Malware-befængt institution får hug for it-sikkerheden: Slyngede om sig med admin-rettigheder

It-sikkerheden hos Det Nationale Forskningscenter for Velfærd er utilstrækkelig, erklærer Rigsrevisionen kort efter fund af fire år gammel malware.
7

SFI - Det Nationale Forskningscenter for Velfærd har alvorlige huller i it-sikkerheden.

Sådan lyder budskabet fra Rigsrevisionen i ny kritik af institutionen. Den kritiske rapport falder kort tid efter, at Version2 kunne afsløre, at SFI i år fandt malware på to servere, som havde huseret uset i systemet i siden 2012.

Læs også: Malware huserede uset i fire år på servere hos forskningscenter for velfærd

I den årlige 'Beretning om revision af statsregnskabet for 2015' har Rigsrevisionen vurderet it-sikkerheden hos en række offentlige organisationer - herunder SFI. Og konklusionen er klar: It-sikkerheden er utilstrækkelig.

Manglende opdateringer og svage kodeord

Ifølge Rigsrevisionens undersøgelse blev tredjepartsprogrammer - som Flash Player og Adobe - ikke opdateret automatisk. Brugere af førstnævnte blev ellers så sent som i april tilskyndet at opdatere for at lukke et kritisk sikkerhedshul.

Det fremgår af undersøgelsen, at SFI har haft oprettet en lang række brugerkonti med administratorrettigheder, der giver mest mulig magt i SFI’s it-miljø.

Læs også: Sikkerhedsbosser: For lidt opbakning og for få penge til it-sikkerhed i det offentlige

Samtidig har organisationen tilsyneladende ikke haft nogle krav til kodeord, men tilladt svage kodeord på både almindelige brugerkonti og på dem med admin-rettigheder.

‘Det medførte en risiko for, at uvedkommende kunne tilegne sig adgang til SFI’s systemer og data,’ skriver Rigsrevisionen.

'SFI manglede endvidere rutiner til at sikre, at passwords skiftes mindst én gang om året, eller når betroede it-medarbejdere fratræder,' fortsætter rapporten.

Slukke for antivirus

Ud over administratorrettigheder på SIF’s netværk har mange medarbejdere haft lokaladministrator-rettigheder og derfor også total kontrol over deres computere.

Det betyder, at der er større risiko for, at en hacker kan overtage rettighederne, slukke for antivirus og installere malware, vurderer Rigsrevisionen.

Læs også: Rigsrevisionen: Statslige politidata og sundhedsdata er elendigt beskyttet

Malware - som den, SFI opdagede i forsommeren - har altså nemmere ved at skjule sig og brede sig, når den menige medarbejder har fri adgang til at installere programmer på egen computer.

I en mail til Version2 oplyser SFI, at alle kritikpunkterne er blevet afhjulpet efter påtalen fra Rigsrevisionen.

'På baggrund af dialogen med Rigsrevisionen har vi arbejdet systematisk med at styrke it-sikkerheden på SFI og herunder specifikt med implementering af Rigsrevisionens anbefalinger,' lyder kommentaren fra SFI, der bedriver datadreven forskning blandt andet i forhold for samfundets udsatte - herunder misbrugte børn og psykisk syge.

Usikker computer bliver springbræt

Version2 kunne tidligere på måneden ikke få svar fra SFI på, hvordan organisationens serverer blev kompromitteret med malware, og hvordan den ondsindede kode skjulte sig i fire år.

‘Hackere udvikler som bekendt hele tiden nye angrebsteknikker, som går uden om de gængse it-sikkerhedsforanstaltninger. Det har også været tilfældet her,’ skrev Hanne Friis Kaas, der er økonomi- og administrationschef ved SFI, i en mail til Version2.

Jacob Herbst, der er chief technical officer hos it-sikkerhedsvirksomheden Dubex, forklarede på det tidspunkt, at malware kun behøver ét svagt punkt for at komme ind i et netværk.

Læs også: It-sikkerhedskonsulenter: For mange virksomheder sjusker alvorligt med bruger-adgangen til it

»Den normale måde, sådan et angreb foregår på, er netop, at hackerne kommer ind i et system, og så bruger de systemet til at kompromittere andre systemer,« siger han til Version2.

