Nationalbanken klapper i om Solarwinds-sagen: Her er Version2s ubesvarede spørgsmål

Illustration: Sergei Gnatuk | Bigstock
Nationalbanken har gentagne gange afvist at stille op til interview trods kritik fra både sikkerhedseksperter og professorer.

Nationalbanken oplyser, at der ikke var tegn på misbrug af syv måneders adgang til bankens servere gennem Solarwinds Orion.

Men Version2 kan dokumentere fra en aktindsigt og dokumenter fra en anonym kilde, at der var flere mistænkelige ting, der dukkede op under eftersøgningen.

Læs også: Danmarks nationalbank hacket som led i ‘verdens mest sofistikerede hackerangreb’

De lækkede dokumenter fra en whistleblower, der er bekymret for sikkerheden i Nationalbanken, viser blandt andet, at den ramte Solarwinds-installation styrer og overvåger dele af Nationalbankens produktionsmiljø.

Samt at en server med en IP, der ikke umiddelbart genkendes, pludselig figurerer i en oversigt over netværket. Og at den har adgang til internettet. Det har en af Nationalbankens Solarwinds-installationer i øvrigt haft helt indtil d. 11 januar.

Derudover valgte Nationalbankens underleverandør, JN Data den billigste og mindst omfattende genopretnings-øvelse.

Læs også: Eksperter kritiserer Nationalbankens Solarwinds-håndtering: »Det hele virker too little too late«

Siden det ikke fremgår, hvordan sikkerhedshændelserne blev håndteret i hjerter af Danmarks finansielle infrastruktur, stillede Version2 følgende spørgsmål til Nationalbanken og dens tre leverandører KMD, JN Data og BEC.

Ikke ét af dem blev besvaret.

Læs også: Ekspert og professor revser Nationalbankens »beskæmmende og betænkelige« lukkethed

1) Hvilke rettigheder havde den nye Solarwinds-installation til de services, den overvåger og styrer inden d. 14 december 2020?

2) Styrer eller overvåger SolarWinds Kronos2 frem til 14 december 2020?

3a) Styrer eller overvåger SolarWinds Kronos2 i dag?

b) Hvis ikke, hvorfor diskuteres Solarwinds-problemerne på et møde om Kronos2's driftsstabilitet jævnfør akt 20 i min aktindsigt, DQB-møde 25 januar 2021?

4) BEC skriver selv, det nærmest er umuligt at bevise, adgangen gennem SolarWinds ikke er blevet misbrugt. Hvad er jeres grundlag for, som central spiller i den danske og internationale bank-infrastruktur, ikke at udskifte alt, Solarwinds har haft kontrol over og adgang til?

5) Da I bliver klar over angrebet, har det stået på i op til 7 måneder. JN's Solarwinds-backup løber kun seks måneder tilbage, så de havde ikke en brugbar backup, da de skulle træffe beslutningen om en total udskiftning, komplet genetablering af alle services, eller en nulstilling af passwords. Det gør genetableringen af services besværlig, og JN ender med at gå med en nulstilling af passwords, der ikke kræver en brugbar backup. Den mindst forsigtige af de tre muligheder. Det på trods af, at SolarWinds selv anbefaler som minimum genetablering af services(det gør Cisco også, og jeg er ganske sikker på, I kører Cisco), hvis man har den mindste mistanke om kompromittering.

Denne diskussion kører internt i JN helt frem til og med februar 2021 (9 måneder efter første kompromittering). Men services er stadig ikke udskiftede den dag i dag, kun deres passwords.

Var I med inde over den proces, og hvor tilfredse er I med jeres underleverandørs sikkerhedsvurdering i dette tilfælde?

6) Hvad havde du (sikkerhedsansvarlig i Nationalbanken) selv gjort som leder af det ansvarlige CDC?

I skriver i en mail 16 december 09:04: at 'nogen' har downloadet en installationspakke til en produktionsserver.

7) Hvem er 'nogen'? Hvilke privilegier/hvilken account har foretaget denne download?

8) Det fremgår af samme mailtråd, at pakken blev slettet - lavede I forensics på den inden da?

9) Hvordan kan I sandsynliggøre, at;

a) ZIP-filen ikke er blevet delvist ekstraheret?

b) Ikke er pakket sammen igen, men er blevet benyttet?

c) Ikke har fungeret som en base, der er plukket filer fra til angreb længere ind i miljøet?

10) Indtil midt januar har Solarwinds-serverne og alle services, der endnu ikke er udskiftet men blot har fået ændret kodeord, adgang til internettet.

a) Hvorfor lukkes der først ned for adgangen en måned efter, at I opdager bruddet?

11) I løbet af januar dukker en Solarwinds-server op med IP-adressen 10.31.220.120, som i flere ombæringer flages som mistænkelig.

a) Har I hørt om denne IP?

b) Fandt I ud af, hvad denne mystiske IP lavede?

c) Hvad betyder jeres findings (eller manglende information) for jeres risikovurdering?

12) 16 december 2020 (lige inden Hotfix2) begynder to core-servere hos jer uopfordret at sende trafik markeret som office 365 (kan camoufleres i elastic, så det mærkat kan dække over alt muligt, medmindre man kigger nærmere) ud mod internettet.

a) Har I kigget nærmere på denne trafik?

b) Hvad tyder jeres forensics af de to serveres kommunikation på?

