Sådan blev CSC's mainframe hacket

Hackerne benyttede den samme fremgangsmåde mod CSC, som de tidligere havde brugt mod Logica i Sverige, oplyser sikkerhedsekspert. Se, hvordan de fik adgang til millioner af stærkt fortrolige dataposter.

De personer, som skaffede sig adgang til en mainframe hos it-serviceleverandøren CSC, benyttede samme metode, som før var blevet brugt til at få adgang til en mainframe hos Logica, nu CGI, i Sverige. Det oplyser sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS til Version2.

»De har brugt samme sårbarheder i z/OS. Ifølge retsprotokollerne er det helt identiske sårbarheder. Det er sket i flere lag, hvor de har eskaleret deres rettigheder på mainframen,« siger Peter Kruse til Version2.

I Sverige betød det, at hackerne i løbet af en periode på to år potentielt fik adgang til alle systemer på samme mainframe.

En mainframe er en stor computer, der kan køre mange virtuelle instanser, som normalt er adskilt, men hvis man har adgang til selve administrationssystemet på mainframen, har man potentielt også mulighed for at tiltvinge sig adgang til alle systemerne på mainframen.

I Sverige koncentrerede hackerne sig om at få adgang til netbanksystemerne hos Nordea, som blandt andet blev brugt til at forsøge at overføre penge fra danske kunders netbanker.

Læs også: Svensk hacker anklaget for at stjæle 24.200 kroner fra dansk fagforening

Ifølge de oplysninger, der er kommet i den svenske sag, fik hackerne først adgang til mainframen via en FTP-konto. Derfra fik de mulighed for at forsøge at knække flere adgangskoder til systemet ved hjælp af værktøjet John the Ripper, som kan forsøge at gætte kodeord ud fra hashværdier i en kodeordsfil.

Det var angiveligt svage kodeord hos Logica til administrationssystemerne, som var medvirkende til, at hackerne fik den første fod i døren på mainframen.

Hackerne brugte desuden også flere sårbarheder på systemet til at eskalere deres rettigheder og få adgang til hele mainframen.

Adgangen til mainframen hos Logica blev ifølge Peter Kruse brugt til at placere og afvikle scripts på systemet, som ser ud til at være specifikt beregnet på at give hackerne fri adgang.

»Det er tydeligt, at de folk, der har udviklet dem, har villet give sig selv adgang til mainframen igen og adgang til at styre den,« siger Peter Kruse.

Peter Kruse kan ikke udtale sig konkret om, hvilke sårbarheder der er udnyttet i den danske udlægger af sagen, men han bekræfter, at der er tale om de samme sårbarheder, som blev brugt i Sverige.

Læs også: Få overblikket: Politiet hacket - men hvad skete der?

I forbindelse med den danske hackersag er det kommet frem, at en 20-årig dansker, som er mistænkt i sagen, angiveligt også skulle have fået fat i adgangskoder til politiets e-mails. Det skete forud for hackingen af den danske mainframe, men Peter Kruse er ikke bekendt med, at der skulle være sket forsøg på målrettede phishing i forbindelse med hackingen.

»Spørgsmålet er, om de har ledt efter andre mainframes. Det her er allerede Skandinaviens største hackersag nogensinde, og den kan udrulle sig til at blive endnu større,« siger Peter Kruse til Version2.

Motivet for hackingen af CSC's mainframe og Rigspolitiets systemer er mere uklart end den svenske sag, hvor i hvert fald en del af motivet ser ud til at have været økonomisk.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jan Borup Coyle

Mange tak for en super artikel, dog om noget gruopvækkende.

Hvis det stadig er lige så let for en hacker at komme til at tilgå en mainframe, som i den nu 30 år gamle film "Wargames", kan jeg dælme godt forstå at der har været let spil for hackere.

Jeg undres dog stadig over hvordan det overhovedet har være muligt at komme så langt ind i systemet, på noget nær root-niveau, der må jo i den grad have været nogle firewalls som har stået PIV ÅBNE, eller kan det simpelthen ikke lade sig gøre.

