodentlig ind med kende sikkerhedshuller der kunne have været fikset let hvis webudviklerne ikke havde ødelagt modulopdelingen wed at ændre moduler med kundebaseret customkode. Vi sad tilbage med software med kendte sikkerhedsfejl der ikke kunne opdateres.

Men vores eget firm a kunne ikke tjene penge nok - og så skal alt jo gøres nemmest og billigst muligt så der var ikke rigtigt råd til forebyggende arbejde.

2
27. januar 2020 kl. 09:54

Hvis jeg var ansvarlig hos en af deres større kunder ville jeg skynde mig at kigge mig om efter et mere konsolideret produkt

With all due respect, men er det ikke køb IBM argumentet du trækker ud af stalden her.

Hvordan skal vi have nogen innovation, hvis folk kun vil købe "konsoliderede" produkter.

Måske fordelen ved de ikke "konsoliderede" produkter er at de bliver lavet af nogen som endnu ikke er blevet selvfede, og som derfor tager kritik til sig, og reagerer på den.

1
27. januar 2020 kl. 09:23

IXP var dygtige til at håndtere sagen, opdatere, patche og informere kunderne.

Nu er alle detaljerne der ikke, men alle der ved bare lidt om it-sikkerhed ved man ikke sender admin-kodeord i klartekst i en url. Men det er da godt at firmaet lærer grundlæggende IT-sikkerhed på et tidspunkt. Generelt er det jo ikke noget den menige dansker tænker på.

Men det kunne have kostet firmaet livet hvis det var blevet misbrugt af hackere hos alle deres kunder.

Hvis jeg var ansvarlig hos en af deres større kunder ville jeg skynde mig at kigge mig om efter et mere konsolideret produkt og fjerne easyinstall fra vores infrastruktur. Risikoen og konsekvensen hvis produktet bliver "hacket" er simpelthen for stor.