Reportage

Rod med mail-sikkerhed på flere domæner hos Forsvarets Efterretningstjeneste og CFCS

6. februar 2019 kl. 05:1112
Rod med mail-sikkerhed på flere domæner hos Forsvarets Efterretningstjeneste og CFCS
Illustration: Henning Mølsted.
Manglende DMARC-beskyttelse og fejlfyldt SPF-konfiguration plager flere domæner under Forsvarets Efterretningstjeneste.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Flere domæner hos Forsvarets Efterretningstjeneste (FE) har ikke implementeret de teknologier til beskyttelse mod blandt andet phishing-angreb, som Center for Cybersikkerhed (CFCS) ellers har anbefalet siden 2017. Som flere ved, er CFCS en del af Forsvarets Efterretningstjeneste.

Tilbage i december 2018 fortalte Version2, hvordan domænet for CFCS's Situationscenter, cfcs-sitcen.dk, hverken havde DMARC- eller SPF-beskyttelse. Det er teknologier, der gør det vanskeligt for uvedkommende at sende mails, der ser ud til at være sendt af - i dette tilfælde - Center for Cybersikkerhed uden at være det.

Så en fup-mail, der for modtageren ser ud til at komme fra en officiel adresse som info@cfcs-sitcen.dk, kan altså forhindres i at nå frem, hvis både modtagerens og afsenderens mail-server understøtter DMARC og underliggende teknologier.

Det gør cfcs-sitcen.dk ikke, selvom CFCS ellers siden 2017 har anbefalet danske organisationer at implementere DMARC for at undgå svindelmails.

Artiklen fortsætter efter annoncen

Da Version2 talte med chef for CFCS Thomas Lund Sørensen i december om den manglende beskyttelse af mails fra domænet, kaldte han det en ren tilståelsessag.

DMARC

DMARC sætter en politik for to andre protokoller, SPF og DKIM.

SPF (Sender Policy Framework) er et simpelt system til validering af mails og er designet til at detektere spoofing. Modtageren af en mail kan kontrollere, at indgående mails fra et domæne kommer fra en server (IP-adresse), der er godkendt af domæne-ejeren (afsender). Listen over godkendte servere for et domæne publiceres via domænets DNS-oplysninger.

DKIM (DomainKeys Identified Mail) beskriver, hvordan der kan knyttes et domæne-specifikt id til en mail. Domæne-ejeren kan signere den enkelte mail med en privat signeringsnøgle og dermed give modtageren mulighed for at verificere, om mailen er afsendt fra en server, der er registreret i DNS (Domain Name System). Verifikationen sker på baggrund af afsender-serverens offentlige signeringsnøgle, der er tilgængelig via DNS.

Kilde: CFCS


I forhold til hvorfor der stadig ikke er beskyttelse på domænet, forklarer Thomas Lund Sørensen, at man hos CFCS har arbejdet på at indføre nogle overordnede procedurer, så der kommer styr på nuværende og fremtidige domæner.

»Det er en lidt større proces i virkeligheden, hvis man ikke bare vil fikse en enkelt ting, men gøre det grundigt og rigtigt. For CFCS-domænernes vedkommende ligger det nu ude hos en person, der har til opgave at sætte de rigtige SPF-records, DMARC osv.,« siger Thomas Lund Sørensen.

Thomas Lund Sørensen forventer, at der snart kommer styr på de øvrige domæner, der har direkte tilknytning til CFCS.

»Der er forskellige skridt; man kan tage det case by case, det har i hvert fald i vores tilfælde vist sig ikke at være nogen særlig stor succes. Vi har DMARC og hele molevitten på vores hoveddomæne, men vi har det altså ikke på vores side-domæner, som vi ikke bruger til e-mail.«

Han forklarer, at de procedurer, CFCS arbejder på, som blandt andet skal sikre, at der bliver taget stilling til sådan noget som DMARC-beskyttelse, i første omgang omfatter CFCS' egne domæner og ikke FE som helhed.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Foreløbig sætter vi en politik for Center for Cybersikkerhed, og den politik vil vi lade smitte af andre steder, hvor vi kan komme til at gøre det,« siger Thomas Lund Sørensen.

fe-mail.dk og fe-ddis.dk

Og der er umiddelbart behov for, at sådan en politik smitter af andre steder i den organisation, CFCS er en del af.

