Hullet webserver hos CSC delte virtuel server med Schengen-register

Illustration: leowolfert/Bigstock
Rigspolitiets systemer med følsomme personoplysninger delte sandsynligvis logisk partition på CSC's mainframe med blandt andet en usikker webserver.

Da hackere i marts 2012 fik adgang til den mainframe hos CSC, som blandt andet lagde kapacitet til en række af Rigspolitiets it-systemer, skete det gennem en usikker webserver, der tilhørte Moderniseringsstyrelsen. Sådan lyder vurderingen fra Datatilsynet i en ny afgørelse.

Afgørelsen løfter sløret for en række detaljer i sagen i forhold til, hvordan det kunne lykkes at få adgang til systemer, der omfattede kørekortregistret og Schengen-registret, der indeholder følsomme personoplysninger.

Selve sikkerhedshullet på mainframen lå i den webserver, der lå bag webstedet tjenestemandspension.dk, som CSC stod for driften af på vegne af Moderniseringsstyrelsen.

CSC's mainframe var dog opdelt i logiske partitioner, LPAR, som i princippet burde være adskilt, så særligt følsomme systemer ikke delte LPAR med systemer, der kunne tilgås direkte fra internettet.

På den pågældende mainframe var der fire LPAR, som var relateret til driften af Rigspolitiets it-systemer. Disse partitioner blev imidlertid også delt med andre offentlige kunder hos CSC. Datatilsynet har ikke kunnet få et præcist svar fra Rigspolitiet om, hvilken partition Schengen-registret blev afviklet på, men ud fra oplysningen om, at det var på den LPAR, der var døbt D11, at Rigspolitiet lavede konsistenstjek på D11, og at der blev lavet konsistenstjek på Schengen-systemet, konkluderer Datatilsynet, at Schengen-registret også kørte på D11.

På D11 lå imidlertid også Moderniseringsstyrelsen webserver, og det var gennem et sikkerhedshul i denne webserver, at hackerne fik adgang til D11.

Da de fire LPAR samtidig delte fysisk disksystem og adgangskontrolsystem, RACF, var det muligt at gå fra en usikker webserver til Rigspolitiets systemer.

Ifølge afgørelsen blev der ved angrebet benyttet to zero-day-sårbarheder. Den ene i webserveren og en anden i IBM's mainframe-styresystem, og der eksisterede ingen sikkerhedsopdateringer, der kunne lukke sikkerhedshullerne, på det tidspunkt, hvor angrebet fandt sted.

Fra den første begrænsede adgang til mainframen lykkedes det hackerne at eskalere deres rettigheder og i sidste ende at få adgang til registre med følsomme personoplysninger. Datatilsynet kritiserer i skarpe vendinger Rigspolitiet og CSC for ikke at have sørget for tilstrækkelig adskillelse mellem registrene og webserveren.

Men Datatilsynet kritiserer også selve opsætningen af mainframen:

»Opdeling af én mainframe i fire LPAR'er kan sikkerhedsmæssigt ikke sidestilles med drift i fire fra hinanden fysisk isolerede/adskilte mainframes,« skriver Datatilsynet i afgørelsen.

Tilsvarende kritik rettes mod, at de fire LPAR'er delte disksystem og adgangskontrolsystem. Problemet var ifølge Datatilsynet, at der dermed var flere dataansvarlige - i dette tilfælde blandt andet Rigspolitiet og Moderniseringsstyrelsen - som risikerede at blive kompromitteret, hvis hackere fik adgang til én af parternes systemer.

»Ved at Rigspolitiet har placeret driften af Schengen-informationssystemet i én mainframe, som også blev benyttet af andre dataansvarlige til helt andre formål, er Schengen-informationssystemet helt unødvendigt blevet eksponeret for risici, som kan henføres til andre dataansvarliges drift af deres systemer,« skriver tilsynet.

Det svage led i den måde, mainframen var opsat på hos CSC, var, at sikkerheden kom til at hænge på adgangskontrollen, som skulle forhindre, at man fra én dataansvarligs system kunne komme til at få adgang til systemer, der lå på samme LPAR. Og når man havde adgang til Rigspolitiets systemer på én LPAR, kunne man også få adgang til de systemer, der lå på andre LPAR.

»Ved at indlægge driften af Schengen-informationssystemet i samme mainframe, i samme LPAR, og under kontrol af ét og samme styresystem, som Moderniseringsstyrelsen også anvendte til webserveren, tilsidesatte Rigspolitiet såvel princippet om isolation som princippet om adskillelse. I dette tilfælde manglede der tilstrækkelig adskillelse mellem de dataansvarlige, ligesom der manglede adskillelse mellem Schengen-informationssystemet og webserveren, som funktionelt set ikke havde noget med hinanden at gøre, og derfor ikke burde afvikles under kontrol af et og samme styresystem. Herved tilsidesattes tillige princippet om forsvar i dybden,« skriver Datatilsynet.

Datatilsynet betegner konfigurationen som 'sikkerhedsmæssigt særdeles uforsigtigt' og kalder det 'helt unødvendigt', at Rigspolitiet på denne måde har eksponeret Schengen-registret for hackerangreb fra internettet.

Læs også: It-efterforsker: CSC-hacker lavede første bagdør gennem ’zero day’-sårbarhed i IBM's mainframe

Læs også: Hackersagen dag 9 - CSC-vidne: Sårbarheder i mainframen havde patch måneder før hullet blev lukket

Læs også: Rapport efter CSC-hackersag: Myndighederne har dårlig it-sikkerhed generelt

Læs også: Sikkerhedshul gav adgang til CSC-server: 'Jeg kunne blandt andet se kildekode til Polsag'

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

Til flere persondata end de har brug for, og at den enkelte myndighed ikke skal
have lov til have data som er dem uvedkommende.