Læs også: Nationalbanken afviser alt i egen nyhed

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Marlene Zoe Nielsen

Jeg undre mig over BECs kommentar: "BEC skriver selv, det nærmest er umuligt at bevise, adgangen gennem SolarWinds ikke er blevet misbrugt." Men de har jo fundet noget? Nuvel, det er "umuligt" hvis man ikke har tilstrækkelige logfiler til rådighed og overblik over sine systemer, men det er jo ikke umuligt hvis man har sikret et tilstrækkeligt sikkerhedsniveau, hvilket man godt kunne have forventet når der er tale om Nationalbanken. Hvor er Nationalbankens audit af deres sikkerhedsforanstaltninger hos leverandøren - har man glemt det og dermed "glemt" at sikre Nationalbanken tilstrækkeligt? Den sag lugter langt væk af informationssikkerhedsmæssig inkompetence, ikke umuligt men udeligt.

  • 10
  • 0
#5 Marlene Zoe Nielsen

Hvis der kan rettes i indholdet i logfilerne har man jo ikke sikret sine logfiler tilstrækkeligt, hvilket må være et minimumskrav når man er Nationalbanken. Der er masser af muligheder for at gøre dette med overførsler af logfiler til et SIEM system der igen er tilstrækkeligt sikret imod komprimittering. Havde man haft et detection and response system sat op og håndteret efter best practise havde man også haft et forholdsvis godt billede af om man var komprimiteret, det må man jvf tidslinjen formode at de ikke havde, for så havde man vidst det FØR en hændelse og ikke efter en konstatering af en bagdør og i forbindelse med forensics. Det hele peger på sikkerhedsmæssig inkompetence.

  • 10
  • 0
#7 Mogens Lysemose

Ved kompromitterede systemer er det ofte sådan at der rettes i indeholdet i logfiler, for at slette spor.

Som Marlene skriver, så lader man kun servere hoste sine egne logfiler, hvis man er inkompetent eller ikke har noget vigtigt på sit netværk. Der findes masser af muligheder for ekstern log. For 16 år Siden brugte vi så vidt jeg husker syslogNg, der må være noget tilsvarende til Windows.

  • 11
  • 0
#8 Michael Cederberg

Den sag lugter langt væk af informationssikkerhedsmæssig inkompetence, ikke umuligt men udeligt.

Det er en meget stærk udtalelse og på det foreliggende syndes der ikke at være belæg for den.

Ingen systemer logger alt. Specielt fordi det handlede om et network management system som tager kontakt til rigtigt mange systemer på nettet for at overvåge dem, så vil trafikken ikke nødvendigvis være unaturlig. Jeg har fx. svært ved at forestille mig noget system der logger alle SNMP requests på et niveau der gør det muligt at se detaljer i kommunikationer.

Såfremt det er russiske stats-hackere der står bag (og det synes flere efterretningstjenester at være enige om), så har de haft gode muligheder og ressourcer for at udvikle metoder til at hoppe videre fra Orion på måder der ikke efterlader spor. Stats-hackere har sandsynligvis en hel sæk af zero day exploits der kan sættes ind når man først at komme ind ad døren.

Problemet er snarere at de tager manglende indikationer på at enkeltsystemer er inficeret som indikation på at de ikke er det. Det virker som en meget farlig beslutning. Jeg gætter også på at det ikke er IT folket der har truffet den beslutning.

  • 4
  • 1
#9 Mogens Lysemose

at de tager manglende indikationer på at enkeltsystemer er inficeret som indikation på at de ikke er det. Det virker som en meget farlig beslutning.

Her rammer du hovedet på sømmet. Men farlige beslutninger som denne, og at ignorere en ukendt server, samt et farligt setup (kritiske servere direkte på nettet, manglende efterforskning) kan ikke undskyldes med at angriberen er statsstøttet. Nationalbanken er National - statens. Det er super kritisk infrastruktur.

Når Kronos2 laver en lille fejl er konsekvenserne store - det så vi i 2018 august, hvor alle overførsler og betalinger imellem banker fejlede og værdipapirhandel stoppede. Det førte til at mange netbanker stoppede. https://www.version2.dk/artikel/fejl-hos-nationalbanken-lukker-kundeadga...

Hvis sådan en lille forbipasserende “Parameterfejl” i Kronos2 (som Nationalbanken bortforklarede det som) kan skabe så meget ravage, hvad kan Russerne så ikke opnå ved bevidste handlinger, hvis de har systemet under fjernkontrol i 7 måneder?

  • 9
  • 0
#10 Michael Cederberg

Men farlige beslutninger som denne, og at ignorere en ukendt server, samt et farligt setup (kritiske servere direkte på nettet, manglende efterforskning) kan ikke undskyldes med at angriberen er statsstøttet.

Det er netop ekstra farligt når der er tale om en statslig aktør. Kommercielle hackere har brug for et return of investment relativt hurtigt. Specielt fordi evt. huller kan blive lukket fra den ene dag til den anden og så er investeringen tabt.

Statslige aktører har brug for sovende malware der kan aktiveres når det måtte blive nødvendigt. Fx. i en krise- eller krigssituation.

  • 7
  • 0
Log ind eller Opret konto for at kommentere