Det er ikke umiddelbart nemt at afgøre, hvilke data malware-bagmænd har haft adgang til, vurderer Jacob Herbst.

»Hvis man er blevet kompromitteret, og man ikke har en log, der fuldstændigt viser, hvad der er foregået, eller en effektiv segmentering, så er det efter min opfattelse meget modigt at sige, at der kun har været adgang til ikke-kritisk information. For du har dybest set ikke nogen beviser for det.«

SFI opslog i august et stillingsopslag, hvor organisationen efterlyser en ny it-chef.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Mon ikke de også håndterer sundhedsdata ind imellem?

"»Hvis man er blevet kompromitteret og man ikke har en log, der fuldstændigt viser, hvad der er foregået eller en effektiv segmentering, så er det efter min opfattelse meget modigt at sige, at der kun har været adgang til ikke-kritisk information. For du har dybest set ikke nogle beviser for det.«"

Mon Sundhedsministeren snart ser skriften på væggen og indser, at der må logning på den centraliserede database over de kliniske kvalitetsdatabaser, som hun er i gang med at implementere? (eller også skulle man lade helt være med at centralisere).

  • 8
  • 0
Bent Jensen

"Mon Sundhedsministeren snart ser skriften på væggen og indser, at der må logning på den centraliserede database over de kliniske kvalitetsdatabaser, som hun er i gang med at implementere?"

Alle æg i en kurv, og ingen sikkerhedsnet mellem den og betongulvet.

  • 8
  • 1
Brian Hansen

Ud over at der selvfølgelig ikke skal være rettigheder til dem der ikke behøver dem, så kører meget malware i dag (specielt cryptolocler afarter) ganske glimrende uden nogen rettigheder.
De krypterer nemlig ikke systemet, men kun de filer brugeren i forvejen har adgang til, typisk Office og PDF dokumenter.
Antivirus er ligeledes direkte håbløst i dag, der går flere dage før de fanger nyt malware, der pumpes ud i tusinder af varianter hver dag.
Vi får løbende tilsendt spøjse duppede exe filer eller mails med links til samme, og virustotal.com kender dem først 2-3 senere, hvis overhovedet.
Typisk dukker de op når vi sunnitter dem til vores AV vendor og ikke et sekund før :/

  • 4
  • 0
Kristian Christensen

Det sker rigtigt mange steder. Og ret beset med god grund. Jeg har i min tid som lærling og også senere tit set at folk var admins på deres egne computere.
Tit kan du end ikke tilslutte din computer på et WiFi netværk hvis du ikke er admin. Og med mindre du sidde samme sted altid så er det ikke holdbart.

  • 0
  • 0
Mogens Bluhme

Det var det lige præcist og det giver en vis beskyttelse omend ikke mod den avancerede malware.

Defense-in-depth hedder mantraet og der er ingen grund til ikke at gardere sig mod de primitive varianter, som ikke kan finde ud af at lave privilegie-eskalering.

Nu er jeg ikke Windows-ekspert men hvor langt kan man komme med EMET?

I øvrigt - med angrebets længde ligner det et APT og så bør det imødegås på en helt anden måde end bare håbe på at forhindre den første malware i at detonere.

Fire år er lang tid og jeg ville gerne kigge en dns-log igennem, matche op mod reputation-databaser af IP og domæner, samt ikke mindst en entropi-score i domænenavnene (høj indikerer at domænet er maskingenereret).

Loggen fra ArpWatch (kan også fås til Windows) ville jeg også gerne se for malwaren må have hoppet rundt omkring.

  • 0
  • 0
Log ind eller Opret konto for at kommentere

Offer for ransomware tog hævn: Hackede hackerne og offentliggjorde krypteringsnøglerne

3

Danske statshackere under Forsvarets Efterretningstjenste skal angribe udenlandske fjender

14

Microsoft blacklister yderligere en stribe filtyper i Outlook til web

1
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Gratis webinar: Kom godt i gang med en enterprise-ready cloud-platform
Whitepaper
Whitepaper
Tjekliste: De 10 vigtigste overvejelser om colocation
Webinar
Webinar
Gratis Version2 webinar: Undgå GDPR-bøder med sårbarhedshåndtering
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder
IT Company Rank
maximize minimize