Så der skal ikke være et stor register, hvor alt er samlet og kan Samkøres.
Det bliver så mere besværligt at fange forbryder, lave statisk, at finde social snyderi, forskning og meget andet. Men ikke umuligt, man skal aktiv søge om data for den enkelt person, så det skal laves lidt håndarbejde. Men det vil beskytte borgeren, noget som må være vigtigere end nemt og billigt.

  • Tænk hvis politiet også have haft deres kryptering del til vores data liggende.
    Som de tænker hede tanker om i USA.

  • Eller krimimal registret

  • Eller...

Alt mulig andet vi overlader til de amatører ved CSC, som ikke mener at sikkerhed er nødvendig, de har jo sendt det hele til USA og Se og Hør, samt spredt data på kryds og tværs, så det er alligevel ude over alt.
Så kan sikkerhed være unødvendig. Det er vel også rigtigt, hvad har en Indisk lavlønnet arbejde af interesse i at passe på vores data, ud over at sælge dem.

  • 7
  • 0
Brian Hansen

Imponerende sikkerhed. Havde Anakata ikke skaffet sig adgang, så var der uden tvivl andre mere ondsindede forbrydere der havde fundet de exploits.

Ud over at det er slemt nok at hverken CSC eller rigspolitiet formår at sikre vores data godt nok, så er det gudhjælpemig de samme inkompetente medarbejdere der stadigvæk sidder med ansvaret.
Hvorfor er der ingen konsekvens i det her?

  • 13
  • 0
Tom Paamand

Grundlaget for Schengen-registret er den såkaldte SIRENE-manual (Supplementary Information Request at the National Entry). Indholdet er fortsat fortroligt, men en kopi blev lækket. Manualen bestemmer høfligt, at politiet skal overholde national lovgivning, når de indhenter Schengen-oplysninger, men kort efter aflives dette forbehold totalt: "Såfremt den målrettede kontrol ikke er tilladt i henhold til den nationale lovgivning, indhentes på passende måde alle eller dele af oplysningerne uden at personens opmærksomhed henledes herpå."

  • 6
  • 0
Finn Christensen

http://www.version2.dk/artikel/schengen-registret-delte-mainframe-partit...

Til flere persondata end de har brug for, og at den enkelte myndighed ikke skal have lov til have data som er dem uvedkommende.

Betyder intet hvis vi betror ansvaret til solide kompetente mennesker uden utøj på loftet, men det har de vist ingen test for ifm. ansættelse.

Hvorimod de beviselig har en test vedrørende gøgeungeeffekten, der så i dag skamrider systemerne = eksamen fra noget 'vi' kender, anbefaling fra en 'som os', papir på 'xxx', som 'os' og endelig 'vores' fagforening - det tæller desværre ;-/

Jeg har mindst de seneste 5 år jævnligt omtalt de fodslæbende juridiske forhold, bagudskuende, mangler interesse for borgernes retssikkerhed, og aldeles uden tilstrækkelig vide om samt interesse for faget [IT].

Juristens hjerne har helt andre præferencer. Det har i utallige år faktisk været "intet nyt fra Vestfronten".

Systemerne (os selv) har i utallige år tilladt, at de vende det blinde øje til. Mig bekendt indgår jurister som en vægtig del af djøf'klanen, der hersker i administrationen ..sikke et spild af penge.

1) Vi har jævnligt kendte overtrædelser af love/regelsæt i fuld offentlighed.
2) Det ske uden en eneste offentlig styrelse føler sig faglig ansvarlig og griber ind.
3) Det sker uden en eneste borger har anmeldt lovovertræderne.
4) Engang tog systemet fag og håndværk seriøst, samt rydde ud i egne rækker - lapidarisk.
4) Denne soap fortsætter...

Nogen påstår tilmed at vores samfund er i besiddelse af retsfølelse, og at vi har et retssamfund, og det har vi da også teoretisk.. ;)

  • 3
  • 0
John Foley

Ad Pauli,

Rigtigt set. Det har desværre ingen konsekvenser for de såkaldte ansvarlige. De - Rigspolitiet og CSC - kan fortsætte som hidtil med at kompromittere dine og mine personfølsomme oplysninger og metadata. De to nævnte instanser er de egentlige forbrydere, men det har ingen konsekvens. Det er det vi med interesse for datasikkerhed m.v egentlig burde beskæftige os med. Fortsat kommentering har ingen indvirkning på beslutningstagerne - der skal andre midler til.

  • 3
  • 0
Finn Christensen

hvorfor får CSC de opgaver for det offentlige?

Er der ikke snart en kvik journalist der kan grave sig ned til den reelle årsag til at CSC igennem årtier har været husleverandør...

Behøver hverken journalist eller graveri. Alt er velkendt både indenfor samt udenfor den offentlig sektor og ligetil:

  • Ikke på lystavlen hos en eneste med magt, jfr. indlæg ovenfor.
  • Ingen gider have ansvar og slet ikke bøvlet
  • Ingen får (tilstrækkelig) tak herfor
  • Man bliver ansvarlig for samtlige fejl uanset årsag
  • Ansvar for endnu et kulsejlet offentligt it-projekt - NOT.
  • Mindst 10 mere af samme kaliber.

Monopoler skabes under manglende politisk udsyn, og kan derefter overleve i årtier pga. fortsat ligegyldighed.

TDC, Datacentralen I/S, DONG, NETS, DSB, KMD m.fl. er flotte eksempler.

Den første minister M/K med hår på brystet og trang til at rydde bulen for slendrian vil skrive sig ind i historiebøgerne.

"You cannot solve a problem with the same thinking that created the problem". (Einstein)

  • 2
  • 2
Log ind eller Opret konto for at kommentere