  • 10
  • 0
#3 Martin Kofoed

At tænke sig hvad de kunne have drevet det til med et par dygtige zOS-systemprogrammører ved deres side. Hold da helt op. Selv om skaden ER stor, kunne det have været endnu værre. Jeg vil tro, de kunne have truet Nordea på eksistensen.

  • 9
  • 0
#5 Claus Jacobsen

og værre endnu - hvem siger der ikke har været nogen der? Du ved - lave microtransaktioner så det går helt under radaren på overvågningssystemerne. Det er nok et sted man ikke ønsker det skal udbasuneres alt for meget.

  • 2
  • 0
#6 Peter Vangsgaard
Jan firewallen er sikkert fin, den ser til at der er åbent for ftp og andre porte til servere inde i netværket, problemer er nu nok mere hvad de maskiner derinde så har adgang til eller med andre ord, hvilke maskiner har tilladelse til at blive tilgået fra de servere som tilbyder services som kan tilgås udefra...der bør være firewalls,vlan's længere inde på lokalnettet til at skærme af og andre tiltag som gør at der ikke er maskiner som stoler på de servere.....ja man tænker lidt på wargames
  • 5
  • 0
#7 anders kristiansen

Hvis de kom ind via FTP har de muligvis fået adgang via en Windows maskine :-) Via FTP kan man uploade og submitte JCL (scripts/programmer) direkte på USS (Unix) - denne mulighed kan begrænses i tcp/ip på Z/os.

Så vi har ansvaret placeret hos Z/os systemprogrammøren. Unix administratoren Netværks administratoren

Tænk over hvem der har ansvaret for Unix på Z/os og hvem der har ansvaret for firewall indstillingerne på Z/os. - er det systemprogrammøren der skal oplæres i firewall regler eller er det netværks administratoren der skal oplæres i denne lille del af Z/os :-)

  • 1
  • 0
#8 Brian Hansen

Det kommer vel helt an på CSC's interne opbygning og ansvarsfordeling :) Jeg tror i øvrigt at fokusset i din sætning bør ligge på "denne mulighed KAN begrænses", jeg gætter på det ikke har været tilfældet, dog uden at kende til det her præcise tilfælde. Mindst halvdelen af de systemer der bliver kompromitteret er fordi systemerne er sat forkert op, eller der er lukket op for en service udadtil der bare ikke burde slippes løs på internettet.

  • 4
  • 0
#9 s_ mejlhede

Ikke i software på en PC, men i hardwaren mellem de steder som der skal have adgang, det skulle give et yderligere lag af sikkerhed. Især hvis man kan have faste IP.

Selv i software synes jeg det giver en meget højere beskyttelse, jeg bruger det altid når jeg lave en fjernadgang, altså først en VPN tunnel, og der efter normal opkobling. Selv hvis ens server er inficeret, kan man jo lukke af for den i FW så der ikke er adgang ud via normal trafik, og når man så skifter VPN kode, så ligegyldig hvor meget der er rodet på den, så er forbindelsen og adgangen kuttet til verden. Så skal man bare lige huske at have en god kode på FW, samt kun adgang fra en IP som server ikke har.

Dette synes jeg giver en god sikkerhed, og jeg sover roligt. Hvis ikke vil jeg da gerne høre hvorfor ?

  • 2
  • 0
#10 Brian Hansen

VPN er altid et godt udgangspunkt, specielt koblet sammen med et certifikat på klientsiden og et krav om ordentlige adgangskoder, der ikke må skrives ned. Vi sender person specifikke certifikater via et separat system til vores underleverandører, og derefter får de login detaljer via telefon, det udskiftes selvfølgelig løbende. Dét synes jeg selv er nogenlunde ok sikkerhed :)

  • 0
  • 0
Log ind eller Opret konto for at kommentere