Svenske hackere udstiller dårlig sikkerhed hos Kommunernes Landsforening

Heartbleed-sårbarhed, login-info i klar tekst og mulighed for SQL-injection. Ifølge et svensk sikkerhedsforum halter sikkerheden hos domæne, der tilhører Kommunernes Landsforening

I et indlæg under overskriften 'Audit af det kommunale skattesystem i Danmark' på det svenske it-sikkerhedsforum swehack bliver sikkerheden revset på et subdomæne under Kommunernes Landsforenings (KL) hjemmeside, www.tilskudsmodel.kl.dk.

Ifølge KL er der dog ikke tale om et kommunalt skattesystem, og sitet er i øvrigt ikke så sårbart, som det svenske indlæg lægger op til. Alligevel opgraderer KL en server og fjerner en tekstfil efter at være blevet gjort opmærksom på indlægget.

På Swehack oplister en person med brugernavnet zerrox flere umiddelbart alvorlige sikkerhedsproblemer for www.tilskudsmodel.kl.dk Eksempelvis en fil med login-oplysninger i klar tekst.

»Dumma jävla retards, sparade mysql detaljer i en jävla text fil,« skriver zerrox i den forbindelse.

Løseligt oversat er det en påpegelse af, at det er dumt at lægge MySQL-logindetaljer i en frit tilgængelig tekstfil.

Desuden antyder indlægget på Swehack, at KL-domænet også er modtagelig over for SQL-injection. Altså hvor en ondsindet bruger indtaster SQL-kode i stedet for eksempelvis brugernavn og password, hvorefter SQL-koden bliver eksekveret i den bagvedliggende database-server. Det kan selvsagt få alvorlige konsekvenser.

Endeligt ser serveren bag KL-domænet ud til at indeholde den berygtede Heartbleed-sårbarhed. Den gør det kort fortalt muligt at fiske info, såsom brugernavn og password, i klartekst ud af hukommelsen på serveren via fjernopkobling.

Ikke skattesystem

Version2 har forelagt KL det svenske indlæg. Chefkonsulent hos kommunernes og regionernes løndatakontor Henrik Andersen vender tilbage via mail. Han fortæller, at www.tilskudsmodel.kl.dk ikke har noget med det kommunale skattesystem at gøre, som overskriften på indlægget hos swehack ellers mere end antyder.

»Det er en model til at beregne på tilskudsordninger og indeholder ingen data om enkeltpersoner. Serveren er ikke en del af KL's infrastruktur og bruges kun til at køre denne model.«

Desuden afviser Henrik Andersen, at sitet skulle være sårbart over for SQL-injection, da der anvendes ‘prepared statements’. Altså hvor de brugerindtastede data bliver behandlet som parametre i den bagvedliggende SQL-kode. Denne tilgang er i udgangspunktet ikke sårbar over for SQL-injection.

Så er der filen med login-oplysninger i klartekst. Den burde ikke have ligget der i første omgang, medgiver Henrik Andersen, som dog også nedtoner problemet.

»Det server-password, der lå i klar tekst, er en test-adgangskode, som er overlevet fra en tidligere testfase,« skriver han og fortsætter:

»Det er beklageligt og burde ikke være sket, men der er altså ikke tale om, at brugeres adgangskoder er tilgængelige, og adgangskoden kunne kun bruges, hvis man i øvrigt havde direkte adgang til serveren. Informationen er fjernet.«

Heartbleed?

Men hvad så med Heartbleed? Zerrox linker til et testsite, hvor det ser ud til, at en del af serverens hukommelse bliver dumpet. Serveren bag sitet er imidlertid en Windows-server, som ikke er berørt af sårbarheden, der ligger i OpenSSL, påpeger Henrik Andersen.

Der er dog en forklaring på, hvorfor serveren alligevel ser ud til at være sårbar.

»Sårbarheden over for Heartbleed vedrører ikke serveren, som kører modellen, men en proxy-server, som adgangen til serveren går igennem,« skriver han.

Proxy-serveren er nu opgraderet.

Så selvom situationen altså ikke lader til at være så alvorlig, som indlægget på swehack i første omgang kunne tyde på, så har den åbne audit på det svenske forum altså nu resulteret i en fjernet tekstfil med login-oplysninger og en opgradering af en sårbar proxy-server.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob H. Heidelberg

Hvor kommer det begreb fra? Et hack er et hack.

Umiddelbart ligner det et ulovligt hack. En sag som dansk politi bør inddrages i. En lovlig og bestilt penetrationstest ville aldrig blive publiceret på den vis. Det virker helt uansvarligt, selvom der nu kun er gået 3 dage siden public disclosure.

Skal Version2 have et "åbent audit"? Nå nej, man skal ikke spørge først med den slags "audits" :-)

  • 3
  • 9
Peter Jensen

Næsten alt offentligt IT forekommer at være amatøragtigt makværk og hullet som en si. For det meste er det bare inkompetence, men andre gange forekommer det at være en bevidst svækkelse af brugernes sikkerhed for at have en misbrugsvenlig bagdør til lokale og fremmede statstjenesters overvågning af brugerens kommunikation (som fx tvunget brug af svage og dokumenteret usikre krypteringsstandarder ved fx HTTPS/STARTTLS).