Mens der ifølge Thomas Lund Sørensen har været fokus på at sætte DMARC-beskyttelse hos de domæner, der hører direkte under CFCS, og som bliver brugt til mail-kommunikation, så mangler beskyttelsen på flere andre domæner hos FE, der også bliver brugt til mail-kommunikation.

Uanset om et domæne bliver brugt til mail-kommunikation eller ej, så kan man anføre, at en mail-modtager ikke nødvendigvis ved noget om, hvordan FE og CFCS bruger domæner.

fe-ddis.dk er FE's hoveddomæne og bruges indirekte også af CFCS til mails. På Version2-redaktionen har vi således modtaget adskillige mails sendt fra domænet i forbindelse med diverse pressehenvendelser til CFCS gennem årene.

Udover den manglende DMARC-beskyttelse så har fe-ddis.dk desuden en SPF-record (en liste med IP-adresser, der må sende på vegne af domænet), som har været ugyldig i over et år.

Et opslag på status.dmarc.dk, som Henrik Schack står bag, under 'SPF Defektlisten' viser, at SPF-recorden for fe-ddis.dk i skrivende stund har været ugyldig i 376 dage. En ugyldig SPF-record kan eksempelvis betyde, at mails sendt fra domænet ikke når frem, men havner i en spam-mappe.

Thomas Lund Sørensen forventer, der snart kommer DMARC og en velfungerende SPF-record på fe-ddis.dk.

»Den bold er vi på«

DMARC og de underliggende teknologier kan være et godt værn mod målrettede phishing-angreb, også kaldet spear-phishing. Blandt andet fordi DMARC tvinger en angriber til at bruge et domæne, der kan se noget løjerligt ud, så det er synligt for mail-modtageren, at noget kan være på færde.

Artiklen fortsætter efter annoncen

Eksempelvis hvis der står @virksomhedsnavn-dk.com i stedet for @virksomhedsnavn.dk

Spear-phishing er aktuelt i en anden sammenhæng i relation til CFCS. Som blandt andet Version2 har fortalt, lægges der i et nyt lovforslag op til, at CFCS som en såkaldt forebyggelsesaktivitet skal lave simulerede spear-phishing-angreb mod udvalgte medarbejdere hos virksomheder og myndigheder efter anmodning fra de pågældende organisationer.

Den første beskyttelse i forhold til phishing og meget vellignende mails - det er vel om at få de her ting på plads? (som DMARC, red.)

»Ja, og det er også derfor, vi står ved vores kraftige anbefaling om, at man anvender DMARC som en mulig måde at beskytte sig mod at modtage de her spoofede mails på. Og det er slet ikke slut, hverken inden for forsvarets område eller indenfor statens område med at få det gode budskab både spredt, men sådan set også at få det efterlevet. Den bold er vi på, og den ønsker vi at være det på,« siger Thomas Lund Sørensen.

Emner
12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
Uffe R. B. Andersen
16. februar 2019 kl. 12:46

Hvem får fixet det her først ?

Så er IDA's SPF record blevet rettet, men defekt-listen er ikke opdateret. Man kan selv teste det her.

  • more_vert
    • insert_linkKopier link
11
hr Oestergaard
11. februar 2019 kl. 09:13

Test selv.

https://internet.nl/

Kommer aldrig til at stole på nogen stats styret eller privat styret virksomhed til at kontrollere, passe på eller sikre privates oplysninger. Det eneste der kan ændre på det her er rigide regler så hver enkelt skal spørges hvis data skal tilgås.

Regler/Love som sikre at der er uvildig kontrol og åbenhed til at sikre informationerne beskyttes/ikke misbruges.

Især sikre et end 2 end ansvar, så man ikke kan tørre det af på enkelte, skuffeselskaber, 3de parts leverandørere osv.

Love og regler skal i lige så høj grad rettes mod virksomheder/privat ejet eller fælles ejet som de rettes mod individet.

