Kæmpe hul i dansk software til fjerninstallering: »Jeg indkalder hele virksomheden med det samme«

Kæmpe hul i dansk software til fjerninstallering: »Jeg indkalder hele virksomheden med det samme«
Illustration: Mads Lorenzen, screendump.
En sårbarhed har potentielt åbnet for, at alle og enhver kunne installere hvad som helst hos danske IXP’s kunder. Den er, så vidt vides, ikke blevet udnyttet.
Reportage27. januar 2020 kl. 05:01
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Under en penetrationstest i november 2019 opdager it-sikkerhedsvirksomheden Improsec et program på en kundes Windows-maskiner, man ikke har set før.

Easyinstall

Easyinstall er et deployment-værktøj til Windows og har været på markedet siden 2002.
Ifølge IXP selv er det »i drift hos mange anerkendte virksomheder i Danmark«.
EasyInstall installerer eller opgraderer it-arbejdspladser fra en central administrator.
Kilde: IXP Data

Nemlig programmet Easyinstall, der er udviklet af danske IXP Data.

Improsecs medarbejdere beslutter derfor, rent rutinemæssigt, at undersøge det ukendte stykke software, der er lavet til at hjælpe brugerne med at opdatere og fjerninstallere programmer fra centralt hold.

Opdager fjernadgang

Her går det hurtigt op for sikkerhedsfolkene, at der er noget helt galt.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
9
27. januar 2020 kl. 16:32

Det var en mulighed, men når han kan få et raseri anfald fordi han en gammel skærm med et DVI stik der ikke passer til Pc'en, så skal jeg ikke nyde noget. Det skal bare virke!!!

Han købte en ny skærm - nå, end of story.

7
27. januar 2020 kl. 12:47

Hej Jørgen

Jeg er enig med dig. Argumentet "alle systemer kan hackes" hører vi alt for tit. jeg prøver bare at finde en måde på at få lov til fjernbetjene min fætters Pc på. Uden at han har forstand på det, er han overbevist om at installerer han Teamviewer, så er står hans Pc pivåben for kinesere, russere, amerikanere osv. Da der blev installeret et operativsystem og et pds stik sat i routeren blev den jo netop mere eller mindre til en sikkerhedsrisiko. Det er nok bedst at installere Dos og jeg kan klare en Wordpefect 5.1, men det går ikke med hans i7.

6
27. januar 2020 kl. 11:38

Det er fejl i alt kode

Ja, men der er forskel på, hvilke fejl - og hvor mange.

Måske er jeg blevet overfølsom af for mange politikere og offentlige myndigheder, der har brugt netop det argument ("alle systemer kan hackes") som undskyldning for eklatant sjusk.

Alle biler har fejl - men der er forskel på, om el-ruden nogle gange går langsomt, eller om bremserne fejler, fordi de er lavet af pap.

4
27. januar 2020 kl. 10:34

Hvordan skal vi have nogen innovation, hvis folk kun vil købe "konsoliderede" produkter.

Kunderne har jo gjort det rigtigt godt her med at hyre dygtige og grundige pen-testere. Det kunne EasyInstall have haft gavn af selv at gøre.

Jeg har ikke nogen god eller magisk løsning, men det er bare så central en del af infrastrukturen vi taler om her. Det er spørgsmål om hvor stor risiko du vil introducere i din organisation.

Jeg har selv siddet i et lille firma på 19 mand hvor udviklerne var selvlærte webudviklere. Det var slemt de par gange webserveren blev hacket og 500 kunders websider var blevet pwn'ed. For enkelte webshops betød det et tab på ca. en million om dagen samt imagetab.

Hackerne kom formodentlig ind med kende sikkerhedshuller der kunne have været fikset let hvis webudviklerne ikke havde ødelagt modulopdelingen wed at ændre moduler med kundebaseret customkode. Vi sad tilbage med software med kendte sikkerhedsfejl der ikke kunne opdateres.

Men vores eget firm a kunne ikke tjene penge nok - og så skal alt jo gøres nemmest og billigst muligt så der var ikke rigtigt råd til forebyggende arbejde.

2
27. januar 2020 kl. 09:54

Hvis jeg var ansvarlig hos en af deres større kunder ville jeg skynde mig at kigge mig om efter et mere konsolideret produkt

With all due respect, men er det ikke køb IBM argumentet du trækker ud af stalden her.

Hvordan skal vi have nogen innovation, hvis folk kun vil købe "konsoliderede" produkter.

Måske fordelen ved de ikke "konsoliderede" produkter er at de bliver lavet af nogen som endnu ikke er blevet selvfede, og som derfor tager kritik til sig, og reagerer på den.

1
27. januar 2020 kl. 09:23

IXP var dygtige til at håndtere sagen, opdatere, patche og informere kunderne.

Nu er alle detaljerne der ikke, men alle der ved bare lidt om it-sikkerhed ved man ikke sender admin-kodeord i klartekst i en url. Men det er da godt at firmaet lærer grundlæggende IT-sikkerhed på et tidspunkt. Generelt er det jo ikke noget den menige dansker tænker på.

Men det kunne have kostet firmaet livet hvis det var blevet misbrugt af hackere hos alle deres kunder.

Hvis jeg var ansvarlig hos en af deres større kunder ville jeg skynde mig at kigge mig om efter et mere konsolideret produkt og fjerne easyinstall fra vores infrastruktur. Risikoen og konsekvensen hvis produktet bliver "hacket" er simpelthen for stor.