  • 5
  • 5
Kim Kaos

Det er da vist en grov generalisering. Det er med offentlige it-systemer som med fodbolddommere: Man lægger kun mærke til dem, når de ikke gør deres arbejde ordentligt.

Nu er det bare lige det at når det drejer sig om det offentlige så er det næsten os alle der rammes - så selv de mindste sager er hverken små eller ubetydelige.

Er man ondsindet og har man fået fingere i et par hundredetusind menneskers cpr mv. så er fanden løs og dem der bliver berørt kan risikere at de i årevis skal ligge og rode med folk der mener de skylder dem penge og alt muligt andet.

En god veninde fik vendt sit liv på hovedet og brugte det meste af 2 år på at genvinde sin kreditværdighed - ikke særlig rar oplevelse.

Det er derfor nødvendigt at stille skærpede krav til det offentlige uanset hvilke systemer det end drejer sig om

  • 10
  • 0
Allan Birnbaum

Det er muligt, at det skulle forfølges af politiet, men virksomheden er sgu selv uden om det. Der er ikke ret mange [Virksomheder], der har en fornuftig og strukturer tilgang til IT-sikkerheden. Vi må sgu lige komme ind i kampen herhjemme, og stille væsentlige højere krav til håndteringen af vores data og IT-infrastruktur. imho

  • 7
  • 0
Ulrik Suhr

[qoute]
Sårbarheden over for Heartbleed vedrører ikke serveren, som kører modellen, men en proxy-server, som adgangen til serveren går igennem,« skriver han.
[/qoute]

Skal det forstås at en test server ikke er kompromitteret men en proxy-server?
Er det ikke værre? vil man derved ikke få fat på en masse ID/Pass fra en række systemer i stedet for en test server?

  • 1
  • 0
Frederik Gaffron

Vil lige påpege at Kommunernes og Regionernes Løndatakontor er ikke lig med Kommunernes Landsforening. Det er 2 forskellige organisationer med hver deres IT-systemer. Med undtagelse af en DNS record så har KL's IT afdeling ikke noget at gøre med det pågældende site. Men overskriften fik mig da til at læse artiklen, så det er vel god journalistik. :)

  • 1
  • 0
Jakob Møllerhøj Editor
  • 5
  • 0
Jakob H. Heidelberg

Fra det svenske forum. Klik på kilden øverst i artiklen, der er link til pågældende tråd.

Jo, altså, jeg har skam læst forum-indlægget inden jeg skrev. Jeg kan ikke se, at der står "åbent audit" nogen steder, kun "audit". Uanset dette, så er min pointe, at en person som kalder det et "åbent audit" eller bare et "audit", alene forsøger at skjule, at det er en kriminel handling, der er udført uden tilladelse - uanset hvor meget man måtte synes, at offeret selv er ude om det (som en anden gudhjælpemig har skrevet her i tråden).

I min verden, bør journalisten vælge en sådan vinkel fremfor at opfinde hacking-legaliserende eufemismer. En spade er en spade. Vi kalder jo heller ikke det seneste terrorangreb mod Danmark for "faktiske og uventede afprøvninger af politiets og efterretningsvæsenets kompetencer"... Jeg gør i hvert fald ikke :-)

  • 0
  • 3
Morten Jensen
  • 2
  • 0
Mike Mikjær Blogger
  • 0
  • 1
Jakob H. Heidelberg

Der står i det allerførste afsnit, der i øvrigt linker til siden, at informationerne er fundet på SWEHACK.org -- ikke swewhitehat.org.

Ja, hvorfor man netop må være lidt kritisk inden man bare repeterer hvad de kalder tingene.

Ordet "audit" er måske valgt pga. titlen på indlægget på swehack.

Tjo, men det er et forkert ord at anvende - og jeg ved stadig ikke hvor betegnelsen "åbent audit" kommer fra. Det er misvisende - og tilsyneladende fjernet fra artiklen nu.

Måske også fordi det SVJV er gængs sikkerhedsjargon at kalde det audit eller pentest.

Der er væsentlig forskel på hhv. 1) en audit, 2) en pentest og 3) et ulovligt hack. Folk der bruger de ord i flæng er ikke sikkerhedsfolk.

Overskriften er desuden "Svenske hackere udstiller dårlig sikkerhed hos Kommunernes Landsforening" - Hvordan kan du mene at journalisten forsøger at skjule at informationerne er tilhåndebragt på ulovlig vis?

Jeg forsøgte naturligvis ikke at sige, at journalisten forsøger at skjule noget. Jeg mener blot, at når en hacker skriver, at vedkommende har foretaget en "åbent audit" eller "audit", så skal man lige tænke sig om en ekstra gang. Journalisten misser en oplagt - og mindst lige så relevant vinkel - nemlig det kriminelle aspekt.

Er det anmeldt til Politiet? Eller skal vi bare acceptere "åbne audits" fremover på alle statslige institutioner og private organisationer? :)

  • 0
  • 1
Knud Jensen

Så er der filen med login-oplysninger i klartekst. Den burde ikke have ligget der i første omgang, medgiver Henrik Andersen, som dog også nedtoner problemet.

»Det server-password, der lå i klar tekst, er en test-adgangskode, som er overlevet fra en tidligere testfase,« skriver han og fortsætter:

Nu siger han godt det er en fejl, men hvordan havner test-kode i produktions-koden ?

  • 0
  • 0
Log ind eller Opret konto for at kommentere