Og så skal der ikke mindst indføres et konsekvens kodeks så man ikke bare kan bøje i vinden som så mange systemer/virksomheder(2big2fail) gør.

Det SKAL koste både hoveder, bonuser, aktionær ansvar osv. hele kæden igennem.

  • more_vert
    • insert_linkKopier link
10
Uffe R. B. Andersen
8. februar 2019 kl. 00:02

Formoder at nogle fra CFCS også læser med her, og hvis ikke nogle fra IDA gør, så bliver jeg skuftet.</p>
<p>Hvem får fixet det her først ?</p>
<p>En mindre fagforening, eller en stor mastodont, som brænder 1-2 miliarder af og året.</p>
<p>Uffe R. B. Andersen - Jeg regner med at du vil agere dommere ?

Jeg tænker Henrik Schack har et automatisk system, som finder en vinder. Men IDA fører nok lidt, fordi de har faktisk reageret på en Twitter-tråd om emnet og lovet, at deres rettede SPF-record kommer i produktionsmiljøet i morgen. Samtidig har de endog tilkendegivet, at de samtidig går i monitor-mode med DMARC. Det lader til at lidt voksenmobning virker ;-)

  • more_vert
    • insert_linkKopier link
9
Christian Nobel
7. februar 2019 kl. 10:01

Præcis det samme emne var oppe at vende i Weekendavisen for nogle måneder siden, i forbindelse med Britta Nielsen sagen.

For hvor sygeplejesker skal udfylde skemaer, og gøre rede for hver eneste plaster de bruger, og ellers leve op til alsken kontroller (og tilsvarende for alle andre faggrupper tæt på gulvet), så er der ingen der kontroller hvad der sker længere oppe i systemet.

  • more_vert
    • insert_linkKopier link
8
Torben Mogensen
7. februar 2019 kl. 09:39

Til de knap så latinkyndige: Hvem vogter vogterne?

Når nogle skal vogte sig selv, går det sjældent godt. I hierarkiske systemer, er der som regel nogen i toppen, der ikke bliver kontrolleret. Derfor skal der være en vis grad af gensidighed/cirkularitet i alle kontrolsystemer.

  • more_vert
    • insert_linkKopier link
7
Hans Nielsen
7. februar 2019 kl. 09:19

Formoder at nogle fra CFCS også læser med her, og hvis ikke nogle fra IDA gør, så bliver jeg skuftet.

Hvem får fixet det her først ?

En mindre fagforening, eller en stor mastodont, som brænder 1-2 miliarder af og året.

Uffe R. B. Andersen - Jeg regner med at du vil agere dommere ?

  • more_vert
    • insert_linkKopier link
6
Uffe R. B. Andersen
6. februar 2019 kl. 22:54

Et opslag på status.dmarc.dk, som Henrik Schack står bag, under 'SPF Defektlisten' viser, at SPF-recorden for fe-ddis.dk i skrivende stund har været ugyldig i 376 dage.

Tre pladser længere nede på listen, ligeledes med (nu) 377 dage, står så IDA.dk.

  • more_vert
    • insert_linkKopier link
5
Mogens Lysemose
6. februar 2019 kl. 14:37

Så CFCS bruger sig selv som en stor Honney Jar. Hvor er de seje! ;). Så har man virkelig overskud hvis man siger pwn me! Men så mange millioner må hvert år må da også give meget overskud! ;)

  • more_vert
    • insert_linkKopier link
3
Ditlev Petersen
6. februar 2019 kl. 10:03

Hvis ikke de selv har en rådden sikkerhed, hvordan skal de så lære, hvordan hackere gør? Det er jo tydeligvis ikke deres spidskompetence.

  • more_vert
    • insert_linkKopier link
2
Louise Klint
6. februar 2019 kl. 09:57

Det er godt, I kan hjælpe FE og CFCS med sikkerheden, V2!

  • more_vert
    • insert_linkKopier link
1
Heino Svendsen
6. februar 2019 kl. 08:22

Så er det jo godt, at de skal til at stikke snabelen ned i virksomheders netværker og data.... når de selv er SÅ gode til at passe på data...

Jeg føler mig SÅ meget mere tryg.

  • more_vert
    • insert_linkKopier link