Kodeord og persondata i klartekst: Hackere fik adgang til fysiklaboratorie i USA

7. maj 2021 kl. 10:426
Kodeord og persondata i klartekst: Hackere fik adgang til fysiklaboratorie i USA
Illustration: Rasmus Meisler.
Et amerikansk statsstøttet laboratorium manglede grundlæggende it-sikkerhed, da etiske hackere kiggede ind i systemerne. Man havde adgang til værdifulde dokumenter, kodeord i klar tekst og persondata.
Louise Olifent
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Louise Olifent

En etisk hackergruppe har hacket sig ind i systemerne hos Fermilab, et amerikansk laboratorium for partikelfysik og -acceleratorer, som viser sig at have meget dårlig it-sikkerhed.

Det skriver Ars Technica.

Sikkerhedsforskerne Robert Willis, John Jackson og Jackson Henry fra den etiske hackergruppe Sakura Samurai har brugt værktøjer som ‘amass’, ‘dirsearch’ og ‘nmap’ til at kigge ind i fnal.gov-subdomæner. Her fandt man åbne mapper, åbne porte og usikret tjenester, som kriminelle potentielt kan bruge til at stjæle data.

Forskerne fandt blandt andet konfigurationsdata fra et eksperiment kaldet ‘NoVa’, der handler om at undersøge neutrinoer i universets udvikling. Derudover fandt man kodeord i klar tekst og persondata som navne sammen med mailadresser og bruger-ID’er på medarbejdere. Dette er blot et udpluk af oplysninger fra flere tusinde dokumenter, som forskerne fik adgang til.

Artiklen fortsætter efter annoncen

»Jeg var overrasket over, at en statslig myndighed, som har et budget på over en halv milliard dollars, kan have så mange sikkerhedshuller,« fortæller Robert Willis til Ars Technica om Fermilab, der er støttet af energiministeriet i USA.

»Efter denne undersøgelse, tror jeg ikke engang, de havde en grundlæggende it-sikkerhed, som kan få en til at ligge vågen om natten. Det ville ikke være godt, hvis en ondsindet aktør stjæler vigtig data, som det har kostet USA flere hundrede millioner at producere, samtidig med at man giver mulighed for at manipulere med udstyr, der kan få alvorlige konsekvenser.«

Ifølge sikkerhedsforskerne, reagerede Fermilab hurtigt på gruppens advarsel og lappede sikkerhedshullerne i en fart.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
Aksel Koplev
10. maj 2021 kl. 18:03

@Ditlev og Ove

Først I må undskylde at jeg sammen blandede nyheden om rørledningen med denne om fysilaboratoriet iUSA.

I er stadigvæk OT når i bruger anledningen til at haselere over sundhed.dk og de danske myndigheder. ngen har lagt skjul på at den nuværende coronapas løsning erandet end en midlertidig nødløsning.

Desuden snyder du jo hverken myndighederne eller de offentelige chefe, hvis du fifler dig til et falsk coronapas; men dine idrætskammerater, dine venner, som du går på café eller restaurant med eller din frisør.

  • more_vert
    • insert_linkKopier link
5
Ditlev Petersen
10. maj 2021 kl. 14:59

I løber med en halv vind, når i relaterer omtalen af det hack, som har været i rørledningen til sundhed.dk.

Jeg er ikke benådet med profetiske evner. Hacket på rørledningen blev først kendt for et par timer siden.

Hvad angår sundhed.sk, så er problemet, at det er alt for let at lave et falsk coronapas (jeg har ikke prøvet), og i den forbindelse kritiserer vi den faste praksis blandt offentlige chefer om at udtale, at huller (i bred forstand) aldrig er noget problem, for det vil være ulovligt at bruge dem (og derfor kan ingen finde på at gøre det).

Så hvad er det egentlig for en synd, vi har gjort os skyldige i?

  • more_vert
    • insert_linkKopier link
4
Aksel Koplev
10. maj 2021 kl. 09:42

@ Ove og Ditlev

I løber med en halv vind, når i relaterer omtalen af det hack, som har været i rørledningen til sundhed.dk.

Der er ikke fundet noget sikkerhedshul i sundhed.dk. Derimod har det vist sig muligt at manipulere med den præsentetion, som man får på sin telefon af coronapasset, så f.eks. datoen kan ændres. Det er alvorligt nok; men noget helt andet.

  • more_vert
    • insert_linkKopier link
2
Ove Andersen
7. maj 2021 kl. 13:12

Jo jo, men havde det været herhjemme i andedammen havde vi sagsøgt "indbryderne" og sagt man ikke regnede med nogle ville være så onde at udnytte disse uhensigtsmæssigheder. Det er jo ulovligt.

Jeg tænker så ofte på det udsagn jeg læste på https://www.dr.dk/nyheder/indland/gabende-sikkerhedshul-paa-sundheddk-paerenemt-snyde-med-coronapas

Sundhed.dk frygter dog ikke, at sikkerhedshullerne vil blive udnyttet. Det fortæller Morten Elbæk Petersen, der er direktør i sundhed.dk, i et skriftligt svar til DR Nyheder.</p>
<p><em>Der vil jo være tale om dokumentfalsk, som er strafbart. Og generelt har coronapandemien vist, at danskerne følger reglerne og ikke misbruger den tillid, vi som borgere har til hinanden. Derfor er vores forventning også, at borgerne vil bruge vores løsning ansvarligt. Det er i øvrigt også erfaringen indtil nu.</em>

  • more_vert
    • insert_linkKopier link
1
Klavs Klavsen
7. maj 2021 kl. 11:25

Ifølge sikkerhedsforskerne, reagerede Fermilab hurtigt på gruppens advarsel og lappede sikkerhedshullerne i en fart.

Så ringe praksis "lapper man ikke bare" - så den historie må de længere ud på landet med. De har muligvis ændret lidt i firewall settings eller andet - så det benyttede hul i den yderste skal (perimeter sikkerhed) er lukket.. Men at få ryddet op i resten,kræver at man begynder at sætte kompetente folk til at gøre det rigtigt (fra starten af - dvs. de begynder at bygge nye systemer op, der har sikkerhed designet ind - og migrerer services der til).

  • more_vert
    • insert_linkKopier link